Embed Size (px)
DESCRIPTION
FFace à l’inflation réglementaire, à la consumérisation de l'IT (CoIT) et au « Bring Your Own Device » (BYOD), à l'explosion du numérique qui dévore inexorablement notre monde, à l'entreprise sociale qui permet de nouvelles formes de collaboration, etc., les entreprises de toutes tailles sont confrontées à des besoins croissants de protection de leurs informations sensibles. Dans le même temps, ces entreprises doivent partager en toute sécurité cette même information entre les collaborateurs appropriés et avec d'autres personnes à l'intérieur et à l'extérieur du réseau d'entreprise. Le nouveau service Microsoft de gestion de droits (Microsoft Rights Management service ou RMS) offre la possibilité de créer et consommer des contenus protégés tels que les mèls et les documents de tout type (et pas seulement les documents Microsoft Office). Ce service est disponible sous forme d'abonnement autonome pour une infrastructure à demeure avec le connecteur Microsoft RMS. Découvrez dans cette session comment activer ce service, déployer facilement le connecteur RMS et dès lors bénéficier directement de ce service - en lieu et place d’une infrastructure AD RMS - dans Exchange Server, SharePoint Server et Microsoft Office ainsi que dans Windows Server pour appliquer une protection persistante sur le contenu de façon à répondre aux besoins spécifique de votre entreprise. A l'ère "post-Snowden" où la confiance s’installe dorénavant comme une question centrale – la confiance ne se décrète pas mais se mérite… comme chacun sait -, cette session abordera certaines capacités complémentaires du service. Elle illustrera ainsi la capacité « Bring Your Own Key » (BYOK). Si vous avez besoin d'utiliser une clé générée par, archivée et placée sous le contrôle de vos responsables de sécurité, cette capacité est faite pour vous ! La session présentera comment cette capacité permet d’assurer que la clé de votre locataire Microsoft RMS est traitée dans un module de sécurité matériel (HSM) de notre partenaire Thalès. La session abordera également la capacité de journalisation quasi-temps réel de toutes les activités liées à Microsoft RMS et à l’utilisation de vos clés (avec la capacité BYOK). Elle illustrera la mise en œuvre et l’exploitation de cette capacité pour ainsi surveiller l'utilisation de votre locataire Microsoft RMS au fil du temps. Speakers : Eric Portrait (Thales), Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France)
Citation preview
Sécurité
Protéger vos données à demeure avec le
nouveau service Microsoft RMS et les
boitiers HSM Thalès
Philippe Beraud, Arnaud Jumelet
Direction Technique | Microsoft France
Eric Portrait
Thalès e-Security
[email protected], @philberd
[email protected], @arnaud_jumelet
#mstechdays Sécurité
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays !
Donnez votre avis !
#mstechdays Sécurité
Agenda
Mise en œuvre du connecteur RMS
Aller plus loin, avec l'option BYOK et les boîtiers HSM Thales
2 3
Vue d’ensemble Microsoft RMS
1
#mstechdays Sécurité
• Est une technologie de protection et de contrôle
– Contre la divulgation d’information
• Offre une protection de l’information au repos, en transit et en cours
d’utilisation via un mécanisme persistant de chiffrement
• Garantit que seules les personnes préalablement autorisés peuvent
consulter l’information
– Avec une gestion des droits d’utilisation
• Permet de définir qui peut ouvrir, modifier, imprimer, transférer et / ou
entreprendre d’autres actions avec l’information protégée
• Permet de fixer une date d’expiration pour l’information protégée
Microsoft RMS
#mstechdays Sécurité
• Permet de protéger vos documents et vos messages
électroniques
– Prend en charge tous les types de fichiers : fichiers PDF, Office,
texte, image, e-mails, etc.
