Upload
philippe-beraud
View
713
Download
1
Embed Size (px)
DESCRIPTION
http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=353a39a1-bfd3-4a18-a20f-dab055b874c6
Citation preview
Sécurité
Quoi de neuf pour les identités dans Office 365 ?
Philippe Beraud et Arnaud JumeletDirection Technique | Microsoft France
Denis CarnielLogin People
[email protected]@microsoft.com
#mstechdaysSécurité
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays !
Donnez votre avis !
#mstechdaysSécurité
Notre agenda pour cette session
Annoncés/ disponibles récemment…
Options d’intégration en matière d’identité
2 3
Vue d’ensemble des identités Office 365
1
Sécurité#mstechdays
VUE D’ENSEMBLE DES IDENTITÉS OFFICE 365
Plate-forme d'identité commune pour les comptes professionnels
Windows Azure AD est la plateforme d’identité sous-jacente pour les différents services cloud qui utilisent des comptes professionnels
Magasin
Annuaire
Plateforme d’authentification
Windows Azure Active Directory
Votre application
#mstechdaysSécurité
Identité Office 365
Identité unique dans le Cloud qui convient pour les (petites) entreprises sans intégration aux annuaires à demeure
Identité Cloud
Windows Azure AD
Syn. Annuaire
Identité unique adapté pour les moyennes et grandes entreprises sans fédération
Identité Cloud + Synchronisation d’annuaire
Windows Azure AD
Identité fédérée et informations d’identification uniques appropriés pour les moyennes et grandes entreprises
Identité fédérée
Windows Azure AD
Sécurité#mstechdays
ANNONCÉS/ DISPONIBLES RÉCEMMENT…
#mstechdaysSécurité
Mise à jour: synchronise les mots de passe utilisateur de l’AD à demeure vers Windows Azure ADSeul un condensat unidirectionnel du mot de passe sera synchronisé de telle sorte que le mot de passe d’origine ne puisse être reconstruit à partir de celui-ciRespecte les politiques de mots de passe à demeure Ne peut pas synchroniser les mots de passe pour les utilisateurs fédérés, mais les deux peuvent coexister
"Simple Sign-On"Permet aux utilisateurs d’avoir le même nom d’utilisateur/mot de passe
Windows Azure Active Directory Sync Tool (DirSync)
SAML2Identity Provider
#mstechdaysSécurité
• Mise à jour: disponibilité du connecteur Windows Azure AD pour FIM 2010 R2– Peut être utilisé dans des scénarios non pris en charge
par DirSync, par exemple pour la synchronisation multi-forêt AD et avec des sources non-AD• Nous recommandons toujours d'utiliser DirSync comme la
principale solution pour synchroniser AD à Windows Azure AD et de l'utiliser chaque fois que possible
– The connecteur est livré avec un exemple de configuration et de code pour le scénario forêt de comptes/forêt de ressources
Provisioning Windows Azure AD
#mstechdaysSécurité
• API Windows Azure AD GRAPH API– API REST pour un accès programmatique aux données
dans Windows Azure AD– Permet de construire des applications multi-locataires, ou
des applications Métier personnalisées– Peut-être désormais utilisée pour créer des utilisateurs
fédérés et cloud, assigner des licences, etc.
Provisioning Windows Azure AD
#mstechdaysSécurité
• Authentification d’entreprise à l’aide de tout téléphone/ smartphone
• Disponible gratuitement pour les administrateurs Office 365…
• Et… désormais également disponible pour les utilisateurs Office 365
• Fonctionne avec tous les services Office 365 de type Web– Outlook Web App, SharePoint Online
• Requiert des mots de passe applicatifs pour les clients riches– Non disponibles pour les administrateurs– 16 caractères générés
Authentification multi-facteur (MFA) pour Office 365
#mstechdaysSécurité
MFA pour Office 365
Apps Mobile Appels téléphoniques
Messages texte
ALERT
1 4 5 6 7 6
Push Notification, jeton OTP (One-Time Passcode)
• Authentification d’entreprise à l’aide de tout téléphone/smartphone
démo
Design/UX/UI#mstechdays
Sécurité
MFA POUR OFFICE 365
Illustration de l’expérience utilisateur
#mstechdaysSécurité
MFA pour Office 365
• Inclus dans tous les SKUs Office 365 SANS coût additionnel
• Sécurise les ressources Office 365 uniquement
Windows Azure MFA
• Capacités avancées MFA pour Office 365• Architectures hybrides Office 365
comprenant des serveurs à demeure
• Sécurise les ressources de multiples apps SaaS
• Sécurise les ressources à demeure et Cloud comprenant les apps Métier, VPN, etc.
