Embed Size (px)
Citation preview
Comment une multinationale fictive mais
représentative a mis en œuvre le cloud
de Microsoft
Contoso dans
le cloud de
Microsoft 1 2 3 4 5Cette rubrique est la première
d une série de six rubriques
Société Contoso
Organisation mondiale Contoso
Éléments de l implémentation du cloud de Microsoft par Contoso
Mise en réseau
La mise en réseau inclut la connectivité
avec les offres cloud de Microsoft et
une bande passante suffisante pour
la gestion des charges de pointe.
La connectivité est répartie entre
les connexions Internet locales et
l infrastructure de réseau privé de
Contoso.
Identité
Contoso utilise une forêt Windows Server
AD pour son fournisseur d identités
interne et fédère également les
fournisseurs tiers pour les clients et
partenaires. Contoso doit tirer parti de
l ensemble interne des comptes pour les
offres cloud de Microsoft. L accès aux
applications basées sur le cloud pour les
clients et partenaires doit tirer parti de
fournisseurs d identité tiers également.
Sécurité
La sécurité des identités et des données
basées sur le cloud doit inclure la
protection des données, la gestion des
privilèges d administrateur, la
sensibilisation aux menaces et
l implémentation de stratégies de
gouvernance et de sécurité des données.
Gestion
La gestion des applications basées sur le
cloud et des charges de travail SaaS
a besoin de gérer les paramètres, les
données, les comptes, les stratégies et les
autorisations et de surveiller les
performances et l état d intégrité en cours.
Les outils de gestion de serveur existants
permettent de gérer les machines
virtuelles dans Azure IaaS.
Les architectes informatiques de Contoso ont identifié les éléments suivants lors de la planification de l adoption des offres cloud de Microsoft.
Identité cloud Microsoft pour les
architectes d entreprise
Identité cloud Microsoft pour les
architectes d entreprise
Mise en réseau cloud Microsoft
pour les architectes d entreprise
Mise en réseau cloud Microsoft
pour les architectes d entreprise
Sécurité cloud Microsoft pour
les architectes d entreprise
Sécurité cloud Microsoft pour
les architectes d entreprise
Les bureaux de Contoso à travers le monde obéissent à une conception à trois niveaux.
La société Contoso est une entreprise internationale dont le siège est à Paris. Il s agit d un conglomérat
de production, de ventes et de service après-vente comptant plus de 100 000 produits.
Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
SuccursalesCentres régionauxSiège socialSiège social
Le siège social de Contoso
Corporation s intègre à une vaste
zone d activité, dans la banlieue
parisienne, comportant des dizaines
de bâtiments pour l administration,
l ingénierie et la fabrication. Tous
les centres de données de Contoso
et la présence Internet résident
dans le siège social.
Le siège social compte
15 000 employés.
Les bureaux régionaux desservent
une région spécifique du monde
avec 60 % des ventes et du
personnel de support. Chaque
bureau régional est connecté au
siège social parisien par le biais d un
lien WAN haut débit.
Chaque centre régional compte
2 000 employés en moyenne.
Les succursales représentent
80 % des ventes et du personnel de
support et elles offrent une présence
physique et sur site aux clients de
Contoso dans les villes importantes
ou des régions plus petites. Chaque
succursale est connectée à un centre
régional par le biais d un lien WAN
haut débit.
Chaque succursale compte
250 employés en moyenne.
25 % des effectifs de
Contoso sont
mobiles uniquement,
proportion qui se
révèle supérieure
dans les centres
régionaux et les
succursales.
Pour Contoso, il est
essentiel de fournir
un meilleur support
aux collaborateurs
qui passent tout leur
temps sur le terrain.
6
Comment une multinationale fictive mais
représentative a mis en œuvre le cloud
de Microsoft
Contoso dans
le cloud de
Microsoft
Infrastructure et besoins informatiques de Contoso
Association des besoins commerciaux de Contoso aux offres cloud de Microsoft
Infrastructure informatique existante de Contoso
SaaSSoftware as a Service
Azure PaaSPlatform as a Service
Azure IaaSInfrastructure as a Service
Contoso utilise une infrastructure informatique locale centralisée avec des centres de données au
siège social de Paris.
Contoso passe actuellement d une infrastructure informatique centralisée locale à une infrastructure cloud incluant des charges de travail de productivité et des applications basées sur le cloud, ainsi que des scénarios hybrides.
Besoins métier de Contoso
Respecter les exigences réglementaires
locales
Pour éviter les amendes et entretenir de bonnes relations avec les autorités locales, Contoso doit assurer la conformité aux réglementations de
stockage et de chiffrement des données.
