L’objectif de cette session est de présenter les briques de sécurité qui peuvent être mises en œuvre pour sécuriser votre messagerie Microsoft Exchange Online. A travers une présentation de la Messagerie Online d’Office 365, nous aborderons les sujets suivants : - Mise en œuvre et sécurisation de la fédération d’identité avec AD FS 2.0 Update 1 - Protection de vos échanges et de vos documents avec S/MIME et AD RMS - Mise en œuvre de l’authentification forte avec SA Server de Gemalto et le proxy ADFS
2. Briques de sécurité pour
Office 365
8 Février 2012
Nicolas Lieutenant Olivier Detilleux
Online Services MVP Forefront
Specialist vNext
Microsoft
3. Office 365
Fédération Authentification Forte
Les Atouts Une nécessité
Stratégies d’accès Chiffrement et IRM
Externe ou Interne ? La sécurité au plus
prêt de vos documents
5. Office 365 Inclut…
• Service flexible avec licence par utilisateur
et paiement à l'utilisation • Stockage des documents importants et
• Expérience Office intégrée aux services partage de l'expertise via « My Site »
Office 365 • Amélioration des sites Équipe et Projet
• Services préconfigurés pour un paramétrage • Permissions au niveau du document pour
simplifié protéger du contenu sensible
• Toujours la dernière version des applications • Partage sécurisé de documents via extranet
Office, incluant Office Web Apps • Recherche intersite
• Expérience utilisateur Office connue pour
accéder aux services
• Messagerie instantanée et indicateur de
• 25 Go par boîte de réception présence
• Outlook et Outlook Web App • Appel audio et vidéo de PC à PC
• Antivirus/anti-spam (Forefront) • Communication d'un clic à partir d'Outlook, de
• Tâches, contacts et calendriers partagés SharePoint et des autres applications Office
• Messagerie mobile pour la plupart des • Réunions en ligne avec conférences audio et
équipements y compris vidéo et partage d'écran
BlackBerry, iPhone, Nokia, Windows Phone • Création d'une réunion d'un clic et
• Archivage des emails et respect de la participation à partir d'Outlook
conformité • Intégration du calendrier avec Outlook et
Exchange
9. Options d’authentification
Expérience côté utilisateur
Microsoft Online IDs Identités Fédérées
Sign in avec une identité Sign in avec une identités
dans le cloud d’entreprise
L’authentification s’effectue L’authentification se fait on-
dans le cloud
premise
Les utilisateurs ont 2 IDs :
Un pour accéder aux Les utilisateurs n’ont qu’une
services on-premise, et un seule identités pour les 2
pour les services dans le modes d’accès
cloud
Les utilisateurs
Les utilisateurs doivent bénéficient d’un SSO
fournir systématiquement complet
leurs identifiants
10. Options d’authentification
Considérations pour les administrateurs IT
Microsoft Online IDs Identités Fédérées
Double gestion des Synchronisation
stratégies de mot de d’annuaire nécessaire
passe Stratégie de mot de passe
Un reset de mot de gérée on-Premise
passe s’effectue on- Reset de mot de passe
premise et dans le cloud seulement pour les IDs
on-Premise
Pas d’intégration d’une
authentification double Authentification double
facteurs possible
facteur
Nécessite la mise en
oeuvre de services de
fédération
Mise en oeuvre de
stratégies d’accès
11. Emetteur
Les Concepts Identity Provider (IP)
Security Token Service (STS)
Utilisateur Demande d’authentification Active
Directory
ST Délivrance d’un jeton
Le jeton de sécurité contient
des informations de l’utilisateur
Par exemple :
Les jetons “authentifient” les
• Nom
Utilisateurs auprès des applications
• Appartenance des groupes
• User Principal Name (UPN)
• Email address
Relying party /
• Email address du manager
Resource provider
• N° de téléphone
• D’autres valeurs d’attributs
Fait confiance au jeton
délivré par l’émetteur
Signé par l’émetteur
12. Standards et Protocoles
d’ADFS 2.0
