Quoi de neuf pour les identités dans Office 365 ?

Sécurité

Quoi de neuf pour les identités dans Office 365 ?

Philippe Beraud et Arnaud JumeletDirection Technique | Microsoft France

Denis CarnielLogin People

[email protected]@microsoft.com

[email protected]

mailto:[email protected]



#mstechdaysSécurité

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays !

Donnez votre avis !

http://notes.mstechdays.fr/


Notre agenda pour cette session

Annoncés/ disponibles récemment…

Options d’intégration en matière d’identité

2 3

Vue d’ensemble des identités Office 365

1

Sécurité#mstechdays

VUE D’ENSEMBLE DES IDENTITÉS OFFICE 365

Plate-forme d'identité commune pour les comptes professionnels

Windows Azure AD est la plateforme d’identité sous-jacente pour les différents services cloud qui utilisent des comptes professionnels

Magasin

Annuaire

Plateforme d’authentification

Windows Azure Active Directory

Votre application


Identité Office 365

Identité unique dans le Cloud qui convient pour les (petites) entreprises sans intégration aux annuaires à demeure

Identité Cloud

Windows Azure AD

Syn. Annuaire

Identité unique adapté pour les moyennes et grandes entreprises sans fédération

Identité Cloud + Synchronisation d’annuaire

Windows Azure AD

Identité fédérée et informations d’identification uniques appropriés pour les moyennes et grandes entreprises

Identité fédérée

Windows Azure AD


ANNONCÉS/ DISPONIBLES RÉCEMMENT…


Mise à jour: synchronise les mots de passe utilisateur de l’AD à demeure vers Windows Azure ADSeul un condensat unidirectionnel du mot de passe sera synchronisé de telle sorte que le mot de passe d’origine ne puisse être reconstruit à partir de celui-ciRespecte les politiques de mots de passe à demeure Ne peut pas synchroniser les mots de passe pour les utilisateurs fédérés, mais les deux peuvent coexister

"Simple Sign-On"Permet aux utilisateurs d’avoir le même nom d’utilisateur/mot de passe

Windows Azure Active Directory Sync Tool (DirSync)

SAML2Identity Provider


• Mise à jour: disponibilité du connecteur Windows Azure AD pour FIM 2010 R2– Peut être utilisé dans des scénarios non pris en charge

par DirSync, par exemple pour la synchronisation multi-forêt AD et avec des sources non-AD• Nous recommandons toujours d'utiliser DirSync comme la

principale solution pour synchroniser AD à Windows Azure AD et de l'utiliser chaque fois que possible

– The connecteur est livré avec un exemple de configuration et de code pour le scénario forêt de comptes/forêt de ressources

Provisioning Windows Azure AD


• API Windows Azure AD GRAPH API– API REST pour un accès programmatique aux données

dans Windows Azure AD– Permet de construire des applications multi-locataires, ou

des applications Métier personnalisées– Peut-être désormais utilisée pour créer des utilisateurs

fédérés et cloud, assigner des licences, etc.

Provisioning Windows Azure AD


• Authentification d’entreprise à l’aide de tout téléphone/ smartphone

• Disponible gratuitement pour les administrateurs Office 365…

• Et… désormais également disponible pour les utilisateurs Office 365

• Fonctionne avec tous les services Office 365 de type Web– Outlook Web App, SharePoint Online

• Requiert des mots de passe applicatifs pour les clients riches– Non disponibles pour les administrateurs– 16 caractères générés

Authentification multi-facteur (MFA) pour Office 365


MFA pour Office 365

Apps Mobile Appels téléphoniques

Messages texte

ALERT

1 4 5 6 7 6

Push Notification, jeton OTP (One-Time Passcode)

• Authentification d’entreprise à l’aide de tout téléphone/smartphone

démo

Design/UX/UI#mstechdays

Sécurité

MFA POUR OFFICE 365

Illustration de l’expérience utilisateur


MFA pour Office 365

• Inclus dans tous les SKUs Office 365 SANS coût additionnel

• Sécurise les ressources Office 365 uniquement

Windows Azure MFA

• Capacités avancées MFA pour Office 365• Architectures hybrides Office 365

comprenant des serveurs à demeure

• Sécurise les ressources de multiples apps SaaS

• Sécurise les ressources à demeure et Cloud comprenant les apps Métier, VPN, etc.

• Comprend le portail Windows Azure MFA, MFA Server, et le SDK

Windows Azure MFA nécessite un abonnement Windows Azure

L’utilisation d’Office 365 avec Windows Azure MFA nécessite un lien de l’abonnement Windows Azure vers le locataire Office 365

• Ai-je besoin de Windows Azure MFA ?