– L’application n’est pas compatible avec RMS ? Utilisez alors la
protection générique et l’App gratuite de partage (RMS Sharing
App)
• Permet de consulter l’information protégée sur les
appareils importants
– Windows, Windows RT, Windows Phone, Mac OS/X, iOS, et
Android
Microsoft RMS
#mstechdays Sécurité
• Est disponible avec Office 365…
– (Cf. session précédente : Protéger vos données dans un contexte
BYOD/Office 365 avec Microsoft RMS)
• …Mais également en autonome sans Office 365 pour vos
charges de travail à demeure
– Via le connecteur RMS et les applications compatibles RMS
– Aucune infrastructure (AD RMS) requise à demeure
Microsoft RMS
#mstechdays Sécurité
• Permet une collaboration sécurisée
– Entre les collaborateurs de l’entreprise
– En dehors de l’entreprise avec
• Toute personne abonnée à Microsoft RMS autonome
• Toute personne abonnée à Office 365
• Toute autre personne. Invitez-là à s’inscrire gratuitement et sans effort
à l’offre "RMS pour les particuliers" : https://portal.aadrm.com
Collaboration sécurisée avec Microsoft RMS
#mstechdays Sécurité
• Disponible via les programmes de licences en volume Microsoft Enterprise (EA / EAS / EES)– Les clients Enterprise CAL (ECAL) peuvent ajouter le service
Microsoft RMS
– 1,50€/utilisateur/mois (en quantités de 1) pour chaque créateur de contenu
• Inclut le droit d’utiliser AD RMS sur site
• La consommation et la collaboration sur un document déjà protégé sont gratuites. Seule la protection initiale est soumise à licence
Microsoft RMS en mode autonome
Sécurité#mstechdays
COMPRENDRE LE CONNECTEUR
RMS
#mstechdays Sécurité
• Est un simple proxy/relais qui interface les serveurs à
demeure au service Microsoft RMS
– Autorise un déploiement simple, avec juste deux serveurs pour la
redondance
• Toute la configuration est stockée automatiquement dans le cloud
– Permet une administration simple
• Maintient une liste des applications autorisées
– SharePoint 2010/2013, Exchange 2010/2013 configurés comme
s’ils parlaient à AD RMS à demeure
Connecteur RMS
#mstechdays Sécurité
Qu’est-ce que le connecteur Microsoft
RMS ?Windows
Azure Active
Directory
Synchronization Tool
Exchange
2010/2013
Azure RMS
Microsoft RMS
Connector
SharePoint
2010/2013
Active
Directory
#mstechdays Sécurité
• Activer Microsoft RMS – Etape réalisée dans l’interface de gestion de Microsoft RMS (ou en Windows PowerShell)
– Même étape que pour l’utilisation de Microsoft RMS avec Office 365
• Requiert Windows Server 2008 R2 ou Windows Server 2012– Divers SKU’s pris en charge (Toutes les versions non-core versions supportées)
– Mêmes exigences matériels minimales que l’OS de base
• Requiert la synchronisation AD vers le locataire Windows Azure AD– Permet les recherches d’utilisateurs et l’expansion de groupe pour l’autorisation
• DirSync ou FIM 2010 R2 avec le connecteur Windows Azure AD
– Suppose pour une expérience SSO la synchronisation de mots de passe ou l’authentification unique avec ADFS (ou un autre STS supporté)
• Se fédérer avec le locataire Windows Azure AD– Mettre en œuvre DirSync (ou FIM avec le connecteur Windows Azure AD)
– Mettre en œuvre AD FS ou activer la synchronisation de mot de passe (optionnel)
Pré-requis du connecteur RMS
#mstechdays Sécurité
1. Installer le connecteur RMS
2. Configurer le connecteur RMS
3. Configurer la répartition de charge et SSL (optionnel)
4. Préparer Exchange Server/SharePoint Server pour
dialoguer avec le connecteur RMS
5. Activer la capacité RMS dans Exchange
Server/SharePoint Server
Mise en œuvre du connecteur RMS
Sécurité#mstechdays
INSTALLER LE CONNECTEUR RMS
#mstechdays Sécurité
#mstechdays Sécurité
#mstechdays Sécurité
#mstechdays Sécurité
#mstechdays Sécurité
#mstechdays Sécurité
Sécurité#mstechdays
CONFIGURER LE CONNECTEUR
RMS
#mstechdays Sécurité
#mstechdays Sécurité
#mstechdays Sécurité
#mstechdays Sécurité
#mstechdays Sécurité
Sécurité#mstechdays
PRÉPARER EXCHANGE SERVER ET
SHAREPOINT SERVER POUR
MICROSOFT RMS
#mstechdays Sécurité
• MAJ requise pour Exchange 2010/2013 – Disponible sous la forme d’un CU (Cumulative Update)
• Exchange Server 2010 with Exchange 2010 Service Pack 3 Rollup Update 2
• Exchange Server 2013 with Exchange 2013 Cumulative Update 3
• OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)
• MAJ requise pour SharePoint 2010/2013– Via le client MSIPC 2.1 (AD RMS Client 2.1)
– OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)
• Configuration requise pour utiliser le connecteur RMS– Appliquée via le Registre pour router les appels via le connecteur
