L’objectif de cette session est de présenter les briques de sécurité qui peuvent être mises en œuvre pour sécuriser votre messagerie Microsoft Exchange Online. A travers une présentation de la Messagerie Online d’Office 365, nous aborderons les sujets suivants : - Mise en œuvre et sécurisation de la fédération d’identité avec AD FS 2.0 Update 1 - Protection de vos échanges et de vos documents avec S/MIME et AD RMS - Mise en œuvre de l’authentification forte avec SA Server de Gemalto et le proxy ADFS

1. palais des
congrès
Paris
7, 8 et 9
février 2012

2. Briques de sécurité pour
Office 365
8 Février 2012
Nicolas Lieutenant Olivier Detilleux
Online Services MVP Forefront
Specialist vNext
Microsoft

3. Office 365
Fédération Authentification Forte
 Les Atouts  Une nécessité
Stratégies d’accès Chiffrement et IRM
 Externe ou Interne ?  La sécurité au plus
prêt de vos documents

4. Office 365

5. Office 365 Inclut…
• Service flexible avec licence par utilisateur
et paiement à l'utilisation • Stockage des documents importants et
• Expérience Office intégrée aux services partage de l'expertise via « My Site »
Office 365 • Amélioration des sites Équipe et Projet
• Services préconfigurés pour un paramétrage • Permissions au niveau du document pour
simplifié protéger du contenu sensible
• Toujours la dernière version des applications • Partage sécurisé de documents via extranet
Office, incluant Office Web Apps • Recherche intersite
• Expérience utilisateur Office connue pour
accéder aux services
• Messagerie instantanée et indicateur de
• 25 Go par boîte de réception présence
• Outlook et Outlook Web App • Appel audio et vidéo de PC à PC
• Antivirus/anti-spam (Forefront) • Communication d'un clic à partir d'Outlook, de
• Tâches, contacts et calendriers partagés SharePoint et des autres applications Office
• Messagerie mobile pour la plupart des • Réunions en ligne avec conférences audio et
équipements y compris vidéo et partage d'écran
BlackBerry, iPhone, Nokia, Windows Phone • Création d'une réunion d'un clic et
• Archivage des emails et respect de la participation à partir d'Outlook
conformité • Intégration du calendrier avec Outlook et
Exchange

6. Authentification

7. Authentification
Fédération Authentification
d’identité forte

8. Fédération d’identité

9. Options d’authentification
Expérience côté utilisateur
Microsoft Online IDs Identités Fédérées
Sign in avec une identité Sign in avec une identités
dans le cloud d’entreprise
 L’authentification s’effectue  L’authentification se fait on-
dans le cloud
premise
 Les utilisateurs ont 2 IDs :
Un pour accéder aux  Les utilisateurs n’ont qu’une
services on-premise, et un seule identités pour les 2
pour les services dans le modes d’accès
cloud
Les utilisateurs
Les utilisateurs doivent bénéficient d’un SSO
fournir systématiquement complet
leurs identifiants

10. Options d’authentification
Considérations pour les administrateurs IT
Microsoft Online IDs Identités Fédérées
Double gestion des Synchronisation
stratégies de mot de d’annuaire nécessaire
passe Stratégie de mot de passe
Un reset de mot de gérée on-Premise
passe s’effectue on- Reset de mot de passe
premise et dans le cloud seulement pour les IDs
on-Premise
Pas d’intégration d’une
authentification double Authentification double
facteurs possible
facteur
Nécessite la mise en
oeuvre de services de
fédération
Mise en oeuvre de
stratégies d’accès

11. Emetteur
Les Concepts Identity Provider (IP)
Security Token Service (STS)
Utilisateur Demande d’authentification Active
Directory
ST Délivrance d’un jeton
Le jeton de sécurité contient
des informations de l’utilisateur
Par exemple :
Les jetons “authentifient” les
• Nom
Utilisateurs auprès des applications
• Appartenance des groupes
• User Principal Name (UPN)
• Email address
Relying party /
• Email address du manager
Resource provider
• N° de téléphone
• D’autres valeurs d’attributs
Fait confiance au jeton
délivré par l’émetteur
Signé par l’émetteur

