Sécurité

Protéger vos données à demeure avec le nouveau service Microsoft RMS et

les boitiers HSM Thalès

Philippe Beraud, Arnaud JumeletDirection Technique | Microsoft France

Eric PortraitThalès e-Security

philippe.beraud@microsoft.com, @philberdarnaud.jumelet@microsoft.com, @arnaud_jumelet

eric.portrait@thalesgroup.com

#mstechdaysSécurité

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays !

Donnez votre avis !

#mstechdaysSécurité

Agenda

Mise en œuvre du connecteur RMS

Aller plus loin, avec l'option BYOK et les boîtiers HSM Thales

2 3

Vue d’ensemble Microsoft RMS

1

#mstechdaysSécurité

• Est une technologie de protection et de contrôle– Contre la divulgation d’information

• Offre une protection de l’information au repos, en transit et en cours d’utilisation via un mécanisme persistant de chiffrement

• Garantit que seules les personnes préalablement autorisés peuvent consulter l’information

– Avec une gestion des droits d’utilisation• Permet de définir qui peut ouvrir, modifier, imprimer,

transférer et / ou entreprendre d’autres actions avec l’information protégée

• Permet de fixer une date d’expiration pour l’information protégée

Microsoft RMS

#mstechdaysSécurité

• Permet de protéger vos documents et vos messages électroniques– Prend en charge tous les types de fichiers : fichiers PDF, Office,

texte, image, e-mails, etc.– L’application n’est pas compatible avec RMS ? Utilisez alors la

protection générique et l’App gratuite de partage (RMS Sharing App)

• Permet de consulter l’information protégée sur les appareils importants– Windows, Windows RT, Windows Phone, Mac OS/X, iOS, et

Android

Microsoft RMS

#mstechdaysSécurité

• Est disponible avec Office 365…– (Cf. session précédente : Protéger vos données dans un

contexte BYOD/Office 365 avec Microsoft RMS)

• …Mais également en autonome sans Office 365 pour vos charges de travail à demeure– Via le connecteur RMS et les applications compatibles RMS– Aucune infrastructure (AD RMS) requise à demeure

Microsoft RMS

#mstechdaysSécurité

• Permet une collaboration sécurisée – Entre les collaborateurs de l’entreprise– En dehors de l’entreprise avec

• Toute personne abonnée à Microsoft RMS autonome• Toute personne abonnée à Office 365• Toute autre personne. Invitez-là à s’inscrire gratuitement et

sans effort à l’offre "RMS pour les particuliers" : https://portal.aadrm.com

Collaboration sécurisée avec Microsoft RMS

#mstechdaysSécurité

• Disponible via les programmes de licences en volume Microsoft Enterprise (EA / EAS / EES)– Les clients Enterprise CAL (ECAL) peuvent ajouter le

service Microsoft RMS– 1,50€/utilisateur/mois (en quantités de 1) pour chaque

créateur de contenu• Inclut le droit d’utiliser AD RMS sur site

• La consommation et la collaboration sur un document déjà protégé sont gratuites. Seule la protection initiale est soumise à licence

Microsoft RMS en mode autonome

#mstechdaysSécurité

• Souscrire en ligne à l’offre– https

://portal.microsoftonline.com/Signup/MainSignUp15.aspx?&OfferId=9DF77AF9-DAAE-4d51-8E0E-EEEADD4866B8&dl=RIGHTSMANAGEMENT

• Tester la solution– https://portal.microsoftonline.com/Signup/MainSignUp15.a

spx?&OfferId=A43415D3-404C-4df3-B31B-AAD28118A778&dl=RIGHTSMANAGEMENT

Obtenir Microsoft RMS autonome

Sécurité#mstechdays

COMPRENDRE LE CONNECTEUR RMS

#mstechdaysSécurité

• Est un simple proxy/relais qui interface les serveurs à demeure au service Microsoft RMS– Autorise un déploiement simple, avec juste deux serveurs

pour la redondance• Toute la configuration est stockée automatiquement dans le

cloud

– Permet une administration simple• Maintient une liste des applications autorisées

– SharePoint 2010/2013, Exchange 2010/2013 configurés comme s’ils parlaient à AD RMS à demeure

Connecteur RMS

#mstechdaysSécurité

Qu’est-ce que le connecteur Microsoft RMS ?

