Venez découvrir Office 365 pour l'Education, la plate-forme de communication et de collaboration dédiée pour les établissements de l'Education Nationale. Les élèves/étudiants, enseignants et personnels administratifs disposent d'un ensemble de services : 1) messagerie, calendrier et contacts (basé sur Exchange Online) - chaque personne bénéficie d'une messagerie de 25Go... 2) Lync pour les classes virtuelles, les réunions en ligne, chat, audio et vidéo... 3) SharePoint online : pour les sites des classes et des groupes... 4) Office web Apps : pour gérer vos documents en ligne. Dans cette session, nous aborderons les différentes facettes des enjeux d’Office 365, en termes d’implémentation, mais également sécurité avec un point sur la fédération d’identité (interopérabilité shibboleth, contrôle de l’authentification) et la gestion des droits d’usage (Rights Management).
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
Office 365 pour l'Education - les enjeux en terme de sécurité
1. Office 365 pour l’éducation
BRUNO PIRRA FRANCK MUSSON ARNAUD JUMELET ERIC ORTIZ
Architecte Architecte Consultant Sécurité Expert Solutions
Messagerie Neos-SDI Microsoft Cloud
Neos-SDI Microsoft
OFFICE 365 POUR L’ÉDUCATION
http://office365.fr/education
Serveurs / Entreprise / Réseaux / IT
2. DIRECTION LE CLOUD
AVEC OFFICE 365 POUR
L’ÉDUCATION ERIC ORTIZ
Expert Solutions Cloud
Microsoft
Agenda
Office 365 en Bref
Retour d’expérience de Neos-SDI
Office 365 et Sécurité
Questions - Réponses
6. VUE D’ENSEMBLE
Infrastructure locale Infrastructure O365
Les mêmes applications, mais sur 2 plateformes
7. CHOIX D’ARCHITECTURE
• Gestion de l’annuaire O365 :
– Tout accès à la plateforme Office 365 nécessite un compte.
Comment gérer ces comptes?
• Via l’interface graphique d’administration
• Par script Powershell
• Avec DirSync (outil de synchronisation des comptes)
• Authentification :
– Pour s’authentifier, nous pouvons:
• Utiliser les identifiants d’un compte interne. La fédération est mise en
œuvre
• Utiliser le mot de passe du compte présent sur O365. L’utilisateur a
donc 2 mots de passe
8. CHOIX D’ARCHITECTURE
• Lync et Exchange :
– Le modèle « hybride » ou « sur le nuage » est déterminé par la présence
de serveurs sur le site. Cela va orienter la configuration à mettre en place.
• Scénario de migration:
– La migration peut être :
• Étalée sur plusieurs jours / semaines
• Instantanée: tout le monde utilise les services fournis par O365 en
même temps.
9. DEMARCHE PROJET
Migration
• Progressive ou bascule à
Pilote l’instant T
• Communication aux utilisateurs
• Validation fonctionnelle
• Transfert de compétences
Mise en œuvre
• Configuration d’Office 365 et des applications
• Mise en œuvre de la solution de synchro d’annuaire
• Mise en œuvre de la solution d’authentification
Réunion de travail
• Prise en compte de l’existant
• Choix du modèle de synchro d’annuaire
• Choix du modèle d’authentification
• Modèle « nuage » ou hybride
10. EM LYON
• Contexte :
• Messagerie interne Exchange 2007 avec client Outlook 2010
• Offrir de nouveaux services (Boites aux lettre plus grande, messagerie
instantanée…)
• La plateforme Exchange 2007 est conservée pour le personnel interne
• Garder à vie les adresses de messagerie des étudiants
• Choix :
• Modèle hybride
• Migration progressive pendant l’année scolaire
• Synchronisation d’annuaire via DirSync
• Authentification avec le compte interne – mise en œuvre ADFS
• Résultat :
• Projet réalisé en 2-3 semaines pour 1 pilote de 50 utilisateurs
• Satisfaction des étudiants et de la DSI
11. UNIVERSITE
• Contexte :
• Messagerie interne Zimbra (POP3)
• Tout le monde (3000 BAL) doit migrer avant la rentrée universitaire
• Client Outlook
• Choix :
• Migration de type bascule à l’instant T
• Synchronisation d’annuaire via DirSync
• Authentification avec le compte interne – mise en œuvre ADFS
• Résultat :
• Projet réalisé en 10 jours
12. OFFICE 365
SECURITE DANS LE CLOUD
FRANCK MUSSON ARNAUD JUMELET
Architecte Consultant Sécurité
Neos-SDI Microsoft
13. IDENTITÉ CLOUD
OAuth2
Metadata SAML-P
Graph API WS-Federation
17. Fédération avec votre annuaire sur site
• Nécessite de synchroniser les identités sur site avec votre
locataire Windows Azure AD
– Différentes approches pour créer des identités fédérées en fonction
de votre environnement
• Microsoft Azure AD Directory Synchronization Tool (DirSync)
• Connecteur Windows Azure AD pour FIM 2010 (R2)
• Cmdlets Windows PowerShell pour Windows Azure AD
– Directory Graph API ne permet pas de créer des identités fédérées
• Prise en charge des standards OASIS WS-Fédération/WS-Trust
et SAML 2.0
18. Fédération AAD basée sur SAML 2.0
• Aujourd’hui avec Shibboleth 2
• Permet de couvrir certains scénarios clients
– Support des clients Web/passifs à travers le profil SAML 2.0 Web
SSO
• "Post Redirect bindings" supportés : HTTP-POST, HTTP-
POST-SimpleSign
• Pas de support pour Office 2013
– Support de client actif (Outlook) avec ECP (Enhanced Client
Profile)
• Propriétés clés du jeton SAML 2.0
– Issuer : Utilisé pour identifier le fournisseur d’identité.
