palais des congrès Paris

7, 8 et 9 février 2012

8 Février 2012

Nicolas LieutenantOnline Services Specialist Microsoft

Briques de sécurité pour Office 365

Olivier DetilleuxMVP ForefrontvNext

Fédération Les Atouts

Authentification Forte Une nécessité

Office 365

Chiffrement et IRM La sécurité au plus

prêt de vos documents

Stratégies d’accès Externe ou Interne ?

Office 365

• Service flexible avec licence par utilisateur et paiement à l'utilisation

• Expérience Office intégrée aux services Office 365

• Services préconfigurés pour un paramétrage simplifié

• Toujours la dernière version des applications Office, incluant Office Web Apps

• Expérience utilisateur Office connue pour accéder aux services

• Stockage des documents importants et partage de l'expertise via « My  Site »

• Amélioration des sites Équipe et Projet• Permissions au niveau du document pour

protéger du contenu sensible• Partage sécurisé de documents via

extranet• Recherche intersite

Office 365 Inclut…

• Messagerie instantanée et indicateur de présence

• Appel audio et vidéo de PC à PC• Communication d'un clic à partir d'Outlook, de

SharePoint et des autres applications Office• Réunions en ligne avec conférences audio et

vidéo et partage d'écran• Création d'une réunion d'un clic et participation

à partir d'Outlook• Intégration du calendrier avec Outlook et

Exchange

• 25 Go par boîte de réception • Outlook et Outlook Web App• Antivirus/anti-spam (Forefront)• Tâches, contacts et calendriers partagés• Messagerie mobile pour la plupart des

équipements y compris BlackBerry, iPhone, Nokia, Windows Phone

• Archivage des emails et respect de la conformité

Authentification

Fédération d’identité

Authentification forte

Authentification

Fédération d’identité

Options d’authentificationExpérience côté utilisateur

Microsoft Online IDs

Identités Fédérées

Sign in avec une identité dans le cloud

L’authentification s’effectue dans le cloud

Les utilisateurs ont 2 IDs : Un pour accéder aux services on-premise, et un pour les services dans le cloud

Les utilisateurs doivent fournir systématiquement leurs identifiants

Sign in avec une identités d’entreprise

L’authentification se fait on-premise

Les utilisateurs n’ont qu’une seule identités pour les 2 modes d’accès

Les utilisateurs bénéficient d’un SSO complet

Options d’authentificationConsidérations pour les administrateurs IT

Microsoft Online IDs

Identités Fédérées

Double gestion des stratégies de mot de passeUn reset de mot de passe s’effectue on-premise et dans le cloudPas d’intégration d’une authentification double facteur

Synchronisation d’annuaire nécessaireStratégie de mot de passe gérée on-PremiseReset de mot de passe seulement pour les IDs on-PremiseAuthentification double facteurs possibleNécessite la mise en oeuvre de services de fédérationMise en oeuvre de stratégies d’accès

Les ConceptsIdentity Provider (IP)

ActiveDirectory

Security Token Service (STS)

Utilisateur Demande d’authentification

Délivrance d’un jeton

Relying party /Resource provider

Fait confiance au jetondélivré par l’émetteur

Le jeton de sécurité contientdes informations de l’utilisateurPar exemple :• Nom• Appartenance des groupes• User Principal Name (UPN)• Email address• Email address du manager• N° de téléphone• D’autres valeurs d’attributs

Les jetons “authentifient” les Utilisateurs auprès des applications

ST

Signé par l’émetteur

Emetteur

ADFS v 2.0 supporte l’authentification active et passive des clients Les clients actifs intéragissent via Web Services Les clients passifs intéragissent via des requêtes Web

Le support des protocoles standards, permet l’interopérabilité avec des solutions tierces WS-* Federation

SharePoint et Office 365 nécessitent WS-* Federation v2 pour les scénarios Business avancés