ADFS v 2.0 supporte l’authentification active et passive
des clients
Les clients actifs intéragissent via Web Services
Les clients passifs intéragissent via des requêtes Web
Le support des protocoles standards, permet
l’interopérabilité avec des solutions tierces
WS-* Federation
SharePoint et Office 365 nécessitent WS-*
Federation v2 pour les scénarios Business avancés
SAML 2.0
SAML 1.1
13. Architecture: Options d’identité
Microsoft Online Services
Identity platform
Contoso customer premises Trust Exchange
Federation
Gateway Online
Active Directory
Authentication
Federation SharePoint®
platform
Server 2.0 Online
Provisioning
Microsoft platform Directory
Online Directory Store Lync
AD Sync Online
Admin Portal
14. Fédération d’identités
Flux d’authentification (Passif/Profil Web)
Client Microsoft Online Services
Active Directory
AD FS 2.0 Server (SAML 1.1) Token
Logon
UPN:user@contoso.com
Authentication platform
ID Source: ABC123
Auth Token
UPN:user@contoso.com
Unique ID: 254729
`
Exchange Online or
Client
SharePoint Online
(joined to CorpNet)
15. Fédération d’identité
Authentification Active (Outlook/Active Sync)
Client Microsoft Online Services
Active Directory
AD FS 2.0 Server (SAML 1.1) Token
Logon
UPN:user@contoso.com
Authentication platform
Source User ID: ABC123
Auth Token
UPN:user@contoso.com
Unique ID: 254729
`
Basic Auth Credentials
Client Username/Password
Exchange Online
(joined to CorpNet)
16. Active Directory Federation
Services 2.0 : Options de
déploiement
Active
Directory
AD FS 2.0 AD FS 2.0 AD FS 2.0
Server Server Server
Proxy
AD FS 2.0
Server
Proxy
Internal
user Enterprise DMZ
17. Dans le détail
Pré requis pour Microsoft Online Services
Fédération d’identité supportée pour l’instant
seulement à travers Active Directory Federation
Services 2.0
Les scénarios business Microsoft Online utilisent WS-
*.
WS-Trust: support pour l’authentification des clients
riches
Protocoles supportés
WS-*, SAML1.1
Pas de support de SAML 2.0 pour l’instant
Authentification forte pour les scénarios Web
Via la page d’authentification d’Active Directory
Federation Services Proxy ou Microsoft Forefront®
Unified Access Gateway SP1
18. Considérations Active Directory
Domaines identiques
Les domaines internes et externes sont les mêmes : Pas d’actions
particulières
Sous domaine
Les domaines internes sont des sous domaines du domaine
externe (par exemple, corp.contoso.com) : les domaines doivent
être enregistrés dans l’ordre
Domaine Local
Les domaines internes ne sont pas publiés (par exemple
contoso.local) donc ne peuvent pas être utilisés pour la fédération
Multiples domaines d’authentification
Par exemple, certains utilisateurs s’authentifient avec le domaine
contoso.com, d’autres avec le domaine fabrikam.com. Ces 2
domaines doivent être dans la même forêt Active Directory :
Depuis l’update 1 ADFS 1 seul service de fédération nécessaire
Multi-Forêts
Pas de support pour le moment
19. Règles générales
Tous les utilisateurs doivent avoir un UPN
Les UPNs doivent correspondre à un domaine fédéré
Office 365 (pas de fédéréation avec les UPN locaux)
Les utilisateurs doivent s’authentifier avec leur UPN sur
les services Office 365 (ne nécessite pas un changement
du type d’ouverture de session sur le poste de travail)
23. Pourquoi l’authentification forte
?
Le couple identifiant /mot de passe est le système le plus
courant utilisé pour authentifier l’utilisateur
N’offre pas la sécurité requise pour accéder à certains
services
Mot de passe fixe pendant une longue durée de temps
Une nécessité de la mobilité
Accès à des processus d’authentification de l’entreprise
depuis internet
Contrer les risques d’attaques brute force, dictionnaire,
keylogger …
Le mot de passe n’offre pas une connexion entre
l’accès physique et logique
25
24. Comment vos utilisateurs
peuvent-ils être protégés ?