12. Standards et Protocoles
d’ADFS 2.0
ADFS v 2.0 supporte l’authentification active et passive
des clients
 Les clients actifs intéragissent via Web Services
 Les clients passifs intéragissent via des requêtes Web
Le support des protocoles standards, permet
l’interopérabilité avec des solutions tierces
 WS-* Federation
 SharePoint et Office 365 nécessitent WS-*
Federation v2 pour les scénarios Business avancés
 SAML 2.0
 SAML 1.1

13. Architecture: Options d’identité
Microsoft Online Services
Identity platform
Contoso customer premises Trust Exchange
Federation
Gateway Online
Active Directory
Authentication
Federation SharePoint®
platform
Server 2.0 Online
Provisioning
Microsoft platform Directory
Online Directory Store Lync
AD Sync Online
Admin Portal

14. Fédération d’identités
Flux d’authentification (Passif/Profil Web)
Client Microsoft Online Services
Active Directory
AD FS 2.0 Server (SAML 1.1) Token
Logon
UPN:user@contoso.com
Authentication platform
ID Source: ABC123
Auth Token
UPN:user@contoso.com
Unique ID: 254729
`
Exchange Online or
Client
SharePoint Online
(joined to CorpNet)

15. Fédération d’identité
Authentification Active (Outlook/Active Sync)
Client Microsoft Online Services
Active Directory
AD FS 2.0 Server (SAML 1.1) Token
Logon
UPN:user@contoso.com
Authentication platform
Source User ID: ABC123
Auth Token
UPN:user@contoso.com
Unique ID: 254729
`
Basic Auth Credentials
Client Username/Password
Exchange Online
(joined to CorpNet)

16. Active Directory Federation
Services 2.0 : Options de
déploiement
Active
Directory
AD FS 2.0 AD FS 2.0 AD FS 2.0
Server Server Server
Proxy
AD FS 2.0
Server
Proxy
Internal
user Enterprise DMZ

17. Dans le détail
Pré requis pour Microsoft Online Services
 Fédération d’identité supportée pour l’instant
seulement à travers Active Directory Federation
Services 2.0
 Les scénarios business Microsoft Online utilisent WS-
*.
 WS-Trust: support pour l’authentification des clients
riches
Protocoles supportés
 WS-*, SAML1.1
 Pas de support de SAML 2.0 pour l’instant
Authentification forte pour les scénarios Web
 Via la page d’authentification d’Active Directory
Federation Services Proxy ou Microsoft Forefront®
Unified Access Gateway SP1

18. Considérations Active Directory
Domaines identiques
 Les domaines internes et externes sont les mêmes : Pas d’actions
particulières
Sous domaine
 Les domaines internes sont des sous domaines du domaine
externe (par exemple, corp.contoso.com) : les domaines doivent
être enregistrés dans l’ordre
Domaine Local
 Les domaines internes ne sont pas publiés (par exemple
contoso.local) donc ne peuvent pas être utilisés pour la fédération
Multiples domaines d’authentification
 Par exemple, certains utilisateurs s’authentifient avec le domaine
contoso.com, d’autres avec le domaine fabrikam.com. Ces 2
domaines doivent être dans la même forêt Active Directory :
Depuis l’update 1 ADFS 1 seul service de fédération nécessaire
Multi-Forêts
 Pas de support pour le moment

19. Règles générales
Tous les utilisateurs doivent avoir un UPN
Les UPNs doivent correspondre à un domaine fédéré
Office 365 (pas de fédéréation avec les UPN locaux)
Les utilisateurs doivent s’authentifier avec leur UPN sur
les services Office 365 (ne nécessite pas un changement
du type d’ouverture de session sur le poste de travail)

20. Démo : Authentification Fédérée

21. De l’importance du proxy ADFS
Authentification Stratégies
Forte d’accès

22. Authentification Forte

23. Pourquoi l’authentification forte
?
Le couple identifiant /mot de passe est le système le plus
courant utilisé pour authentifier l’utilisateur
 N’offre pas la sécurité requise pour accéder à certains
services
 Mot de passe fixe pendant une longue durée de temps
Une nécessité de la mobilité
 Accès à des processus d’authentification de l’entreprise
depuis internet
 Contrer les risques d’attaques brute force, dictionnaire,
keylogger …
Le mot de passe n’offre pas une connexion entre
l’accès physique et logique
25