• Comprend le portail Windows Azure MFA, MFA Server, et le SDK
Windows Azure MFA nécessite un abonnement Windows Azure
L’utilisation d’Office 365 avec Windows Azure MFA nécessite un lien de l’abonnement Windows Azure vers le locataire Office 365
• Ai-je besoin de Windows Azure MFA ?
Windows Azure Multi-Factor Authentication
Windows Azure MFA vs. MFA pour Office 365
MFA pour Office 365 Windows Azure MFA
Les administrateurs peuvent activer/appliquer MFA aux utilisateurs finaux
Utilisation de l’App mobile (notifications et OTP) comme second facteur
Utilisation d’appel téléphonique comme second facteur d’authentification
Utilisation de SMS comme second facteur d’authentification Mots de passe applicatif pour les clients riches (par ex. Outlook, Lync)
Message vocal Microsoft lus pendant un appel MFA Messages vocaux personnalisés lus pendant un appel MFA Alerte fraude Kit de développement logiciel (SDK) MFA Rapports de sécurité MFA pour les applications à demeure/ MFA Server. Contournement à usage unique Bloquer/Débloquer des utilisateurs Numéro de téléphone de l’ID de l’appelant personnalisable Confirmation d’évènement
#mstechdaysSécurité
• MAJ des clients Office ProPlus (2013) pour le support de MFA pour Office 365/Windows Azure MFA– Plus besoin des mots de passe applicatifs avec les clients
mis à jour– Outlook, Lync, Word, Excel, PowerPoint, PowerShell,
SkyDrive Pro– Capacité d’intégration pour des solutions tierces-parties
d’authentification multi-facteurs et prise en charge des cartes à puce
• Disponible en 2014
Authentification multi-facteur pour les clients Office
Sécurité#mstechdays
OPTIONS D’INTÉGRATION EN MATIÈRE D’IDENTITÉDe multiples façon de s’intégrer avec Windows Azure AD : Des clients différents ont potentiellement des scénarii différents qui requièrent des solutions différentes
Options d’intégration en matière d’identité
Identité Cloud DirSync DirSync et mots de passe
PowerShell/Graph API
FIM 2010 R2 Identité fédérée (SSO)
Taille de l’entreprise
Petite Toute Toute Grande Grande Grande
Contrôle des attributs dans l’annuaire
Moindre contrôle Contrôle complet via l’annuaire local
Contrôle complet via l’annuaire local
Peut contrôler les attributs de base et sélectionner les optionnels
Peut contrôler les attributs de base et sélectionner les optionnels
Contrôle complet via l’annuaire local
Source de l’autorité
Cloud A demeure A demeure Cloud A demeure A demeure
Configuration matérielle
Aucun matériel à demeure requis
OS Windows Server pour l’outil DirSync
OS Windows Server pour l’outil DirSync
Machine pour exécuter des jobs PowerShell/faire des appels REST
OS Windows Server OS pour FIM 2010 R2 avec le connecteur Windows Azure AD
Syn. Annuaire Déploiement ADFS (ou autre STS)
Expérience de connexion
Noms d'utilisateur et mots de passe à demeure et Cloud disjoints
Entrer les informations d'identification à deux reprisesSupport MFA
Mêmes noms d'utilisateur à demeure et Cloud mais mots de passe disjoints
Entrer les informations d'identification à deux reprisesSupport MFA
Même noms d'utilisateur et mots de passe à demeure et Cloud
Entrer les informations d'identification à deux reprisesSupport MFA
Mêmes noms d'utilisateur à demeure et Cloud mais mots de passe disjoints
Entrer les informations d'identification à deux reprisesSupport MFA
Mêmes noms d'utilisateur à demeure et Cloud mais mots de passe disjoints
Entrer les informations d'identification à deux reprisesSupport MFA
Même noms d'utilisateur et mots de passe à demeure et Cloud
Connexion une fois si à demeureSupport MFA (ou autres solutions 2FA)
1 2 3 4 5 6
#mstechdaysSécurité
• Vous n'avez pas besoin de mettre en place le SSO juste parce que vous synchronisez mais vous devez synchroniser afin d'utiliser le SSI– Vous pourriez utiliser PowerShell/Graph API pour créer vos
données d'annuaire, mais ceci induit des coûts additionnels de gestion et ne constitue pas un scénario officiellement documenté ou supporté
• Le SSO est pris en charge pour n’importe quelle solution de synchronisation– Forêt unique, multi-forêt, etc.