1Améliorer la gestion des partenaires et
des fournisseurs
L extranet des partenaires est obsolescent et coûteux à mettre à jour. Contoso souhaite le remplacer par une solution cloud utilisant l authentification fédérée.
2Améliorer la productivité des effectifs mobiles, la gestion et les accès des appareils
L effectif mobile de Contoso augmente et a besoin de s appuyer sur la gestion des appareils pour assurer la protection de la propriété intellectuelle et une plus grande efficacité des accès aux ressources.
3
Réduire l infrastructure d accès distant
En plaçant dans le cloud les ressources couramment utilisées par les employés distants, Contoso réalisera des économies sur les coûts de maintenance et d assistance pour
leur solution d accès distant.
4Réduire la taille des centres de données
locaux
Les centres de données Contoso possèdent des centaines de serveurs, certains d entre eux exécutent des fonctions héritées ou d archivage qui empêchent le service informatique de gérer des charges de travail àhaute valeur ajoutée.
5Augmenter les ressources de calcul et de
stockage pour le traitement de fin de trimestre
La comptabilité financière et le traitement des projections de fin de trimestre ainsi que la gestion des stocks nécessitent une augmentation ponctuelle des charges de stockage et des charges serveur.
6
InternetInternetRéseau de périmètreRéseau de périmètre
Extranet des
partenaires
Extranet des
partenaires
Accès à
distance/proxy
Accès à
distance/proxy
Site web publicSite web public
Collaborateurs
en télétravail et
mobiles
uniquement
Collaborateurs
en télétravail et
mobiles
uniquement
Pare-feu internePare-feu internePare-feu externePare-feu externe
Dans le réseau de périmètre de Contoso,
les différents ensembles de serveurs
fournissent ce qui suit :
Accès à distance à l intranet et au proxy
web de Contoso pour les collaborateurs
au siège social de Paris.
Hébergement du site web public de
Contoso à partir duquel les clients
peuvent commander des produits,
des composants ou des fournitures.
Hébergement de l extranet des
partenaires de Contoso pour la
collaboration et la communication
avec les partenaires.
Siège socialSiège social
Centres de
données
d applications
Centres de
données
d applications
Collaborateurs
locaux
Collaborateurs
locaux
Office 365 : Applications
principales de productivité
personnelle et de groupe dans
le cloud.
Dynamics 365 : Utiliser la
gestion des clients et des
fournisseurs sur le cloud. Retirer
l extranet des partenaires du
réseau de périmètre.
Intune/EMS : Gérer les
appareils iOS et Android.
Héberger les documents de
ventes et de support ainsi que
les systèmes d informations
à l aide d applications basées
sur le cloud.
Les applications mobiles sont
basées sur le cloud plutôt que
dans le centre de données de
Paris.
Déplacer les systèmes d archivage
et hérités vers les serveurs basés
sur le cloud.
Migrer les applications et les
données peu utilisées en dehors
des centres de données locaux.
Ajouter des serveurs et de l espace
de stockage temporaires pour les
besoins de traitement de fin de
trimestre.
2
1 3
3
3
3 4
5
5
6
5
1 2 3 4 5Cette rubrique est la deuxième
d une série de six rubriques6
Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Siège social parisienSiège social parisien
Centre régionalCentre régional
Contoso dans
le cloud de
Microsoft
Mise en réseau
Infrastructure réseau de Contoso
Pour adopter une infrastructure incluant le cloud, les ingénieurs réseau de Contoso ont compris la façon
radicalement nouvelle dont le trafic réseau est dirigé vers les services basés sur le cloud. En effet, l entreprise
ne se concentre plus uniquement sur l optimisation du trafic vers les serveurs et les centres de données locaux,
mais également sur l optimisation du trafic vers les serveurs Internet périphériques et l Internet lui-même.
Comment une multinationale fictive mais
représentative a mis en œuvre le cloud
de Microsoft
Infrastructure d applications de Contoso
Contoso possède l infrastructure réseau suivante.
Réseau local
Les liens WAN relient le siège social parisien aux
centres régionaux et les centres régionaux aux
succursales dans une configuration en étoile.
Dans chaque bureau, les routeurs diffusent le trafic
à des hôtes ou à des points d accès sans fil sur des
sous-réseaux, qui utilisent l espace d adressage IP
privé.
Connectivité Internet
Chaque bureau possède sa propre connectivité Internet via
un serveur proxy.