L’authentification 2 facteurs utilise quelque chose que
vous :
AVEZ CONNAISSEZ
La combinaison de ces différents éléments vérifie l’identité
de l’utilisateur
26
25. Mise en œuvre avec AD FS 2.0
Customisation du formulaire d’authentification du proxy
AD FS
FormsSignIn.aspx
FormsSignIn.aspx.cs
Exemple de mise en oeuvre :
RSA Secure ID
Gemalto SA Server
InWebo
27
26. Principe
SA Server Auth Response :
SA Server Auth - User 200 OK
Request : - Password
- OTP ID - PIN
SA Server
ADFS Proxy
Client
Login : user@contoso.com
Active Directory
Mdp : password
Otp : pin
ADFS Server
Logon (SAML 1.1) Token
UPN:user@contoso.com
ID Source: ABC123
29. AD FS Issuance Authorization
Rules
Permet de définir des droits d’accès à une “relying party”
en fonction de la valeur de “claims”
Nouveauté AD FS Update 1 pour les proxy AD FS :
Headers Office 365 interprétés en claims
X-MS-Forwarded-Client-IP : adresse IP Publique
du client
X-MS-Client-Application : Protocole utilisé par le
client
X-MS-Client-User-Agent : Type de périphérique
utilisé par le client
X-MS-Proxy : nom du proxy traversé lors de
l’accès
X-MS-Endpoint-Absolute-Path : Nom du service 31
30. AD FS Issuance Authorization
Rules
Exemple d’utilisation :
Bloquer tous les accès externes SAUF les accès Web
exists([Type ==
"http://schemas.microsoft.com/2012/01/requestcontext/claims/
x-ms-proxy"]) &&
NOT exists([Type ==
"http://schemas.microsoft.com/2012/01/requestcontext/claims/
x-ms-forwarded-client-ip",
Value=~"b84.83.82.81b"]) &&
NOT exists([Type ==
"http://schemas.microsoft.com/2012/01/requestcontext/claims/
x-ms-endpoint-absolute-path", Value == "/adfs/ls/"])
=> issue(Type =
"http://schemas.microsoft.com/authorization/claims/deny", Va
lue = "true");
32
35. Qu’est ce que S/MIME?
S/MIME (Secure / Multipurpose Internet Mail Extensions)
est une norme de cryptographie et de signature
numérique de courriel encapsulés en format MIME.
Elle assure l'intégrité, l'authentification, la non-répudiation
et la confidentialité des données.
S/MIME utilise des certificats numériques x.509 pour
chiffrer les courriels.
http://fr.wikipedia.org/wiki/S/MIME
S/MIME peut être utilisé à partir du produits Microsoft
Outlook
37
36. S/MIME avec Office 365
Office 365 n’héberge pas les fonctions S/MIME.
Office 365 ne propose pas de solution de dépôt de clé, la gestion des
clés, ou encore de services d'annuaire clés
L’outil de synchronisation d’annuaire DirSync ne synchronise pas
l’attribut AD userSMIMECertificate dans Office 365.
Outlook support S/MIME mais pas OWA
Les utilisateurs doivent stocker dans les contacts Outlook les clés
publiques des destinataires à qui ils souhaitent envoyer des mails
chiffrés
Il est possible de configurer Outlook pour récupérer directement les
contact dans l’annuaire AD
39. Qu’est ce que RMS ?
Rights Management Services est un composant Windows
qui permet aux applications de protéger le contenu
Protéger = Chiffrer et Droits d’Usages (DRM)
http://technet.microsoft.com/en-
us/library/cc771627.aspx
http://en.wikipedia.org/wiki/Rights_Management_Servi
ces
Embarqué dans Windows Server depuis 2003. Dernière
version dans Windows Server 2008 R2
RMS est intégré dans les produits Microsoft
Clients Office (Excel, Word, PowerPoint, Outlook) 41
40. RMS dans Exchange
RMS intégré en tant qu’Information Rights Management (IRM) dans
Exchange 2010 SP1 (inclus aussi dans OWA)
Exchange Online in Office 365
Configuration à travers RMS Server et les cmdlets Exchange
PowerShell
Les utilisateurs utilisent RMS dans les clients Office et OWA
Exchange Server ouvre automatiquement les contenus protégés par
RMS pour permettre :
Transport routing
Indexation pour les recherches
Affichage dans OWA
Communication unifiée
41. Une protection granulaire qui
suit les données
Protection persistente
Protège vos informations sensibles où qu’elles soient stockées ou
envoyées
Les droits d’usage sont vérouillés au niveau du document
Protection en ligne ou hors ligne, en dehors ou à l’intérieur de l’entreprise
Contrôle granulaire
Les utilisateurs appliquent les protection directement lors de l’écriture
d’un mail
Les entreprises peuvent créer des modèles de sécurité. Par exemple :
"Confidentiel—Lecture Seule"
Limite l’accès aux fichiers aux seuls utilisateurs autorisés
Information Rights Management (IRM) fournit une protection
permanente aux documents pour contrôler qui peut
accéder, forwarder, imprimer ou copier
43. IRM On-premise
Contoso Inc.