Windows Azure Active

Directory

Synchronization Tool

Exchange2010/2013

Azure RMS

Microsoft RMS Connector

SharePoint2010/2013

Active Directory

#mstechdaysSécurité

• Activer Microsoft RMS – Etape réalisée dans l’interface de gestion de Microsoft RMS (ou en Windows PowerShell)– Même étape que pour l’utilisation de Microsoft RMS avec Office 365

• Requiert Windows Server 2008 R2 ou Windows Server 2012– Divers SKU’s pris en charge (Toutes les versions non-core versions supportées)– Mêmes exigences matériels minimales que l’OS de base

• Requiert la synchronisation AD vers le locataire Windows Azure AD– Permet les recherches d’utilisateurs et l’expansion de groupe pour l’autorisation

• DirSync ou FIM 2010 R2 avec le connecteur Windows Azure AD– Suppose pour une expérience SSO la synchronisation de mots de passe ou l’authentification

unique avec ADFS (ou un autre STS supporté)

• Se fédérer avec le locataire Windows Azure AD– Mettre en œuvre DirSync (ou FIM avec le connecteur Windows Azure AD)– Mettre en œuvre AD FS ou activer la synchronisation de mot de passe (optionnel)

Pré-requis du connecteur RMS

#mstechdaysSécurité

1. Installer le connecteur RMS2. Configurer le connecteur RMS3. Configurer la répartition de charge et SSL

(optionnel) 4. Préparer Exchange Server/SharePoint Server pour

dialoguer avec le connecteur RMS5. Activer la capacité RMS dans Exchange

Server/SharePoint Server

Mise en œuvre du connecteur RMS

Sécurité#mstechdays

INSTALLER LE CONNECTEUR RMS

démo

Design/UX/UI#mstechdays

Sécurité

INSTALLER LE CONNECTEUR RMS

#mstechdaysSécurité

#mstechdaysSécurité

#mstechdaysSécurité

#mstechdaysSécurité

#mstechdaysSécurité

#mstechdaysSécurité

Sécurité#mstechdays

CONFIGURER LE CONNECTEUR RMS

démo

Design/UX/UI#mstechdays

Sécurité

CONFIGURER LE CONNECTEUR RMS

#mstechdaysSécurité

#mstechdaysSécurité

#mstechdaysSécurité

#mstechdaysSécurité

#mstechdaysSécurité

Sécurité#mstechdays

PRÉPARER EXCHANGE SERVER ET SHAREPOINT SERVER POUR MICROSOFT RMS

#mstechdaysSécurité

• MAJ requise pour Exchange 2010/2013 – Disponible sous la forme d’un CU (Cumulative Update)

• Exchange Server 2010 with Exchange 2010 Service Pack 3 Rollup Update 2• Exchange Server 2013 with Exchange 2013 Cumulative Update 3• OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)

• MAJ requise pour SharePoint 2010/2013– Via le client MSIPC 2.1 (AD RMS Client 2.1)– OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)

• Configuration requise pour utiliser le connecteur RMS– Appliquée via le Registre pour router les appels via le connecteur

RMS vers Microsoft RMS• Outillage additionnel pour générer les fichiers Registre, la configuration locale

ou celle relative aux GPOs

Configurer Exchange et SharePoint

#mstechdaysSécurité

Récupérer l’URL du service RMSPS C:\> Import-Module AADRMPS C:\> Connect-AadrmService –VerbosePS C:\> Enable-AadrmPS C:\> Get-AadrmConfiguration(Permet d’obtenir l’URL du service dans le champs LicensingIntranetDistributionPointUrl par exemple. Dans notre configuration : https://3599e415-dcde-4c14-ba31-765d543c5f25.rms.eu.aadrm.com)

#mstechdaysSécurité

Configurer la redirection pour Exchange 2010 HKLM\Software\Microsoft\MSDRM\ServiceLocation\ActivationREG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"