Windows Azure Multi-Factor Authentication

Windows Azure MFA vs. MFA pour Office 365

MFA pour Office 365 Windows Azure MFA

Les administrateurs peuvent activer/appliquer MFA aux utilisateurs finaux

Utilisation de l’App mobile (notifications et OTP) comme second facteur

Utilisation d’appel téléphonique comme second facteur d’authentification

Utilisation de SMS comme second facteur d’authentification Mots de passe applicatif pour les clients riches (par ex. Outlook, Lync)

Message vocal Microsoft lus pendant un appel MFA Messages vocaux personnalisés lus pendant un appel MFA Alerte fraude Kit de développement logiciel (SDK) MFA Rapports de sécurité MFA pour les applications à demeure/ MFA Server. Contournement à usage unique Bloquer/Débloquer des utilisateurs Numéro de téléphone de l’ID de l’appelant personnalisable Confirmation d’évènement


• MAJ des clients Office ProPlus (2013) pour le support de MFA pour Office 365/Windows Azure MFA– Plus besoin des mots de passe applicatifs avec les clients

mis à jour– Outlook, Lync, Word, Excel, PowerPoint, PowerShell,

SkyDrive Pro– Capacité d’intégration pour des solutions tierces-parties

d’authentification multi-facteurs et prise en charge des cartes à puce

• Disponible en 2014

Authentification multi-facteur pour les clients Office


OPTIONS D’INTÉGRATION EN MATIÈRE D’IDENTITÉDe multiples façon de s’intégrer avec Windows Azure AD : Des clients différents ont potentiellement des scénarii différents qui requièrent des solutions différentes

Options d’intégration en matière d’identité

Identité Cloud DirSync DirSync et mots de passe

PowerShell/Graph API

FIM 2010 R2 Identité fédérée (SSO)

Taille de l’entreprise

Petite Toute Toute Grande Grande Grande

Contrôle des attributs dans l’annuaire

Moindre contrôle Contrôle complet via l’annuaire local

Contrôle complet via l’annuaire local

Peut contrôler les attributs de base et sélectionner les optionnels

Peut contrôler les attributs de base et sélectionner les optionnels

Contrôle complet via l’annuaire local

Source de l’autorité

Cloud A demeure A demeure Cloud A demeure A demeure

Configuration matérielle

Aucun matériel à demeure requis

OS Windows Server pour l’outil DirSync

OS Windows Server pour l’outil DirSync

Machine pour exécuter des jobs PowerShell/faire des appels REST

OS Windows Server OS pour FIM 2010 R2 avec le connecteur Windows Azure AD

Syn. Annuaire Déploiement ADFS (ou autre STS)

Expérience de connexion

Noms d'utilisateur et mots de passe à demeure et Cloud disjoints

Entrer les informations d'identification à deux reprisesSupport MFA

Mêmes noms d'utilisateur à demeure et Cloud mais mots de passe disjoints


Même noms d'utilisateur et mots de passe à demeure et Cloud






Même noms d'utilisateur et mots de passe à demeure et Cloud

Connexion une fois si à demeureSupport MFA (ou autres solutions 2FA)

1 2 3 4 5 6


• Vous n'avez pas besoin de mettre en place le SSO juste parce que vous synchronisez mais vous devez synchroniser afin d'utiliser le SSI– Vous pourriez utiliser PowerShell/Graph API pour créer vos

données d'annuaire, mais ceci induit des coûts additionnels de gestion et ne constitue pas un scénario officiellement documenté ou supporté

• Le SSO est pris en charge pour n’importe quelle solution de synchronisation– Forêt unique, multi-forêt, etc.

• Vous pouvez contrôler quels objets synchroniser dans Windows Azure AD, mais vous ne pouvez pas contrôler quelle partie des objets synchroniser

Questions fréquentes


• Expérience riche avec les applications Office

• Facilité de déploiement, de gestionet de support

• Moindre coût, car aucun serveur additionnel n’est nécessaire à demeure

• Haute disponibilité et fiabilité comme les identités et les services sont gérés dans le Cloud

Identité Cloud

Identité CloudEx: [email protected]

1

Utilisateur


Utilisateur


• Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne

• Les identités sont crées et gérées à demeure et synchronisées dans le Cloud

• Identité unique mais pas de SSO entre les services à demeure et les services Office 365

• Réutilisation de l’infrastructure d’annuaire AD à demeure

DirSync

Identité à demeureEx: Domain\Alice

Synchronisation d’annuaire


2


Utilisateur


• Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne

• Les identités sont crées et gérées à demeure et synchronisées dans le Cloud

• Identité et informations d’identification (mot de passe) uniques mais pas de SSO entre les services à demeure et les services Office 365