SAML 2.0 SAML 1.1

Standards et Protocoles d’ADFS 2.0

Architecture: Options d’identité

• Microsoft Online IDs• Microsoft Online IDs + DirSync• Federated IDs + DirSync

Contoso customer premises

AD

Microsoft Online Directory

Sync

Identity platform

Provisioningplatform

LyncOnline

SharePoint® Online

Exchange Online

Active Directory Federation Server 2.0

Trust

Admin Portal

FederationGateway

DirectoryStore

Authentication platform

Microsoft Online Services

Fédération d’identitésFlux d’authentification (Passif/Profil Web)

`

Client(joined to CorpNet)

Authentication platformAD FS 2.0 Server

Exchange Online orSharePoint Online

Active Directory

Client Microsoft Online Services

ID Source

Logon (SAML 1.1) TokenUPN:user@contoso.comID Source: ABC123

Auth TokenUPN:user@contoso.comUnique ID: 254729

Fédération d’identitéAuthentification Active (Outlook/Active Sync)

`

Client(joined to CorpNet)

Authentication platformAD FS 2.0 Server

Exchange Online

Active Directory

Client Microsoft Online Services

User Source ID

Logon (SAML 1.1) TokenUPN:user@contoso.comSource User ID: ABC123

Auth TokenUPN:user@contoso.comUnique ID: 254729

Basic Auth CredentialsUsername/Password

Active Directory Federation Services 2.0 : Options de déploiement

• Configuration à 1 seul serveur• Ferme Active Directory Federation Services 2.0 et équilibrage de charge• Proxy Active Directory Federation Services 2.0 (pour les utilisateurs distants)

Enterprise DMZ

AD FS 2.0 ServerProxy

Internaluser

ActiveDirectory

AD FS 2.0 Server

AD FS 2.0 Server

AD FS 2.0 ServerProxy

Pré requis pour Microsoft Online Services Fédération d’identité supportée pour l’instant seulement

à travers Active Directory Federation Services 2.0 Les scénarios business Microsoft Online utilisent WS-*. WS-Trust: support pour l’authentification des clients

richesProtocoles supportés WS-*, SAML1.1 Pas de support de SAML 2.0 pour l’instant

Authentification forte pour les scénarios Web Via la page d’authentification d’Active Directory

Federation Services Proxy ou Microsoft Forefront® Unified Access Gateway SP1

Dans le détail

Domaines identiques Les domaines internes et externes sont les mêmes : Pas

d’actions particulièresSous domaine

Les domaines internes sont des sous domaines du domaine externe (par exemple, corp.contoso.com) : les domaines doivent être enregistrés dans l’ordre

Domaine Local Les domaines internes ne sont pas publiés (par exemple

contoso.local) donc ne peuvent pas être utilisés pour la fédération

Multiples domaines d’authentification Par exemple, certains utilisateurs s’authentifient avec le domaine

contoso.com, d’autres avec le domaine fabrikam.com. Ces 2 domaines doivent être dans la même forêt Active Directory : Depuis l’update 1 ADFS 1 seul service de fédération nécessaire

Multi-Forêts Pas de support pour le moment

Considérations Active Directory

Tous les utilisateurs doivent avoir un UPNLes UPNs doivent correspondre à un domaine fédéré Office 365 (pas de fédéréation avec les UPN locaux)Les utilisateurs doivent s’authentifier avec leur UPN sur les services Office 365 (ne nécessite pas un changement du type d’ouverture de session sur le poste de travail)

Règles générales

Démo : Authentification Fédérée

Authentification Forte

Stratégies d’accès

De l’importance du proxy ADFS

Authentification Forte

Le couple identifiant /mot de passe est le système le plus courant utilisé pour authentifier l’utilisateur N’offre pas la sécurité requise pour accéder à certains

services Mot de passe fixe pendant une longue durée de temps

Une nécessité de la mobilité Accès à des processus d’authentification de l’entreprise

depuis internet Contrer les risques d’attaques brute force, dictionnaire,

keylogger …

Le mot de passe n’offre pas une connexion entre l’accès physique et logique

Pourquoi l’authentification forte ?