Cette configuration est généralement implémentée en tant
que lien WAN vers un FAI local qui fournit également des
adresses IP publiques pour le serveur proxy.
Présence Internet
Contoso est propriétaire du nom de domaine public
contoso.com.
Le site web public de Contoso pour les commandes de
produits se compose d un ensemble de serveurs dans un
centre de données connecté à Internet sur le site parisien.
Contoso utilise une plage d adresses IP publiques
disponible /24 sur Internet.
Serveurs
d applications
régionaux
Serveurs
d applications
régionaux
Centres de
données
d applications
centraux
Centres de
données
d applications
centraux
SuccursaleSuccursale
Serveur de mise
en cache
Serveur de mise
en cache
Contoso a conçu son infrastructure d applications et
serveur pour les éléments suivants :
Les succursales utilisent des serveurs de mise en
cache locale pour stocker les documents et les sites
web internes les plus sollicités.
Les centres régionaux utilisent les serveurs
d applications régionaux pour les bureaux régionaux
et les succursales. Ces serveurs se synchronisent avec
les serveurs du siège social à Paris.
Le site de Paris comporte les centres de données
contenant les serveurs d applications centralisés qui
servent l organisation entière.
Pour les utilisateurs des centres régionaux et des
succursales, 60 % des ressources requises par les
employés peuvent être prises en charge par les
serveurs de ces sites. Les 40 % restants des demandes
de ressources doivent accéder au siège social parisien
par le biais d un lien WAN.
60 %
100 %
Suite à la page suivante
1 2 3 4 5Cette rubrique est la troisième
d une série de six rubriques6
Ressources
réseau du cloud
Utilisation d ExpressRoute par ContosoExpressRoute est une connexion WAN dédiée entre votre site et un emplacement
d homologation de Microsoft qui relie votre réseau au réseau cloud de Microsoft.
Les connexions ExpressRoute offrent des performances prévisibles et un SLA
proposant une disponibilité de 99,9 %.
Avec une connexion ExpressRoute, vous êtes relié au réseau cloud de Microsoft et
à tous les emplacements de centres de données Microsoft sur le même continent.
Le trafic entre l emplacement d homologation cloud et le centre de données
Microsoft de destination est acheminé sur le réseau cloud de Microsoft.
Avec ExpressRoute Premium, vous pouvez atteindre tous les centres de données
Microsoft sur tous les continents à partir de n importe quel emplacement
d homologation Microsoft situé sur l un des continents. Le trafic entre les
continents est acheminé sur le réseau cloud de Microsoft.
Optimiser les ordinateurs des employés pour
l accès Internet
Les ordinateurs individuels sont vérifiés pour assurer que les ressources les plus récentes (pile TCP/IP, navigateur, pilotes de carte réseau, mises
à jour de sécurité et du système d exploitation)
sont bien installées.
1Analyser l utilisation de la connexion Internet
dans chaque bureau et apporter des
ressources supplémentaires selon les besoins
Une analyse de l utilisation d Internet est réalisée dans chaque bureau et la bande passante du lien WAN est renforcée si son utilisation est supérieure
ou égale à 70 %.
2Analyser les systèmes de réseau de
périmètre de chaque bureau pour des
performances optimales
Une analyse des pare-feu, IDS et autres systèmes connectés à Internet a lieu pour garantir des performances optimales. Les serveurs proxy sont mis à jour ou à niveau selon les besoins.
3
Procédure de préparation à la gestion réseau du cloud selon Contoso
Voici les résultats de l analyse de Contoso portant sur les modifications nécessaires sur le réseau de
cette entreprise en vue d une adéquation aux différentes catégories des offres cloud de Microsoft.
L adoption réussie des services SaaS par les
utilisateurs dépend de la haute disponibilité et
des performances de la connectivité à Internet
ou directement aux services cloud de Microsoft.
L accès Internet actuel est censé être satisfaisant
pour les utilisateurs mobiles.
Pour les utilisateurs de l intranet de Contoso,
chaque bureau doit faire l objet d une analyse et
d une optimisation des connexions Internet et
des échanges avec le centre de données
européen de Microsoft hébergeant les clients
Office 365, EMS et Dynamics 365.
Offres cloud SaaSOffice 365, EMS et Dynamics 365
Pour mieux servir les travailleurs mobiles, les
applications existantes et certains sites de
partage de fichiers sont repensés et déployés
en tant qu applications Azure PaaS. Pour des
performances optimales, Contoso envisage
de déployer de nouvelles applications dans le
monde à partir de différents centres de données.