Globalement unique
– NameID : Identifiant unique de l’utilisateur, lié à son
provisionnement
– IDPEmail : UPN de l’utilisateur, lié à la valeur fournie durant le
provisionnement
• Cf. livre blanc "Office 365 Single Sign-On with
Shibboleth 2"
19. SECURITE DANS LE CLOUD
RETOUR D’EXPERIENCE FRANCK MUSSON
Architecte
Neos-SDI
20. SharePoint Online – Business_School –
ProjetNon MS
• Outils
RSE
– Messagerie
– Salles de cours virtuels
– Pas de fédération d’identité (Comptes Non MS)
• RSE Business_School ->SharePoint Online
– 65000 licences SharePoint Online
– SharePoint OnLine
• Business_School community.onmicrosoft.com
– Environnement Unix/Linux intégral (pas de machines Windows)
– Installation de Shibboleth 2.3.8 par la Business_School .
• Difficultés de mise place (configuration)
– Registration du domaine business_school.EDU dans Windows Azure AD.
• Complexité lors de la validation du domaine (entrées DNS en partie réservées à outils
précédents)
• Validation du domaine par le support Microsoft
– VM Windows 7 (PowerShell / Scripts de fédération)
– Provisionning des comptes étudiants en PowerShell
21. SharePoint Online – Business_School –
Projet RSE
• Fédération avec O365
– Référence : Office 365 Single-SignOn with Shibboleth 2 (Jean-marie Thia
CNRS et Philippe Beraud Microsoft)
– Shibboleth identifie les étudiants sur l’infrastructure CAS de
Business_School
– Shibboleth extrait les attributs (assertions SAML2) sur l’infrastructure CAS
de Business_School
• ImmutableID = Matricule Etudiant (Unique)
• UPN = mail address de l’étudiant (xxxx@Business_School .edu)
– Installation Microsoft Online Services Module for Windows PowerShell sur
VM Windows 7
23. SharePoint Online – Business_School –
Projet RSE O365
• Fédération avec
– Povisionning des étudiants (fédérés)
• PS C:Windowssystem32> New-MsolUser – Displayname “username” –UserPrincipalName “B0000007@Business_School .edu” -
UseageLocation FR –BlockCredential $false –ImmutableID “B0000007”
• // Pour modifier utiliser Set-MsolUser
– Automatisation du Provisionning (Synchronisation)
• Page CGU (conditions générales d’utilisation) dans Windows Azure
• Site Windows Azure fédéré avec Shibboleth
– Récupére les attibuts de l’étudiant dans les Claims transmises
– 2 Possibilités de fédération
» WS-federation (Shibboleth capable)
» SAML 2, Utilisation Saml2SecurityTokenHandler
• L’application Azure vérifie l’existance de l’étudiant dans Office 365
– Le crée ou mets à jour les attributs si nécéssaire,
– Vérifie l’attribution des licences Office 365
• L’application Azure redirige l’étudiant vers le portail SharePoint Online
– https://Business_School sharepoint.com
24. SharePoint Online – Business_School –
Projet RSE
• Process d’authentification et Provisionning
à la volée
25. Windows Azure AD Rights Management
• Commencez à bénéficier de la protection des informations dès
que vous êtes abonnés à Office 365
– Aucune infrastructure AD RMS requise
• Fonctionne avec Office, Exchange Online et SharePoint Online
– La gestion des droits d’usage est intégrée dans les trois solutions
• Concerne initialement les clients dont le courrier électronique
(Exchange Online) et le circuit documentaire sont hébergés dans le
nuage (SharePoint Online)
– Généralise la protection contre la divulgation d’information à un nouvel ensemble
de clients
– Fournit les fonctionnalités essentielles qui sont nécessaires à la protection des
informations
26. Intégration de Microsoft Office
• Support d’Office 2013 et Office 2010
– Office 2007 non supporté
– Prêt pour la collaboration entre différentes organisations clientes d’Office 365
• Intégration d’Office 2013
– Expérience d'authentification unique via les contrôles d'identité Office
– Aucun paramètre supplémentaire à déployer, cela fonctionne par défaut
• Intégration d’Office 2010
– Nécessite de déployer la mise à jour MSDRM QFE, Online Sign-On Assistant, ainsi
qu'un "Consumption package" qui détecte si le client est correctement configuré
– Un package d'installation sera disponible pour aider à configurer correctement
Office 2010
27. Intégration à Exchange Online
• L’intégration à Windows Azure AD Rights Management est
disponible avec Office 365
– Une fois que le service Windows Azure AD Rights Management est activé,
l'intégration avec OWA et EAS est activée pour tous les utilisateurs
– La nouveauté dans le nouvel Office 365 est la capacité de partager du contenu