• Vous pouvez contrôler quels objets synchroniser dans Windows Azure AD, mais vous ne pouvez pas contrôler quelle partie des objets synchroniser
Questions fréquentes
#mstechdaysSécurité
• Expérience riche avec les applications Office
• Facilité de déploiement, de gestionet de support
• Moindre coût, car aucun serveur additionnel n’est nécessaire à demeure
• Haute disponibilité et fiabilité comme les identités et les services sont gérés dans le Cloud
Identité Cloud
Identité CloudEx: [email protected]
1
Utilisateur
#mstechdaysSécurité
Utilisateur
• Expérience riche avec les applications Office
• Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne
• Les identités sont crées et gérées à demeure et synchronisées dans le Cloud
• Identité unique mais pas de SSO entre les services à demeure et les services Office 365
• Réutilisation de l’infrastructure d’annuaire AD à demeure
DirSync
Identité à demeureEx: Domain\Alice
Synchronisation d’annuaire
Identité CloudEx: [email protected]
2
#mstechdaysSécurité
Utilisateur
• Expérience riche avec les applications Office
• Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne
• Les identités sont crées et gérées à demeure et synchronisées dans le Cloud
• Identité et informations d’identification (mot de passe) uniques mais pas de SSO entre les services à demeure et les services Office 365
• Réutilisation de l’infrastructure d’annuaire AD à demeure
Synchronisation de mots de passe
Identité à demeureEx: Domain\Alice
Synchronisation d’annuaire avec condensat de mot de passe
Identité CloudEx: [email protected]
3
#mstechdaysSécurité
DirSync ou SSO
* Via Authentification multi-facteur
** Via Authentification multi-facteur ou d’autres solutions 2FA solutions disponibles avec les déploiements AD FS (ou autre STS) à demeure
Syn. Mots de passe
SSO
Même mot de passe pour accéder aux ressources
Peut contrôler les politiques de mot de passe à demeure
Support pour l’authentification forte (2FA/MFA) * **
Aucun mot de passe à rentrer si à demeure Filtrage de l'accès client par IP ou par plage horaire L'authentification est effectuée à demeure. Peut bloquer immédiatement les comptes désactivés.