HKLM\Software\Microsoft\MSDRM\ServiceLocation\EnterprisePublishingREG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"

HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\CertificationServerRedirection REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification" HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorName>/_wmcs/licensing"

#mstechdaysSécurité

Configurer la redirection pour Exchange 2013 HKLM\Software\Microsoft\MSDRM\ServiceLocation\Activation REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"

HKLM\Software\Microsoft\MSDRM\ServiceLocation\EnterprisePublishingREG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"

HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\CertificationServerRedirection REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" = "http(s)://<connectorName>/_wmcs/certification"

HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" = "http(s)://<connectorURL>/_wmcs/licensing"

#mstechdaysSécurité

Configurer la redirection pour SharePointHKLM\SOFTWARE\Microsoft\MSIPC\ServiceLocation\LicensingRedirectionREG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing"="http://<connectorName>/_wmcs/licensing"

Sécurité#mstechdays

ACTIVER EXCHANGE SERVER POUR MICROSOFT RMS

#mstechdaysSécurité

Activer Exchange pour Microsoft RMS PS C:\> Set-IRMConfiguration -InternalLicensingEnabled $true

PS C:\> Test-IRMConfiguration –sender chris@corp-contoso.com

PS C:\> Get-IRMConfiguration

Sécurité#mstechdays

ACTIVER SHAREPOINT SERVER POUR MICROSOFT RMS

#mstechdaysSécurité

démo

Design/UX/UI#mstechdays

Sécurité

ACTIVER ET CONFIGURER SHAREPOINT SERVER POUR MICROSOFT RMS

Sécurité#mstechdays

BRING-YOUR-OWN-KEY

Avec Microsoft RMS et les boitiers HSMs Thales

#mstechdaysSécurité

• Permet de créer des clés cryptographiques et de les protéger– De manière à ce qu’elles ne puissent être déchiffrées que

par le HSM, et PAS être exportées

• Réalise des opérations cryptographiques comme le chiffrement et les signatures numériques

Boitier HSM (Hardware Security Module)

#mstechdaysSécurité

• 19 des 20 plus grandes banques mondiales• Plus de 3000 institutions financières• 70 % des transactions bancaires dans le monde• 3 des plus grands instituts pharmaceutiques• 4 des 5 plus grands industriels pétrochimiques• 9 des 10 plus grands industriels High-Tech• 25 pays membres de l’OTAN sont équipés de

solutions Thales

Thalès e-Security en quelques chiffres

#mstechdaysSécurité

• Utilise une clé importante propre à chaque locataire– La "clé de locataire" qui est le point d’ancrage du modèle

de confiance

• La fonctionnalité Bring-Your-Own-Key (BYOK) vous donne– La capacité de générer, d’importer et de déléguer le

privilège d’utilisation de cette clé à Microsoft pour opérer le service Microsoft RMS

– L'assurance que les opérateurs Microsoft ne peuvent pas voir, récupérer, exporter, dupliquer ou voler votre clé RMS lors de l'importation ou lors du fonctionnement du service Microsoft RMS

Microsoft RMS et les clés cryptographiques

#mstechdaysSécurité

• Des logs en quasi-temps réel vous permettent d’observer l'utilisation de votre clé– Étant donné que vous nous donnez le droit d’utiliser vos

clés, vous avez le droit de contrôler l’usage qui en fait Nous vous donnons les journaux en quasi-temps réel

Bring-Your-Own-Key

Disponibles sur le Centre de téléchargement

IPC in Office 365 with Microsoft RMS

Livres blancs et guides Etape-par-EtapeLeverage the RMS connector with Microsoft RMS

Get usage logs with Microsoft RMS

Bring-Your-Key with Microsoft RMS

Share protected content with Microsoft RMS

Pour aller au-delàmicrosoft.com/rms

Microsoft TechNet Documentationhttp://technet.microsoft.com/en-us/dn175751

Microsoft MSDN Documentationhttp://msdn.microsoft.com/en-us/library/windows/desktop/dn223672(v=vs.85).aspx

Blogs Groupe produit Microsoft RMShttp://blogs.technet.com/b/rms/http://blogs.msdn.com/b/rms/

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business