protégé entre différents locataires
• Toutes les fonctionnalités IRM disponibles dans Exchange
2013 sont également présentes dans Exchange Online :
– IRM dans OWA et EAS
– IRM dans les règles de transport
– Agent de déchiffrement RMS
28. Intégration à SharePoint Online
• SharePoint Online a ajouté le support des droits d'usage
– Supporte Office 2010 et Office 2013
– Disponible dans le nouvel Office 365
• Gestion des droits d'usage dans les bibliothèques de
document
– Support des groupes
– Support du mode Read Only Web Access
– Support des fichiers PDF
– Prise en charge des scénarios de collaboration entre les organisations
29. Windows Azure AD Rights Management
• Capacités
– Mécanisme simple, pour activer la gestion des droits d'usage entre les
applications et les services.
• Fonctionnalités de protection contre la fuite d’informations disponibles et
intégrées dans Office, Exchange Online (OWA, EAS) et SharePoint Online
– Fournit des modèles par défaut pour appliquer les droits d'usage courant
• Des modèles simples pour limiter l'accès aux utilisateurs au sein de l'entreprise
• Mais également "Ne pas transférer" et des restrictions d’accès personnalisées
– Permet une collaboration sécurisée par défaut dans Office 365
• Collaboration sécurisée en dehors de l’entreprise avec toute personne
abonnée à Office 365
30. Windows Azure AD Rights Management
• Capacités avancées
– Administration basée sur les rôles
• Permet de segmenter les rôles d'administration Office 365. L’entreprise maîtrise
comment sont effectuées les tâches administratives de gestion des droits
d'usage
• Permet de retirer aux administrateurs globaux le droit d’administrer Windows
Azure AD Rights Management
– Journalisation des actions administrateur
• Crée un journal des tâches administratives, y compris la date/heure,
l’utilisateur, et l'action spécifique que l'administrateur a effectuée
• Journal en lecture seule qui ne peut pas être supprimé ou modifié par un
administrateur
31. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
Exemple de page de code pour le secteur dev
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
Memes applications… donc pour les admin ayant une plateforme Ms on premise, vous connaissez déjà les produits.Quid de la gestion des identités… cela est tres important pour la messagerie
Exchange: 2 modeleshybride (simple ou riche). Si E2K7 / 2K10: MAJ automatique des profil outlook.E2K10 : console Exchange regroupe les 2 plateformesScénario de migration: Attention a la bandepassante pour la 1e synchro Outlook sicoext simple
Message à faire passer:1 reunion de travail pour avoirune vision d’ensemble et faire qqchoix techniquesGain de tps car pas de phase de desing / achat de materiels / installationPas de tft de competence sur exploitation => gain de tempsInterface O365 intuitive et simpleLa communication aux utilisateursestimportante
Les + : MAJ du client Outlook – config auto des telephones+ 95% de taux de satisfaction des utilisateurs pilotes: les + : IM et surtout 1 BAL « sans limite » par rapport au 100Mo offert a l’origineConfiguration hybride: souveraineté des données pour le personnel administratif, les doctorants et la présidence.Gain DSI: permet de libérer des ressources matériels (servers + espace de stockage)Possibilité de déplacement d’une BAL dans les 2 sens.Developpement d’un site WEB pour changement des mot de passe des utilisateurs migrés car leur PC sont en workgroup (avant ils utilisaient la fonctionnalité ‘changepwd’ de OWA)
Gain:Users: nouvelles fonctionnalités (outlook + mobile phone… + partage calendrier…) – configuration automatiqueIT: pas d’exploitation a faire
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
Exemple de page de code pour le secteur dev
Exemple de page de code pour le secteur dev
Exemple de page de code pour le secteur dev
Exemple de page de code pour le secteur dev
Exemple de page de code pour le secteur dev
Exemple de page de code pour le secteur dev
Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
E3, E4, A3 and A4 Office Online SKUs
Cryptographic Mode 2 – updated and enhanced cryptographic implementationSupports 2048-bit RSA encryption and 256-bit SHA-2 hashing algorithmNo changes in AES algorithm, symmetric encryption remains at 128 bitsMust upgrade older RMS clients - Win7, Vista, Server 2008/R2 support only