La consumérisation de l’informatique en entreprise, avec l’usage croissant par les collaborateurs de leurs propres terminaux mobiles et applications ou le « Bring Your Own Device » (BYOD), est l’un des enjeux majeurs auxquels se trouvent confrontées les entreprises. Il est nécessaire de considérer au même titre le passage à un monde centré sur le cloud et la dynamique enclenchée du « Bring Your Own Apps » (BYOA) avec notamment l’adoption de souscriptions SaaS (Software-as-a-Service), le désir de mieux collaborer « à la » Facebook et/ou d’interagir directement avec les réseaux sociaux avec la tendance induite du « Bring Your Own Identity » (BYOI). Ces trois « B » imposent à l’entreprise de reconsidérer sa politique de contrôle et de protection de l’information en segmentant les usages, en classifiant l’information et en attachant des droits d’usage à l’information où qu’elle réside. Microsoft est sur le point de lancer une version online de la plateforme de contrôle et de protection de l’information Windows Server Active Directory Rights Management Services (AD RMS), en l’occurrence Windows Azure Active Directory Rights Management (AAD RM). Disponible dans le cadre d’Office 365, cette nouvelle plateforme offrira des capacités similaires à celles d’AD RMS mais sans exigence de déploiements de serveurs sur site. Assistez à cette session pour découvrir ce nouveau service et ses fonctionnalités. Cette session illustrera comment vous pouvez protéger vos informations en les chiffrant et en leur attachant des droits d’usage, qu’ils s’agissent de documents Office, de courriels Exchange et de bibliothèques de documents SharePoint au niveau des applications et services Office 365. La technologie est fortement intégrée à Office 2010/2013, Exchange Online et SharePoint Online et offre une expérience transparente pour les utilisateurs finaux et les administrateurs dans la création de documents, de courriels et de publications SharePoint.
Migrer vos bases Oracle vers du SQL, le tout dans Azure !
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD Rights Management
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. SEC 310 Contrôler les usages de
vos informations dans le Cloud
avec Windows Azure AD Rights
Management
Philippe Beraud
Arnaud Jumelet
Direction Technique
Microsoft France
Architecture / Azure / Cloud
#WindowsAzure
http://windowsazure.com
3. Souscrivez à l’offre d’essai ou activez votre
accès Azure MSDN
Présentez-vous sur le stand Azure
(zone Services & Tools)
Participez au tirage au sort
à 18h30 le 12 ou le 13 février
1
2
3
4. • Besoins en termes de contrôle et protection de
l’information numérique
• Découvrir les capacités d’administration de
Windows Azure AD Rights Management
• Découvrir les fonctionnalités de Windows
Azure AD Rights Management incluses dans
le nouvel Office 365
• Savoir comment activer et utiliser Windows
Azure AD Rights Management dans le nouvel
Office 365
Notre agenda pour la session
7. • Des informations sensibles
peuvent être divulguées par
négligence… ou
intentionnellement
– Courriels, documents, contenu Intranet,
etc.
• Les coûts associés peuvent
s’avérer important
– En termes de pertes de revenu,
d’avantage concurrentiel, de confiance,
etc.
Quelques constats
8. • Anciens employées, partenaires, clients
• 1 cas sur 3 est dû à de la négligence
• Près de 30% de fuite de données sur des appareils
portables
• Augmentation du risque lors de la collaboration externe
Comment cela se fait, par qui?
9. • Le flux d'informations n’a pas de frontières
• L’information est partagée, stockée et accessible en
dehors du contrôle de son propriétaire
• Les contrôles de sécurité périmétriques (hôte et
réseau) ne sont pas les bons outils pour résoudre ce
problème
Tendances relatives à l’information
11. • Technologie pour la protection et le contrôle de
l’information (IPC) qui aille au-delà du contrôle
d’accès et du chiffrement
– Protection de l’information elle-même et contrôle de l’usage
Besoins
12. • Technologie d’IPC qui soit facilement utilisable
• Technologie d’IPC qui soit souple, facilement
déployable et extensible
Besoins
16. WINDOWS AZURE AD RIGHTS
MANAGEMENT
Protection et contrôle de l’information (numérique)
17. • Commencez à bénéficier de la protection des informations
dès que vous êtes abonnés à Office 365
– Aucune infrastructure RMS requise
• Fonctionne avec Office, Exchange Online et SharePoint
Online
– La gestion des droits d’usage est intégrée dans les trois solutions
• Concerne initialement les clients dont le courrier électronique
(Exchange Online) et le circuit documentaire sont hébergés
dans le nuage (SharePoint Online)
– Généralise la protection contre la divulgation d’information à un nouvel
ensemble de clients
– Fournit les fonctionnalités essentielles qui sont nécessaires à la protection
des informations
Windows Azure AD Rights Management
18. LES DROITS D’USAGE EN ACTION
Windows Azure Active Directory Rights Management
19. • Capacités
– Mécanisme simple, pour activer la gestion des droits d'usage entre les
applications et les services.