25

L’authentification 2 facteurs utilise quelque chose que vous :

La combinaison de ces différents éléments vérifie l’identité de l’utilisateur

Comment vos utilisateurs peuvent-ils être protégés ?

26

AVEZ CONNAISSEZ

Customisation du formulaire d’authentification du proxy AD FS FormsSignIn.aspx FormsSignIn.aspx.cs

Exemple de mise en oeuvre : RSA Secure ID Gemalto SA Server InWebo

Mise en œuvre avec AD FS 2.0

27

ADFS Proxy

SA Server

Active Directory

ADFS Server

Client

Principe

user@contoso.com

password

pin

Login :

Mdp :

Otp :

SA Server Auth Request : - OTP ID

- User- Password- PIN

SA Server Auth Response : 200 OK

Logon (SAML 1.1) TokenUPN:user@contoso.comID Source: ABC123

Démo : Authentification Forte Gemalto SA Server

Stratégies d’accès

Permet de définir des droits d’accès à une “relying party” en fonction de la valeur de “claims”

Nouveauté AD FS Update 1 pour les proxy AD FS : Headers Office 365 interprétés en claims

X-MS-Forwarded-Client-IP : adresse IP Publique du client

X-MS-Client-Application : Protocole utilisé par le client

X-MS-Client-User-Agent : Type de périphérique utilisé par le client

X-MS-Proxy : nom du proxy traversé lors de l’accès X-MS-Endpoint-Absolute-Path : Nom du service AD

FS qui reçoit la requête

AD FS Issuance Authorization Rules

31

Exemple d’utilisation : Bloquer tous les accès externes SAUF les accès

Web

exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"]) &&NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip",Value=~"\b84\.83\.82\.81\b"]) &&NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/"])=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value = "true");

AD FS Issuance Authorization Rules

32

Démo : Stratégies d’accès

Protection des échanges

S/MIME AD RMS

Protection des échanges

S/MIME

S/MIME (Secure / Multipurpose Internet Mail Extensions) est une norme de cryptographie et de signature numérique de courriel encapsulés en format MIME. Elle assure l'intégrité, l'authentification, la non-répudiation et la confidentialité des données.S/MIME utilise des certificats numériques x.509 pour chiffrer les courriels. http://fr.wikipedia.org/wiki/S/MIME

S/MIME peut être utilisé à partir du produits Microsoft Outlook

Qu’est ce que S/MIME?

37

Office 365 n’héberge pas les fonctions S/MIME.

Office 365 ne propose pas de solution de dépôt de clé, la gestion des clés, ou encore de services d'annuaire clés

L’outil de synchronisation d’annuaire DirSync ne synchronise pas l’attribut AD userSMIMECertificate dans Office 365.

Outlook support S/MIME mais pas OWA

Les utilisateurs doivent stocker dans les contacts Outlook les clés publiques des destinataires à qui ils souhaitent envoyer des mails chiffrés

Il est possible de configurer Outlook pour récupérer directement les contact dans l’annuaire AD

S/MIME avec Office 365

S/MIME en démo

AD RMS

Rights Management Services est un composant Windows qui permet aux applications de protéger le contenuProtéger = Chiffrer et Droits d’Usages (DRM) http://technet.microsoft.com/en-us/library/

cc771627.aspx http://en.wikipedia.org/wiki/

Rights_Management_Services

Embarqué dans Windows Server depuis 2003. Dernière version dans Windows Server 2008 R2

RMS est intégré dans les produits Microsoft Clients Office (Excel, Word, PowerPoint, Outlook) SharePoint Exchange (en tant qu’IRM)

Qu’est ce que RMS ?