24. Comment vos utilisateurs
peuvent-ils être protégés ?
L’authentification 2 facteurs utilise quelque chose que
vous :
AVEZ CONNAISSEZ
La combinaison de ces différents éléments vérifie l’identité
de l’utilisateur
26

25. Mise en œuvre avec AD FS 2.0
Customisation du formulaire d’authentification du proxy
AD FS
 FormsSignIn.aspx
 FormsSignIn.aspx.cs
Exemple de mise en oeuvre :
 RSA Secure ID
 Gemalto SA Server
 InWebo
27

26. Principe
SA Server Auth Response :
SA Server Auth - User 200 OK
Request : - Password
- OTP ID - PIN
SA Server
ADFS Proxy
Client
Login : user@contoso.com
Active Directory
Mdp : password
Otp : pin
ADFS Server
Logon (SAML 1.1) Token
UPN:user@contoso.com
ID Source: ABC123

27. Démo : Authentification Forte
Gemalto SA Server

28. Stratégies d’accès

29. AD FS Issuance Authorization
Rules
Permet de définir des droits d’accès à une “relying party”
en fonction de la valeur de “claims”
Nouveauté AD FS Update 1 pour les proxy AD FS :
 Headers Office 365 interprétés en claims
 X-MS-Forwarded-Client-IP : adresse IP Publique
du client
 X-MS-Client-Application : Protocole utilisé par le
client
 X-MS-Client-User-Agent : Type de périphérique
utilisé par le client
 X-MS-Proxy : nom du proxy traversé lors de
l’accès
 X-MS-Endpoint-Absolute-Path : Nom du service 31

30. AD FS Issuance Authorization
Rules
Exemple d’utilisation :
 Bloquer tous les accès externes SAUF les accès Web
exists([Type ==
"http://schemas.microsoft.com/2012/01/requestcontext/claims/
x-ms-proxy"]) &&
NOT exists([Type ==
"http://schemas.microsoft.com/2012/01/requestcontext/claims/
x-ms-forwarded-client-ip",
Value=~"b84.83.82.81b"]) &&
NOT exists([Type ==
"http://schemas.microsoft.com/2012/01/requestcontext/claims/
x-ms-endpoint-absolute-path", Value == "/adfs/ls/"])
=> issue(Type =
"http://schemas.microsoft.com/authorization/claims/deny", Va
lue = "true");
32

31. Démo : Stratégies d’accès

32. Protection des échanges

33. Protection des échanges
S/MIME AD RMS

34. S/MIME

35. Qu’est ce que S/MIME?
S/MIME (Secure / Multipurpose Internet Mail Extensions)
est une norme de cryptographie et de signature
numérique de courriel encapsulés en format MIME.
Elle assure l'intégrité, l'authentification, la non-répudiation
et la confidentialité des données.
S/MIME utilise des certificats numériques x.509 pour
chiffrer les courriels.
 http://fr.wikipedia.org/wiki/S/MIME
S/MIME peut être utilisé à partir du produits Microsoft
Outlook
37

36. S/MIME avec Office 365
Office 365 n’héberge pas les fonctions S/MIME.
Office 365 ne propose pas de solution de dépôt de clé, la gestion des
clés, ou encore de services d'annuaire clés
L’outil de synchronisation d’annuaire DirSync ne synchronise pas
l’attribut AD userSMIMECertificate dans Office 365.
Outlook support S/MIME mais pas OWA
Les utilisateurs doivent stocker dans les contacts Outlook les clés
publiques des destinataires à qui ils souhaitent envoyer des mails
chiffrés
Il est possible de configurer Outlook pour récupérer directement les
contact dans l’annuaire AD

37. S/MIME en démo

38. AD RMS

39. Qu’est ce que RMS ?
Rights Management Services est un composant Windows
qui permet aux applications de protéger le contenu
Protéger = Chiffrer et Droits d’Usages (DRM)
 http://technet.microsoft.com/en-
us/library/cc771627.aspx
 http://en.wikipedia.org/wiki/Rights_Management_Servi
ces
Embarqué dans Windows Server depuis 2003. Dernière
version dans Windows Server 2008 R2
RMS est intégré dans les produits Microsoft
 Clients Office (Excel, Word, PowerPoint, Outlook) 41