Azure Traffic Manager permet d envoyer des
demandes d application cliente, qu elles émanent
d un utilisateur mobile ou d un ordinateur situé
dans un bureau, vers le centre de données Azure
le plus proche hébergeant l application.
Le service informatique doit ajouter des
performances d application PaaS et la répartition
du trafic à sa solution de contrôle d intégrité du
réseau.
Azure PaaSApplications mobiles
Pour migrer les serveurs existants et les serveurs
d archivage hors des centres de données du
siège social parisien et ajouter des serveurs selon
les besoins en fin de trimestre, Contoso prévoit
d utiliser des machines virtuelles s exécutant
dans les services d infrastructure Azure.
Les réseaux virtuels Azure qui contiennent ces
serveurs doivent être conçus pour des espaces
d adresse, un routage et une structure DNS
intégrée non superposés.
Le service informatique doit inclure ces
nouveaux serveurs dans son système de gestion
et de surveillance réseau.
Azure IaaSCharges de travail serveur
Analyse du réseau de Contoso
En se basant sur l analyse du trafic actuel et futur vers les offres cloud de Microsoft et l analyse de ses
exigences en matière d excellence de service pour les communications Skype, Contoso a évalué son
réseau et mis en œuvre une connexion ExpressRoute Premium « any-to-any » (basée sur MPLS) entre le
siège social parisien et le site d homologation de Microsoft en Europe.
Performances cohérentes des
applications SaaS pour les
employés du siège social de Paris
En raison des connexions simultanées de
15 000 employés du site parisien à Office 365,
Intune et Dynamics 365, Contoso veut
s assurer que les accès sont de qualité égale
au fil du temps et qu ils ne sont pas en
concurrence avec le trafic Internet régional.
Performances cohérentes pour
l administration des applications
Azure PaaS réparties
Tous les développeurs d applications et les
administrateurs de l infrastructure informatique
principale de Contoso sont basés au siège
social à Paris.
Avec les applications Azure PaaS réparties sur les
différents centres de données Azure à travers le
monde, Contoso a besoin de performances
cohérentes sur le site parisien afin d administrer
les applications et ses ressources de stockage, qui
constituent de très gros volumes de documents.
Performances cohérentes pour
l administration des serveurs dans
Azure IaaS
Les administrateurs du centre de données de
Contoso se trouvent au siège social de Paris et
les serveurs à déployer dans Azure sont une
extension du centre de données parisien.
Contoso a besoin de performances constantes
sur ces nouveaux serveurs dans le cadre des
accès aux applications héritées, aux applications
d archivage et du traitement de fin de trimestre.
Ajouter ExpressRoute Premium au site
parisien
Offre un accès cohérent aux offres de cloud SaaS pour les collaborateurs parisiens et à l administration des charges de travail
Azure PaaS et IaaS dans le monde entier.
4Créer et tester un profil Azure Traffic
Manager pour les applications Azure PaaS
Tester un profil Azure Traffic Manager utilisant la méthode de routage des performances afin d expérimenter la répartition du trafic Internet vers les sites régionaux.
5Réserver l espace d adressage privé pour les
réseaux virtuels Azure
Se baser sur les chiffres des serveurs à court terme et long terme planifiés dans Azure IaaS afin de réserver l espace d adressage privé pour les réseaux virtuels Azure et leurs sous-réseaux.
6
http://aka.ms/tune
Planification réseau et optimisation
des performances pour Office 365
http://aka.ms/tune
Planification réseau et optimisation
des performances pour Office 365ExpressRoute pour Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute pour Office 365
http://aka.ms/expressrouteoffice365
Mise en réseau cloud Microsoft
pour les architectes d entreprise
Mise en réseau cloud Microsoft
pour les architectes d entreprise
http://aka.ms/cloudarchnetworking
Mise en réseau cloud Microsoft
pour les architectes d entreprise
http://aka.ms/cloudarchnetworking
Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Contoso dans
le cloud de
Microsoft
Identité
Forêt Windows Server AD de Contoso
Microsoft propose une identité en tant que service (IDaaS) parmi ses offres cloud. Pour adopter une
infrastructure incluant le cloud, la solution IDaaS de Contoso doit tirer parti de son fournisseur d identités
local et intégrer l authentification fédérée avec ses fournisseurs d identité tiers approuvés existants.