41

RMS intégré en tant qu’Information Rights Management (IRM) dans Exchange 2010 SP1 (inclus aussi dans OWA) Exchange Online in Office 365

Configuration à travers RMS Server et les cmdlets Exchange PowerShell

Les utilisateurs utilisent RMS dans les clients Office et OWA

Exchange Server ouvre automatiquement les contenus protégés par RMS pour permettre :

Transport routing Indexation pour les recherches Affichage dans OWA Communication unifiée

RMS dans Exchange

Protection persistente Protège vos informations sensibles où qu’elles soient stockées

ou envoyées Les droits d’usage sont vérouillés au niveau du document Protection en ligne ou hors ligne, en dehors ou à l’intérieur de

l’entreprise

Contrôle granulaire Les utilisateurs appliquent les protection directement lors de

l’écriture d’un mail Les entreprises peuvent créer des modèles de sécurité. Par

exemple : "Confidentiel—Lecture Seule" Limite l’accès aux fichiers aux seuls utilisateurs autorisés

Une protection granulaire qui suit les données

Information Rights Management (IRM) fournit une protection permanente aux documents pour contrôler qui peut accéder, forwarder, imprimer ou copier

Topologies Supportées

RMS est installé dans la foret de compte

Exchange dépend de RMS pour chiffrer et déchiffrer le contenu

Intégration possible des modèles RMS dans Exchange

IRM On-premise

Contoso Inc.

AD RMS Server

Exchange Server 2010

IRM avec Exchange Online

Contoso Inc.

AD RMS Server

Exchange Online

Embedded RMS Server

Exchange Online: • Utilisation d’un serveur embarqué

pour chiffrer et déchiffrer• Nécessite un service RMS on-Premise

pour gérer les modèles de sécurité

Outlook

OWA and Mobile

Configurer RMS avec Exchange Online

Etape 1 : Configurer RMS on-premise, et créer un modèle RMS Par exemple : Les membres du CODIR peuvent lire les mails

confidentiels Seuls les membres du groupe Projet XY peuvent lire et imprimer

Deux concepts clés : Les modèles RMS

Options que les utilisateurs peuvent sélectionner pour protéger un courrier

Définissent des droits

Trusted Publishing Domain Vu de très haut : c’est la clé privée pour le chiffrement du

contenu

Etape 2 : Exporter le TPD du serveur RMS on-Premise

Configurer un modèle RMS

Juste quelques cmdlets :

$LiveCred = Get-Credential –Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection

Import-PSSession $Session

Connection à Exchange Online via PowerShell

Toujours Via Powershell : Importation du couple TPD / Modèles

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path "<Path to exported TPD, i.e., c:\tpd.xml>" -ReadCount 0))

-Name "TPD Name“ -ExtranetLicensingUrl https://<external rms cluster hostname>/_wmcs/licensing

-IntranetLicensingUrl https://<internal rms cluster hostname>/_wmcs/licensing

Etape 3: Importer le TPD dans Exchange Online

Par défaut, les modèles ne sont pas visibles pour les utilisateurs

Via powerShell : On affiche tous les modèles chargés Get-RMSTemplate -Type:All

On rend visible, càd “Distributed”, le modèle voulu Set-RMSTemplate -Identity <template identity> -

Type:Distributed

Etape 4 : Rendre les modèles visibles par les utilisateurs

Il suffit d’une commande powerShell Set-IRMConfiguration -InternalLicensingEnabled

$true

Etape 5 : Activer IRM dans Exchange Online

RMS en démo

Ce qu’il faut retenir

La fédération d’identité avec Office 365 délègue l’authentification à votre infrastructure interne.

La possibilité d’intégrer une authentification forte pour les servicesWeb

Ce qu’il faut retenir

La possibilité de protéger votre contenu avec S/MIME et RMS

Un contrôle d’accès en fonction de la localisation des PC

Merci

Avez-vous des questions ?