40. RMS dans Exchange
RMS intégré en tant qu’Information Rights Management (IRM) dans
 Exchange 2010 SP1 (inclus aussi dans OWA)
 Exchange Online in Office 365
Configuration à travers RMS Server et les cmdlets Exchange
PowerShell
Les utilisateurs utilisent RMS dans les clients Office et OWA
Exchange Server ouvre automatiquement les contenus protégés par
RMS pour permettre :
 Transport routing
 Indexation pour les recherches
 Affichage dans OWA
 Communication unifiée

41. Une protection granulaire qui
suit les données
Protection persistente
 Protège vos informations sensibles où qu’elles soient stockées ou
envoyées
 Les droits d’usage sont vérouillés au niveau du document
 Protection en ligne ou hors ligne, en dehors ou à l’intérieur de l’entreprise
Contrôle granulaire
 Les utilisateurs appliquent les protection directement lors de l’écriture
d’un mail
 Les entreprises peuvent créer des modèles de sécurité. Par exemple :
"Confidentiel—Lecture Seule"
 Limite l’accès aux fichiers aux seuls utilisateurs autorisés
Information Rights Management (IRM) fournit une protection
permanente aux documents pour contrôler qui peut
accéder, forwarder, imprimer ou copier

42. Topologies Supportées

43. IRM On-premise
Contoso Inc.
AD RMS RMS est installé dans la foret de
Server
compte
Exchange
Server 2010
Exchange dépend de RMS pour
chiffrer et déchiffrer le contenu
Intégration possible des modèles RMS
dans Exchange

44. IRM avec Exchange Online
Contoso Inc.
AD RMS
Embedded
Server
RMS Server
Outlook Exchange
Online
OWA and
Mobile

45. Configurer RMS avec
Exchange Online

46. Configurer un modèle RMS
Etape 1 : Configurer RMS on-premise, et créer un modèle RMS
 Par exemple : Les membres du CODIR peuvent lire les mails
confidentiels
 Seuls les membres du groupe Projet XY peuvent lire et imprimer
Deux concepts clés :
 Les modèles RMS
 Options que les utilisateurs peuvent sélectionner pour
protéger un courrier
 Définissent des droits
 Trusted Publishing Domain
 Vu de très haut : c’est la clé privée pour le chiffrement du
contenu
Etape 2 : Exporter le TPD du serveur RMS on-Premise

47. Connection à Exchange Online
via PowerShell
Juste quelques cmdlets :
$LiveCred = Get-Credential –Credential
$Session = New-PSSession -ConfigurationName
Microsoft.Exchange -ConnectionUri
https://ps.outlook.com/powershell/ -
Credential $LiveCred -Authentication Basic –
AllowRedirection
Import-PSSession $Session

48. Etape 3: Importer le TPD dans
Exchange Online
Toujours Via Powershell : Importation du couple TPD /
Modèles
Import-RMSTrustedPublishingDomain
 -FileData $([byte[]](Get-Content -
Encoding byte -Path "<Path to exported
TPD, i.e., c:tpd.xml>" -ReadCount 0))
 -Name "TPD Name“
 -ExtranetLicensingUrl https://<external
rms cluster hostname>/_wmcs/licensing
 -IntranetLicensingUrl https://<internal
rms cluster hostname>/_wmcs/licensing

49. Etape 4 : Rendre les modèles
visibles par les utilisateurs
Par défaut, les modèles ne sont pas visibles pour les
utilisateurs
Via powerShell : On affiche tous les modèles chargés
 Get-RMSTemplate -Type:All
On rend visible, càd “Distributed”, le modèle voulu
 Set-RMSTemplate -Identity <template identity> -
Type:Distributed

50. Etape 5 : Activer IRM dans
Exchange Online
Il suffit d’une commande powerShell
 Set-IRMConfiguration -InternalLicensingEnabled $true

51. RMS en démo

52. Ce qu’il faut retenir

53. Ce qu’il faut retenir
La fédération d’identité La possibilité
avec Office 365 d’intégrer une
délègue authentification forte
l’authentification à pour les servicesWeb
votre infrastructure
Un contrôle d’accès
interne. La possibilité de
en fonction de la protéger votre contenu
localisation des PC avec S/MIME et RMS

54. Merci
Avez-vous des questions ?