Comment une multinationale fictive mais
représentative a mis en œuvre le cloud
de Microsoft
InternetInternetRéseau de périmètreRéseau de périmètre
Extranet des
partenaires
Extranet des
partenaires
Site web publicSite web publicClients et
partenaires
Clients et
partenaires
Pare-feu externePare-feu externe
Infrastructure d authentification fédérée de Contoso
AD FSAD FS
Contoso utilise une forêt Windows Server AD (Active Directory) unique pour sept domaines de contoso.com, un pour chaque région du monde. Le siège social,
les bureaux régionaux et les succursales possèdent des contrôleurs de domaine pour l authentification et l autorisation locales.
Contoso souhaite utiliser les comptes et les groupes de la forêt contoso.com pour l authentification et l autorisation de ses applications et charges de travail
basées sur le cloud.
Contoso autorise ce qui suit :
Les clients ont le droit d utiliser leurs comptes Microsoft,
Facebook ou Google Mail pour se connecter à leur site
web public.
Les fournisseurs et les partenaires peuvent utiliser leurs
comptes LinkedIn, Salesforce ou Google Mail pour se
connecter à l extranet des partenaires.
Les serveurs Active Directory Federation Services (AD FS)
du réseau de périmètre utilisent leurs informations
d identification client pour se connecter au site web public
et ils utilisent leurs informations d identification partenaire
pour accéder à l extranet des partenaires.
Lorsque la société Contoso migre son site web public vers
une application web Azure et son extranet de partenaires
vers Dynamics 365, elle souhaite continuer à utiliser ses
fournisseurs d identités tiers pour ses clients et partenaires.
Cela passe par la configuration de la fédération entre les
clients Azure AD de Contoso et les fournisseurs d identité
tiers.
1 2 3 4 5Cette rubrique est la quatrième
d une série de six rubriques6
Suite à la page suivante
Ressources
d identité du cloud
Synchronisation d annuaires pour la forêt Windows Server AD de Contoso
Contoso a déployé l outil Azure AD Connect sur un cluster de serveurs
dans son centre de données de Paris. Cet outil synchronise les
modifications apportées à la forêt Windows Server AD contoso.com
avec le client Azure AD partagé par les abonnements Office 365, EMS,
Dynamics 365 de Contoso. Pour plus d informations sur les abonnements,
les licences, les comptes d utilisateur et les clients, consultez la rubrique 5.
Contoso a configuré l authentification fédérée, qui fournit une
authentification unique aux collaborateurs de Contoso. Un utilisateur qui
s est préalablement connecté à la forêt Windows Server AD contoso.com
pour accéder à une ressource cloud SaaS ou PaaS de Microsoft n a pas
besoin de fournir de mot de passe.
Le trafic de la synchronisation d annuaire transite par la connexion
ExpressRoute Premium entre le siège social et le réseau cloud de
Microsoft.
Bureau régional 1 Bureau régional 2 Bureau régional 3
Locataire
Office 365 en
Europe
Serveurs d authentification
Siège socialSiège social
Serveur Azure
AD Connect
Serveur Azure
AD Connect
Cloud de Microsoft
ExpressRoute
Premium
ExpressRoute
Premium
LocataireAzure ADLocataireAzure ADLocataireAzure AD
Répartition géographique du trafic d authentification de ContosoPour mieux prendre en charge ses effectifs mobiles et distants, Contoso a déployé des serveurs d authentification dans ses filiales. Cette infrastructure répartit
la charge et fournit une redondance et de meilleures performances lors de l authentification des informations d identification utilisateur pour accéder aux offres
cloud de Microsoft utilisant le locataire Azure AD commun.
Pour répartir la charge des demandes d authentification, Contoso a configuré Azure Traffic Manager avec un profil qui utilise la méthode de routage des
performances qui fait référence aux clients qui s authentifient auprès de l ensemble de serveurs régionaux le plus proche.
Redondance de l infrastructure d authentification du siège social dans Azure IaaS
Traffic ManagerTraffic Manager
5. L ordinateur client envoie une demande d authentification à un serveur
proxy d applications web qui transfère les demandes à un serveur AD FS.
6. Le serveur AD FS demande les informations d identification depuis
l ordinateur client.
7. L ordinateur client envoie les données d identification de l utilisateur sans
les demander à celui-ci.
8. Le serveur AD FS valide les informations d identification à l aide d un
contrôleur de domaine Windows Server AD dans le bureau régional et il
adresse un jeton de sécurité à l ordinateur client.
9. L ordinateur client envoie le jeton de sécurité à Office 365.
10. Une fois la validation réussie, Office 365 met le jeton de sécurité dans le
cache et envoie à l ordinateur client la page web demandée à l étape 1.