• Réutilisation de l’infrastructure d’annuaire AD à demeure

Synchronisation de mots de passe


Synchronisation d’annuaire avec condensat de mot de passe


3


DirSync ou SSO

* Via Authentification multi-facteur

** Via Authentification multi-facteur ou d’autres solutions 2FA solutions disponibles avec les déploiements AD FS (ou autre STS) à demeure

Syn. Mots de passe

SSO

Même mot de passe pour accéder aux ressources

Peut contrôler les politiques de mot de passe à demeure

Support pour l’authentification forte (2FA/MFA) * **

Aucun mot de passe à rentrer si à demeure Filtrage de l'accès client par IP ou par plage horaire L'authentification est effectuée à demeure. Peut bloquer immédiatement les comptes désactivés.

Support Multi-Forêt AD

3 6


• Exclusion d’objets pour synchronisation vers Office 365– La portée peut être définies aux niveaux suivants :

• Fondée sur le domaine AD• Fondée sur l’unité d’organisation• Fondée sur les attributs utilisateur

– Des capacités de filtrage additionnelles sont disponibles avec le connecteur Windows Azure AD

• Empêcher la synchronisation d’attributs spécifiques n'est pas supporté

Portée et filtrage pour la synchronisation 2 3


• Convient pour les (grandes) entreprises avec certains scénarios AD et non-AD

• Des limitations de performance s’appliquent avec le provisioning PowerShell et Graph API

• PowerShell requiert une expérience de Scripting, Graph API de programmation– L’option PowerShell peut être utilisée lorsque des

wrappers de scripts PowerShell sont en place (ex. : libre service provisioning)

PowerShell / API REST Graph 4


Utilisateur

Multi-forêt AD


(Fédération à l’aide d’AD FS (ou d’autres STS

supportés))Synchronisation d’annuaire via FIM 2012 R2 avec le connecteur Windows Azure AD

5


• Convient pour les grandes entreprises avec certains scénarios AD et non-AD

• Scénarii multi-forêt AD complexes • Synchronisation avec des sources Non-AD• Nécessite FIM 2010 R2 et des licences logiciels

supplémentaires

Connecteur Windows Azure AD pour FIM 2010 R2

5


• Identité unique et SSO entre les services à demeure et les services Office 365

• Identité maîtrisées à demeure avec un point de gestion unique

• Synchronisation d’annuaire pour synchroniser les objets d’annuaire dans Office 365

• Authentification fondée sur des jetons sécurisés

• Contrôle d'accès client basé sur l'adresse IP avec AD FS

• Options d’authentification fortepour plus de sécurité avec AD FS



Fédération Synchronisatio

n d’annuaire

6

Non-AD

or

Utilisateur

démo

Design/UX/UI#mstechdays

Sécurité

AUTHENTICATION FORTE AVEC AD FSSolution LoginPeople®


• L’authentification multi-facteurs par l’ADN du Numérique® : une expérience transparente pour les utilisateurs et simplifiée pour les administrateurs :

Login People® – Accès sécurisé à Office 365 en toute simplicité !


Windows Azure AD

+ +Facile à utiliser

Facile à gérer

Facile à intégrer

– Sans token ni OTP– Sans changement des habitudes : à partir des équipements

existants, sans manipulation de code supplémentaire– Sans modification des infrastructures– Renforcement de la sécurité avec un TCO parmi les plus faibles et

des plus optimisés

• Meilleur ensemble– Renforcement de la sécurité des identités fédérées– Intégration de la login page de l’ADN du Numérique®

automatisée avec AD FS– Echanges de tokens SAML transparents pour l’utilisateur– Respect des politiques de sécurité



• AD FS 2.0


Page Authentificati

on AD FS

Page authentificati

on ADN


Page Authentification AD FS

• AD FS Windows Server 2012 R2

• API MFA : flux d’authentification unifié et contrôlé par AD FS dans Windows Server 2012 R2

• Une interface simplifiée par l’intégration de la sécurité ADN du Numérique®


Let the demo

start !