Support Multi-Forêt AD
3 6
#mstechdaysSécurité
• Exclusion d’objets pour synchronisation vers Office 365– La portée peut être définies aux niveaux suivants :
• Fondée sur le domaine AD• Fondée sur l’unité d’organisation• Fondée sur les attributs utilisateur
– Des capacités de filtrage additionnelles sont disponibles avec le connecteur Windows Azure AD
• Empêcher la synchronisation d’attributs spécifiques n'est pas supporté
Portée et filtrage pour la synchronisation 2 3
#mstechdaysSécurité
• Convient pour les (grandes) entreprises avec certains scénarios AD et non-AD
• Des limitations de performance s’appliquent avec le provisioning PowerShell et Graph API
• PowerShell requiert une expérience de Scripting, Graph API de programmation– L’option PowerShell peut être utilisée lorsque des
wrappers de scripts PowerShell sont en place (ex. : libre service provisioning)
PowerShell / API REST Graph 4
#mstechdaysSécurité
Utilisateur
Multi-forêt AD
Identité à demeureEx: Domain\Alice
(Fédération à l’aide d’AD FS (ou d’autres STS
supportés))Synchronisation d’annuaire via FIM 2012 R2 avec le connecteur Windows Azure AD
5
#mstechdaysSécurité
• Convient pour les grandes entreprises avec certains scénarios AD et non-AD
• Scénarii multi-forêt AD complexes • Synchronisation avec des sources Non-AD• Nécessite FIM 2010 R2 et des licences logiciels
supplémentaires
Connecteur Windows Azure AD pour FIM 2010 R2
5
#mstechdaysSécurité
• Identité unique et SSO entre les services à demeure et les services Office 365
• Identité maîtrisées à demeure avec un point de gestion unique
• Synchronisation d’annuaire pour synchroniser les objets d’annuaire dans Office 365
• Authentification fondée sur des jetons sécurisés
• Contrôle d'accès client basé sur l'adresse IP avec AD FS
• Options d’authentification fortepour plus de sécurité avec AD FS
Identité fédérée
Identité à demeureEx: Domain\Alice
Fédération Synchronisatio
n d’annuaire
6
Non-AD
or
Utilisateur
démo
Design/UX/UI#mstechdays
Sécurité
AUTHENTICATION FORTE AVEC AD FSSolution LoginPeople®
#mstechdaysSécurité
• L’authentification multi-facteurs par l’ADN du Numérique® : une expérience transparente pour les utilisateurs et simplifiée pour les administrateurs :
Login People® – Accès sécurisé à Office 365 en toute simplicité !
Identité fédérée
Windows Azure AD
+ +Facile à utiliser
Facile à gérer
Facile à intégrer
– Sans token ni OTP– Sans changement des habitudes : à partir des équipements
existants, sans manipulation de code supplémentaire– Sans modification des infrastructures– Renforcement de la sécurité avec un TCO parmi les plus faibles et
des plus optimisés
• Meilleur ensemble– Renforcement de la sécurité des identités fédérées– Intégration de la login page de l’ADN du Numérique®
automatisée avec AD FS– Echanges de tokens SAML transparents pour l’utilisateur– Respect des politiques de sécurité
#mstechdaysSécurité
Login People® – Accès sécurisé à Office 365 en toute simplicité !
• AD FS 2.0
Identité fédérée
Page Authentificati
on AD FS
Page authentificati
on ADN
Identité fédérée
Page Authentification AD FS
• AD FS Windows Server 2012 R2
• API MFA : flux d’authentification unifié et contrôlé par AD FS dans Windows Server 2012 R2
• Une interface simplifiée par l’intégration de la sécurité ADN du Numérique®
Login People® – Accès sécurisé à Office 365 en toute simplicité !
Let the demo
start !
#mstechdaysSécurité
• Livre-blanc disponible– http://www.microsoft.com/downloads/details.aspx?FamilyID=72c15
d25-6515-4763-9b76-054362b58398
• Modifie les configurations matérielles– Du matériel à demeure vers les VMs Windows Azure
• Ne supprime pas les exigences et la gestion en matière de haute-disponibilité
• Doit avoir une ligne de vue (VPN) avec l’environnement à demeure
• Nécessite toujours pour l’accès Extranet un proxy AD FS/WAP
• Nécessite un DC AD dans Windows Azure
Utiliser des VMs dans le IaaS Windows Azure
#mstechdaysSécurité
Recommandé avec des systèmes d’identité existants non-AD FS
Authentification unique (SSO)
Authentification fondée sur des jetons sécurisés
Support des clients web et d’Outlook uniquement (ECP)
Supporté par Microsoft pour l’intégration seulement, aucun support pour le déploiement de Shibboleth