1. L ordinateur client établit une communication avec une page web du
client Office 365 en Europe (par exemple, sharepoint.contoso.com).
2. Office 365 renvoie une demande pour preuve d authentification. La
requête contient l URL à contacter pour l authentification.
3. L ordinateur client tente d associer le nom DNS dans l URL à une
adresse IP existante.
4. Azure Traffic Manager reçoit la requête DNS et répond à l ordinateur
client avec l adresse IP d un serveur proxy d applications web dans le
bureau régional le plus proche de l ordinateur client.
Exemple de processus d authentification :
Réseau de périmètre
Proxys
d applications
web
Proxys
d applications
web
Serveurs AD FSServeurs AD FS
Bureau régional
Pare-feu internePare-feu interne
Contrôleurs de
domaine
Windows Server
AD
Contrôleurs de
domaine
Windows Server
AD
Demande
d authent
ification
Réseau de périmètre
Proxys
d applications
web
Proxys
d applications
web
Serveurs AD FSServeurs AD FS
Siège socialSiège social
Centres de
données
d applications
centraux
Centres de
données
d applications
centraux
Pare-feu
interne
Pare-feu
interne
Réseau virtuel
ExpressRoute
Premium
ExpressRoute
Premium
Proxys
d applications
web
Proxys
d applications
web
Serveurs AD FSServeurs AD FS
Serveurs d authentification
Serveurs d authentification
Pour assurer la redondance des travailleurs distants et mobiles du siège social parisien comptant
15 000 travailleurs, Contoso a déployé un second ensemble de proxys d applications et de serveurs
AD FS dans Azure IaaS.
Lorsque les serveurs d authentification principaux du réseau de périmètre du siège social deviennent
indisponibles, le service informatique bascule vers l ensemble redondant déployé dans Azure IaaS.
Les demandes d authentification émanant ensuite des ordinateurs du siège parisien utilisent
l ensemble de serveurs d Azure IaaS jusqu à ce que le problème de disponibilité soit résolu.
Pour basculer vers les serveurs de secours et
revenir aux serveurs principaux, Contoso met
à jour le profil Azure Traffic Manager associé au
site parisien afin d utiliser un autre ensemble
d adresses IP pour les proxys d applications web :
Lorsque les serveurs d authentification du
réseau de périmètre sont disponibles, les
adresses IP des serveurs dans la zone du
réseau de périmètre sont utilisées.
Lorsque les serveurs d authentification du
réseau de périmètre ne sont pas disponibles,
les adresses IP des serveurs dans Azure IaaS
sont utilisées.
http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282
Infographie : Gestion des identités
et des accès dans le cloud
http://go.microsoft.com/fwlink/p/?LinkId=524281http://go.microsoft.com/fwlink/p/?LinkId=524281
La synchronisation de votre
annuaire avec Office 365 est chose
aisée (en anglais)
Ordinateur client
PasserellePasserelle
Identité cloud Microsoft pour
les architectes d entreprise
http://aka.ms/cloudarchidentity
Identité cloud Microsoft pour
les architectes d entreprise
http://aka.ms/cloudarchidentity
Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Contoso dans
le cloud de
Microsoft
Abonnements, licences et comptes d utilisateur
Structure de Contoso
Pour une utilisation cohérente des identités et de la facturation au sein de ses offres cloud, Microsoft
fournit une hiérarchie d organisation/d abonnements/de licences/de comptes d utilisateur.
Comment une multinationale fictive mais
représentative a mis en œuvre le cloud
de Microsoft
Intune/EMS500 licencesIntune/EMS500 licences
Dynamics 365100 licences
Dynamics 365100 licences
Abonnements Azure régionaux
Abonnements Azure régionaux
Société Contoso
LocataireAzure ADLocataireAzure AD
Office 365Office 365
Entreprise E3500 licences
Synchronisation des comptes d utilisateurs à
partir de la forêt Windows Server AD
contoso.com
Entreprise E5200 licences
Abonnements Azure de Contoso Contoso a conçu la hiérarchie suivante pour ses
abonnements Azure :
Contoso est prioritaire, conformément au contrat
d entreprise passé avec Microsoft.
Il existe un ensemble de comptes correspondant aux
différentes régions de la société Contoso à travers le
monde, en fonction des domaines de la forêt Windows
Server AD de l entreprise.
Dans chaque région, il existe un ou plusieurs
abonnements en fonction des besoins locaux en termes
de développement, de test et de déploiement en
production.