RMS vers Microsoft RMS• Outillage additionnel pour générer les fichiers Registre, la configuration locale
ou celle relative aux GPOs
Configurer Exchange et SharePoint
#mstechdays Sécurité
Récupérer l’URL du service RMSPS C:\> Import-Module AADRM
PS C:\> Connect-AadrmService –Verbose
PS C:\> Enable-Aadrm
PS C:\> Get-AadrmConfiguration
(Permet d’obtenir l’URL du service dans le champs LicensingIntranetDistributionPointUrl par exemple. Dans notre configuration : https://3599e415-dcde-4c14-ba31-765d543c5f25.rms.eu.aadrm.com)
#mstechdays Sécurité
Configurer la redirection pour Exchange
2010 HKLM\Software\Microsoft\MSDRM\ServiceLocation\Activation
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"
HKLM\Software\Microsoft\MSDRM\ServiceLocation\EnterprisePublishing
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"
HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\CertificationServerRedirection REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification"
HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection
REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorName>/_wmcs/licensing"
#mstechdays Sécurité
Configurer la redirection pour Exchange
2013 HKLM\Software\Microsoft\MSDRM\ServiceLocation\Activation
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"
HKLM\Software\Microsoft\MSDRM\ServiceLocation\EnterprisePublishing
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\CertificationServerRedirection
REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification"
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection
REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorURL>/_wmcs/licensing"
#mstechdays Sécurité
Configurer la redirection pour SharePointHKLM\SOFTWARE\Microsoft\MSIPC\ServiceLocation\LicensingRedirection
REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing"="http://<connectorName>/_wmcs/licensing"
Sécurité#mstechdays
ACTIVER EXCHANGE SERVER
POUR MICROSOFT RMS
#mstechdays Sécurité
Activer Exchange pour Microsoft RMS PS C:\> Set-IRMConfiguration -InternalLicensingEnabled $true
PS C:\> Test-IRMConfiguration –sender [email protected]
PS C:\> Get-IRMConfiguration
Sécurité#mstechdays
ACTIVER SHAREPOINT SERVER
POUR MICROSOFT RMS
Design/UX/UI#mstechdays Sécurité
ACTIVER ET CONFIGURER
SHAREPOINT SERVER POUR
MICROSOFT RMS
Sécurité#mstechdays
BRING-YOUR-OWN-KEY
Avec Microsoft RMS et les boitiers HSMs Thales
#mstechdays Sécurité
• Permet de créer des clés cryptographiques et de les
protéger
– De manière à ce qu’elles ne puissent être déchiffrées que par le
HSM, et PAS être exportées
• Réalise des opérations cryptographiques comme le
chiffrement et les signatures numériques
Boitier HSM (Hardware Security Module)
#mstechdays Sécurité
• 19 des 20 plus grandes banques mondiales
• Plus de 3000 institutions financières
• 70 % des transactions bancaires dans le monde
• 3 des plus grands instituts pharmaceutiques
• 4 des 5 plus grands industriels pétrochimiques
• 9 des 10 plus grands industriels High-Tech
• 25 pays membres de l’OTAN sont équipés de solutions
Thales
Thalès e-Security en quelques chiffres
#mstechdays Sécurité
• Utilise une clé importante propre à chaque locataire
– La "clé de locataire" qui est le point d’ancrage du modèle de
confiance
• La fonctionnalité Bring-Your-Own-Key (BYOK) vous
donne
– La capacité de générer, d’importer et de déléguer le privilège
d’utilisation de cette clé à Microsoft pour opérer le service
Microsoft RMS
– L'assurance que les opérateurs Microsoft ne peuvent pas voir,
récupérer, exporter, dupliquer ou voler votre clé RMS lors de
l'importation ou lors du fonctionnement du service Microsoft RMS
Microsoft RMS et les clés
cryptographiques
#mstechdays Sécurité
• Des logs en quasi-temps réel vous permettent d’observer
l'utilisation de votre clé
– Étant donné que vous nous donnez le droit d’utiliser vos clés,
vous avez le droit de contrôler l’usage qui en fait Nous vous
donnons les journaux en quasi-temps réel
Bring-Your-Own-Key
IPC in Office 365 with Microsoft RMS
Livres blancs et guides Etape-par-Etape
Leverage the RMS connector with Microsoft RMS
Get usage logs with Microsoft RMS
Bring-Your-Key with Microsoft RMS
Share protected content with Microsoft RMS
Pour aller au-delàmicrosoft.com/rms
Microsoft TechNet Documentation
http://technet.microsoft.com/en-us/dn175751
Microsoft MSDN Documentation
http://msdn.microsoft.com/en-
us/library/windows/desktop/dn223672(v=vs.85).aspx
Blogs Groupe produit Microsoft RMS
http://blogs.technet.com/b/rms/
http://blogs.msdn.com/b/rms/
Digital is
business