• Livre-blanc disponible– http://www.microsoft.com/downloads/details.aspx?FamilyID=72c15

d25-6515-4763-9b76-054362b58398

• Modifie les configurations matérielles– Du matériel à demeure vers les VMs Windows Azure

• Ne supprime pas les exigences et la gestion en matière de haute-disponibilité

• Doit avoir une ligne de vue (VPN) avec l’environnement à demeure

• Nécessite toujours pour l’accès Extranet un proxy AD FS/WAP

• Nécessite un DC AD dans Windows Azure

Utiliser des VMs dans le IaaS Windows Azure

http://www.microsoft.com/downloads/details.aspx?FamilyID=72c15d25-6515-4763-9b76-054362b58398

http://www.microsoft.com/downloads/details.aspx?FamilyID=72c15d25-6515-4763-9b76-054362b58398


Recommandé avec des systèmes d’identité existants non-AD FS

Authentification unique (SSO)

Authentification fondée sur des jetons sécurisés

Support des clients web et d’Outlook uniquement (ECP)

Supporté par Microsoft pour l’intégration seulement, aucun support pour le déploiement de Shibboleth

Nécessite des serveurs à demeure, des licences et du support

Fonctionne avec AD ou d’autre annuaires à demeure

Shibboleth (SAML)Fonctionne avec AD et des sources non-AD

Recommandé pour Active Directory (AD)



Support des clients web et riches

Supporté par Microsoft

Fonctionne avec les scénarii hybrides Office 365


AD FSFonctionne avec AD

Recommandé avec des systèmes d’identité existants non-AD FS



Support des clients web et riches

Supporté par le tierce-partie

Fonctionne avec les scénarii hybrides Office 365


Vérifié au travers du programme ‘Fonctionne avec Office 365’

STS tierce-partieFonctionne avec Office 365 - Identité

Options en matière de fédération 6


• Mis à jour en janvier 2014– A destination de nos clients et des

tierces-parties vis-à-vis de la qualification des fournisseurs d’identités à demeure pour interopérer avec Office 365

– Exigences de qualification, documentation technique pour l’intégration, outillage de test automatique : http://go.microsoft.com/?linkid=9841880

– Sur Microsoft TechNet : http://aka.ms/SSOProviders

Programme ‘Fonctionne avec Office 365 – Identité’ WS-Trust et WS-Federation

WS-Federation

SAML-P

Active Directory avec AD FS

6


• Une partie d’AD FS• Limitation de l’accès à

Office 365 basée sur la connectivité réseau (internet versus intranet)

• Bloquer tous les accès externes à Office 365 basée sur l'adresse IP du client externe

• Bloquer tous les accès externe à Office 365, sauf EAS (Exchange Active Sync), tous les autres clients tels que Outlook sont bloquées.

• Bloquer tous les accès externe à Office 365, sauf pour les applications de type Web tels qu’OWA (Outlook Web App) ou SharePoint Online

Contrôle d'accès client 6



Apps d’éditeurs/communautés Cloud ou fournisseurs SaaS ou votre App


• Identité gérée dans Windows Azure AD, SSO pour Office 365 et d'autres services Cloud (fédérées)

• Intégration avec les applications d’éditeurs/communautés Cloud ou fournisseurs SaaS via les APIs de Windows Azure AD ou Applications Access Enhancements for Windows Azure AD

Identité AAD avec d’autres services Cloud

Utilisateur


• De multiples options en matières d’intégration des identités– Pour s’adapter à la diversité de vos environnements– Active Directory vs. autres référentiels

• Deux approches pour l’authentification unique– Synchronisation de mots de passe vs. Fédération d’identité

• Différentes possibilités pour la protection des identités– Authentification multi-facteurs dans le Cloud ou à demeure

• Protection de l’information avec le nouveau Microsoft RMS dans Office 365– Cf. Session aujourd’hui à 15h15

En guise de conclusion

Disponible sur le Centre de téléchargement

Office 365 Single Sign-On with AD FS 2.0

Office 365 Single Sign-On with Shibboleth 2.0

Active Directory from the on-premises to the Cloud – Windows Azure AD whitepapers

Livres blancs et guides Etape-par-Etape

Pour aller plus loinoffice.microsoft.com

Blog Office 365http://blogs.office.com/b/microsoft_office_365_blog/

Blog Technologie Officehttp://blogs.office.com/b/office365tech/

Suivre l’actualitéhttps://twitter.com/Office365

Etre connectéhttp://www.linkedin.com/groups/Microsoft-Office-365-3724282

A considérerGarage Series for IT Pros: www.microsoft.com/garageOffice 365 FastTrack: http://fasttrack.office.com/

Pour aller plus loinactivedirectory.windowsazure.com

Documentation Microsoft TechNethttp://go.microsoft.com/fwlink/p/?linkid=290967

Documentation Microsoft MSDNhttp://go.microsoft.com/fwlink/p/?linkid=290966

Blog Equipe Microsoft Active Directoryhttp://blogs.msdn.com/b/active_directory_team_blog

Blog Equipe Windows Azure Active Directory Graphhttp://blogs.msdn.com/aadgraphteam

Pour aller plus loinLogin People®

https://www.loginpeople.com/solutions/the-digital-dna-technology-office-365

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business

Technology

Quoi de neuf pour les identités dans Office 365 ?