Chaque abonnement Azure peut être associé à un même
locataire Azure AD possédant des comptes et groupes
d utilisateurs pour l authentification aux services Azure et les
droits qui leur sont associés. Les abonnements de production
utilisent le locataire Azure AD commun de Contoso.
Organisation
Entité commerciale qui utilise les offres
cloud de Microsoft et qui est généralement
identifiée par un nom de domaine DNS
public, par exemple contoso.com.
Abonnements
Dans le cadre des offres cloud SaaS de
Microsoft (Office 365, Intune/EMS et
Dynamics 365), un abonnement est un
ensemble de licences utilisateur achetées
pour un ou plusieurs produits.
Dans le cadre d Azure, un abonnement
autorise la facturation de services cloud
consommés par l organisation.
Licences
Dans le cadre des offres cloud SaaS de
Microsoft, une licence permet à un compte
d utilisateur spécifique d utiliser les services
cloud.
Dans le cadre d Azure, les licences logicielles
sont intégrées à la tarification du service,
mais dans certains cas, vous devez acheter
des licences logicielles supplémentaires.
Comptes d utilisateurs
Les comptes d utilisateurs sont stockés
dans un locataire Azure AD et peuvent
être synchronisés à partir d un
fournisseur d identités local, tel que
Windows Server AD.
Organisation La société Contoso est identifiée à l aide de son nom de domaine public contoso.com.
Abonnements et licences La société Contoso utilise ce qui suit :
Produit Office 365 Entreprise E3 avec 500 licences Produit Office 365 Entreprise E5 avec 200 licences Produit EMS avec 500 licences Produit Dynamic 365 avec 100 licences Abonnements Azure multiples en fonction des régions
Comptes d utilisateurs Un locataire Azure AD commun contient la liste des comptes d utilisateurs et des groupes utilisés par tous les abonnements de Contoso, hormis les abonnements Azure de développement/de test.
Dans le cadre des offres cloud SaaS, le client désigne l emplacement régional
qui héberge les serveurs fournissant des services cloud. Contoso a choisi la
région Europe pour héberger ses clients Office 365, EMS et Dynamics 365.
Les services et applications Azure PaaS et les charges de travail
informatiques IaaS peuvent avoir une location dans n importe quel centre de
données Azure à travers le monde.
Un locataire Azure AD est une instance spécifique d Azure AD contenant des
comptes et des groupes. Le locataire Azure AD commun qui contient les
comptes synchronisés de la forêt Windows Server AD de Contoso fournit
une infrastructure IDaaS par le biais des offres cloud de Microsoft.
Abonnements, licences, comptes et clients des offres cloud de MicrosoftAbonnements, licences, comptes et clients des offres cloud de Microsoft
Locataires :
1 2 3 4 5Cette rubrique est la cinquième d une série de six rubriques
6
contoso.com
Instructions relatives aux comptes et à l abonnement AzureInstructions relatives aux comptes et à l abonnement Azure
Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
Contoso dans
le cloud de
Microsoft
SécuritéLa société Contoso est soucieuse de la sécurité et de la protection de ses informations. Lors du passage
de son infrastructure informatique vers le cloud, elle a vérifié que les exigences locales de sécurité
étaient prises en charge et implémentées dans les offres cloud de Microsoft.
Comment une multinationale fictive mais
représentative a mis en œuvre le cloud
de Microsoft
Listes de contrôle d accès
selon le principe des
privilèges minimum
Autorisations de compte pour accéder aux ressources du cloud et limiter le nombre et l étendue des actions conformément
au principe de privilèges minimum.
Chiffrement des données au
repos dans le cloudToutes les données doivent être chiffrées lorsqu elles sont stockées sur des disques ou un autre emplacement du cloud.
Chiffrement du trafic sur
Internet
Les données ne doivent jamais être envoyées en clair sur Internet. Utilisez toujours les connexions HTTPS, IPsec ou toute autre
méthode de chiffrement des données de bout en bout.
Authentification forte aux
ressources du cloudL accès aux ressources du cloud doit être authentifié et, si possible, tirer parti de l authentification multifacteur.
Exigences de sécurité du cloud selon Contoso
Classification de la confidentialité des données selon Contoso
Niveau 1 : valeur commerciale faible
Les données sont chiffrées et disponibles
uniquement pour les utilisateurs authentifiés
Ce niveau est disponible pour toutes les données
stockées en local ainsi que pour le stockage et les
charges de travail sur le cloud, comme Office 365. Les
données sont chiffrées lorsqu elles se trouvent dans le
service et transitent entre le service et les appareils
clients.