AD RMS RMS est installé dans la foret de
Server
compte
Exchange
Server 2010
Exchange dépend de RMS pour
chiffrer et déchiffrer le contenu
Intégration possible des modèles RMS
dans Exchange
44. IRM avec Exchange Online
Contoso Inc.
AD RMS
Embedded
Server
RMS Server
Outlook Exchange
Online
OWA and
Mobile
46. Configurer un modèle RMS
Etape 1 : Configurer RMS on-premise, et créer un modèle RMS
Par exemple : Les membres du CODIR peuvent lire les mails
confidentiels
Seuls les membres du groupe Projet XY peuvent lire et imprimer
Deux concepts clés :
Les modèles RMS
Options que les utilisateurs peuvent sélectionner pour
protéger un courrier
Définissent des droits
Trusted Publishing Domain
Vu de très haut : c’est la clé privée pour le chiffrement du
contenu
Etape 2 : Exporter le TPD du serveur RMS on-Premise
48. Etape 3: Importer le TPD dans
Exchange Online
Toujours Via Powershell : Importation du couple TPD /
Modèles
Import-RMSTrustedPublishingDomain
-FileData $([byte[]](Get-Content -
Encoding byte -Path "<Path to exported
TPD, i.e., c:tpd.xml>" -ReadCount 0))
-Name "TPD Name“
-ExtranetLicensingUrl https://<external
rms cluster hostname>/_wmcs/licensing
-IntranetLicensingUrl https://<internal
rms cluster hostname>/_wmcs/licensing
49. Etape 4 : Rendre les modèles
visibles par les utilisateurs
Par défaut, les modèles ne sont pas visibles pour les
utilisateurs
Via powerShell : On affiche tous les modèles chargés
Get-RMSTemplate -Type:All
On rend visible, càd “Distributed”, le modèle voulu
Set-RMSTemplate -Identity <template identity> -
Type:Distributed
50. Etape 5 : Activer IRM dans
Exchange Online
Il suffit d’une commande powerShell
Set-IRMConfiguration -InternalLicensingEnabled $true
53. Ce qu’il faut retenir
La fédération d’identité La possibilité
avec Office 365 d’intégrer une
délègue authentification forte
l’authentification à pour les servicesWeb
votre infrastructure
Un contrôle d’accès
interne. La possibilité de
en fonction de la protéger votre contenu
localisation des PC avec S/MIME et RMS
DO NOT REMOVE – Notes for AttendeesCan use AD FS 2.0 to handle multiple trusts: Even though you use WS-* to MS Online, you can still use the same ADFS server to create trusts with other service and federation servers using protocol of your choice.Although SAML2.0 is supported by ADFS2.0, we ALWAYS use ws-* federation because SAML2.0 does not yet support federated authentication for rich clients. However if customers need to set up SAML2.0 federation to other services gateways or organizations, they can do this with AD FS 2.0.
Situation Slide objectiveExplain how the same Exchange federation used for calendar sharing can also be used to extend Exchange 2010 IRM support features to partners. Talking points[Build 1] Partners create trust with Microsoft Federation Gateway Sender federates on-premises RMS server with the Microsoft Federation Gateway. (Requires software that ships in Windows Server 2008 R2 SP1.) Partnerfederates their Exchange 2010 server with MFG. [Build 2] Protected message is sent to Fabrikam recipient.Message can be automatically protected (via Outlook Protection Rules or Transport Protection Rules) or manually (in OLK/OWA)[Build 3] Fabrikam contacts RMS server for Use License. Fabrikam’s Exchange server contacts MFG to get a SAML token for this message proving Fabrikam’s identityFabrikam’s Exchange server contacts Contoso’s RMS server, presenting the SAML token from MFG and requesting a Use License[Build 4] Fabrikam decrypts message for indexing, search, etc. Sending organization has the option to prevent journal decryption by partner’s Exchange 2010 (all other IRM support functions enabled). [Build 5] Recipient can read/reply to protected message in OWA Recipient can also search message in OWA and Outlook (online). Note: To read/reply in Outlook, organization and partner also need to federate using Active Directory Federation Services.