Nécessite des serveurs à demeure, des licences et du support
Fonctionne avec AD ou d’autre annuaires à demeure
Shibboleth (SAML)Fonctionne avec AD et des sources non-AD
Recommandé pour Active Directory (AD)
Authentification unique (SSO)
Authentification fondée sur des jetons sécurisés
Support des clients web et riches
Supporté par Microsoft
Fonctionne avec les scénarii hybrides Office 365
Nécessite des serveurs à demeure, des licences et du support
AD FSFonctionne avec AD
Recommandé avec des systèmes d’identité existants non-AD FS
Authentification unique (SSO)
Authentification fondée sur des jetons sécurisés
Support des clients web et riches
Supporté par le tierce-partie
Fonctionne avec les scénarii hybrides Office 365
Nécessite des serveurs à demeure, des licences et du support
Vérifié au travers du programme ‘Fonctionne avec Office 365’
STS tierce-partieFonctionne avec Office 365 - Identité
Options en matière de fédération 6
#mstechdaysSécurité
• Mis à jour en janvier 2014– A destination de nos clients et des
tierces-parties vis-à-vis de la qualification des fournisseurs d’identités à demeure pour interopérer avec Office 365
– Exigences de qualification, documentation technique pour l’intégration, outillage de test automatique : http://go.microsoft.com/?linkid=9841880
– Sur Microsoft TechNet : http://aka.ms/SSOProviders
Programme ‘Fonctionne avec Office 365 – Identité’ WS-Trust et WS-Federation
WS-Federation
SAML-P
Active Directory avec AD FS
6
#mstechdaysSécurité
• Une partie d’AD FS• Limitation de l’accès à
Office 365 basée sur la connectivité réseau (internet versus intranet)
• Bloquer tous les accès externes à Office 365 basée sur l'adresse IP du client externe
• Bloquer tous les accès externe à Office 365, sauf EAS (Exchange Active Sync), tous les autres clients tels que Outlook sont bloquées.
• Bloquer tous les accès externe à Office 365, sauf pour les applications de type Web tels qu’OWA (Outlook Web App) ou SharePoint Online
Contrôle d'accès client 6
#mstechdaysSécurité
Identité CloudEx: [email protected]
Apps d’éditeurs/communautés Cloud ou fournisseurs SaaS ou votre App
Identité CloudEx: [email protected]
• Identité gérée dans Windows Azure AD, SSO pour Office 365 et d'autres services Cloud (fédérées)
• Intégration avec les applications d’éditeurs/communautés Cloud ou fournisseurs SaaS via les APIs de Windows Azure AD ou Applications Access Enhancements for Windows Azure AD
Identité AAD avec d’autres services Cloud
Utilisateur
#mstechdaysSécurité
• De multiples options en matières d’intégration des identités– Pour s’adapter à la diversité de vos environnements– Active Directory vs. autres référentiels
• Deux approches pour l’authentification unique– Synchronisation de mots de passe vs. Fédération d’identité
• Différentes possibilités pour la protection des identités– Authentification multi-facteurs dans le Cloud ou à demeure
• Protection de l’information avec le nouveau Microsoft RMS dans Office 365– Cf. Session aujourd’hui à 15h15
En guise de conclusion
Disponible sur le Centre de téléchargement
Office 365 Single Sign-On with AD FS 2.0
Office 365 Single Sign-On with Shibboleth 2.0
Active Directory from the on-premises to the Cloud – Windows Azure AD whitepapers
Livres blancs et guides Etape-par-Etape
Pour aller plus loinoffice.microsoft.com
Blog Office 365http://blogs.office.com/b/microsoft_office_365_blog/
Blog Technologie Officehttp://blogs.office.com/b/office365tech/
Suivre l’actualitéhttps://twitter.com/Office365
Etre connectéhttp://www.linkedin.com/groups/Microsoft-Office-365-3724282
A considérerGarage Series for IT Pros: www.microsoft.com/garageOffice 365 FastTrack: http://fasttrack.office.com/
Pour aller plus loinactivedirectory.windowsazure.com
Documentation Microsoft TechNethttp://go.microsoft.com/fwlink/p/?linkid=290967
Documentation Microsoft MSDNhttp://go.microsoft.com/fwlink/p/?linkid=290966
Blog Equipe Microsoft Active Directoryhttp://blogs.msdn.com/b/active_directory_team_blog
Blog Equipe Windows Azure Active Directory Graphhttp://blogs.msdn.com/aadgraphteam
Pour aller plus loinLogin People®
https://www.loginpeople.com/solutions/the-digital-dna-technology-office-365
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business