Les données de niveau 1 incluent, par exemple, les
communications d entreprise normales (messagerie
électronique) et les fichiers des employés
administratifs, commerciaux et de maintenance.
Niveau 2 : valeur commerciale moyenne
Niveau 1 plus authentification et protection
renforcées contre la perte de données
L authentification renforcée comprend
l authentification multifacteur avec validation SMS. La
protection contre la perte de données garantit que les
données sensibles ou critiques demeurent dans le
réseau local.
Les données de niveau 2 sont, par exemple, des
informations financières et juridiques ainsi que les
données de recherche et de développement de
nouveaux produits.
Niveau 3 : valeur commerciale forte
Niveau 2 plus les niveaux les plus élevés en
matière de chiffrement, d authentification et
d audit
Niveaux de chiffrement les plus élevés pour les
données au repos et dans le cloud, conformes aux
réglementations locales, combinés à l authentification
multifacteur des cartes à puce et aux fonctionnalités
d audit et d alerte ciblées.
Les données de niveau 3 concernent, par exemple, les
informations d identification des clients et des
partenaires, ainsi que les spécifications techniques de
produits et les techniques de fabrication appartenant à
l entreprise.
Boîte à outils de classification des donnéesBoîte à outils de classification des données
En s appuyant sur les informations obtenues avec la boîte à outils de classification des données de Microsoft, Contoso a analysé
ses données et établi les niveaux suivants.
Association des offres et fonctionnalités de Microsoft aux niveaux de données de
Contoso
HTTPS pour toutes lesconnexions
Chiffrement au repos
Authentification multifacteur(MFA) Azure AD avec SMS
Azure Rights ManagementSystem (RMS)
Azure AD MFA avec cartes à puce Accès conditionnel Intune
Niveau 1 : valeur commerciale faible
Niveau 2 : valeur commerciale moyenne
Niveau 3 : valeur commerciale forte
Ne prendre en charge que lesconnexions HTTPS
Chiffrer les fichiers stockés dansAzure
Utiliser l archivage Azure KeyVault pour les clés dechiffrement
Azure AD MFA avec SMS
Azure RMS Azure AD MFA avec cartes à puce
Exiger HTTPS ou IPsec pouraccéder au serveur
Azure Disk Encryption
MFA avec SMS
MFA avec cartes à puce
1 2 3 4 5Cette rubrique est la sixième
d une série de six rubriques6
Azure IaaSAzure PaaSSaaS
Suite à la page suivante
Ressources de
sécurité du cloud
Stratégies des informations de Contoso
Optimiser les comptes d administrateur
pour le cloud
Contoso a effectué une révision complète des comptes d administrateur Windows Server AD existants et configuré une série de groupes et de
comptes d administrateurs du cloud.
1 Classer les données selon trois niveaux
Dans le cadre d une étude poussée, Contoso a défini les trois niveaux qui lui ont permis d identifier les fonctionnalités des offres cloud de Microsoft destinées à protéger ses données les plus précieuses.
2 Déterminer les stratégies d accès, de
conservation et de protection des
informations pour les niveaux de données
En fonction des niveaux de données, Contoso a déterminé des exigences précises, qui seront utilisées pour qualifier les futures charges de travail informatiques déplacées
vers le cloud.
3
Procédure de préparation à la sécurité du cloud selon Contoso
Autoriser l accès pour tous
Autoriser l accès aux employés,aux sous-traitants et auxpartenaires de Contoso
Utiliser MFA, TLS et MAM
Autoriser l accès aux cadres etaux responsables des équipesd ingénierie et de fabrication
RMS avec périphériques réseaugérés uniquement
Niveau 1 : valeur commerciale faible
Niveau 2 : valeur commerciale moyenne
Niveau 3 : valeur commerciale forte
6 mois
2 ans
7 ans
Utiliser le chiffrement
Utiliser les valeurs de hachage pour l intégrité des données
Utiliser des signatures numériques pour la non-répudiation des données
Accès Rétention des données Protection des informations
La sécurité dans un monde orienté cloud,
un nouveau cours de la Microsoft Virtual
Academy
http://aka.ms/securecustomermva
La sécurité dans un monde orienté cloud,
un nouveau cours de la Microsoft Virtual
Academy
http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect
Protection des informations
pour Office 365
http://aka.ms/o365infoprotect
Protection des informations
pour Office 365Sécurité cloud Microsoft pour les
architectes d entreprise
http://aka.ms/cloudarchsecurity
Sécurité cloud Microsoft pour les
architectes d entreprise
http://aka.ms/cloudarchsecurity
Septembre 2016 © 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].