• Fonctionnalités de protection contre la fuite d’informations disponibles et
intégrées dans Office, Exchange Online (OWA, EAS) et SharePoint Online
– Fournit des modèles par défaut pour appliquer les droits d'usage
courant
• Des modèles simples pour limiter l'accès aux utilisateurs au sein de l'entreprise
• Mais également "Ne pas transférer" et des restrictions d’accès personnalisées
– Permet une collaboration sécurisée par défaut dans Office 365
• Collaboration sécurisée en dehors de l’entreprise avec toute personne
abonnée à Office 365
Windows Azure AD Rights Management
20. ACTIVER LA GESTION DES DROITS
DANS VOTRE SOUSCRIPTION
Windows Azure Active Directory Rights Management
21. • Capacités avancées
– Administration basée sur les rôles
• Permet de segmenter les rôles d'administration Office 365. L’entreprise
maîtrise comment sont effectuées les tâches administratives de gestion
des droits d'usage
• Permet de retirer aux administrateurs globaux le droit d’administrer
Windows Azure AD Rights Management
– Journalisation des actions administrateur
• Crée un journal des tâches administratives, y compris la date/heure,
l’utilisateur, et l'action spécifique que l'administrateur a effectuée
• Journal en lecture seule qui ne peut pas être supprimé ou modifié par
un administrateur
Windows Azure AD Rights Management
22. • Support d’Office 2013 et Office 2010
– Office 2007 n’est pas supporté
– Prêt pour la collaboration entre différentes organisations clientes d’Office
365
• Intégration d’Office 2013
– Expérience d'authentification unique via les contrôles d'identité Office
– Aucun paramètre supplémentaire à déployer, cela fonctionne par défaut
• Intégration d’Office 2010
– Nécessite de déployer la mise à jour MSDRM QFE, Online Sign-On Assistant,
ainsi qu'un "Consumption package" qui détecte si le client est correctement
configuré
– Un package d'installation sera disponible pour aider à configurer
correctement Office 2010
Intégration de Microsoft Office
23. PROTECTION ET CONTRÔLE DE
L’INFORMATION AVEC EXCHANGE
ONLINE
Windows Azure Active Directory Rights Management
24. • L’intégration à Windows Azure AD Rights Management est
disponible avec Office 365
– Une fois que le service Windows Azure AD Rights Management est activé,
l'intégration avec OWA et EAS est activée pour tous les utilisateurs
– La nouveauté dans le nouvel Office 365 est la capacité de partager du
contenu protégé entre différents locataires
• Toutes les fonctionnalités IRM disponibles dans Exchange
2013 sont également présentes dans Exchange Online :
– IRM dans OWA et EAS
– IRM dans les règles de transport
– Agent de déchiffrement RMS
Intégration à Exchange Online
25. • Les règles de protection de transport sont déclenchées par des règles de
transport ordinaires
– Si le message correspond à un certaine séquence, une action est déclenchée
– Pour la protection du transport, l'action est de protéger à l'aide d'un modèle ou avec "Ne
pas transférer"
• La protection de transport se déroule après le déchiffrement du transport
– Donc, si le message est déjà protégé, la protection du transport peut encore fonctionner
• La protection du transport se déroule après que le message quitte l'expéditeur
– Comportement transparent pour l'expéditeur
– Les règles de protection Outlook sont similaires, mais s'exécutent au niveau du poste de
travail
• Une fois que le message est protégé, lors de la consultation, la fonctionnalité de
Pré-licence aura lieu
Protection du transport dans Exchange
Online
26. • Nouvelles conditions de type
IPC
– Protéger les fichiers avec un
type particulier de pièce jointe
– Adresse IP de l'expéditeur
– Valide durant des dates
spécifiques
Règles de transport
27. • Permet d'identifier, de
surveiller et de protéger les
données sensibles grâce à
une analyse en profondeur
des contenus
– Des outils flexibles pour
appliquer des stratégies qui
assurent le bon niveau de
contrôle
Data Loss Prevention (DLP)
28. • Permettre aux utilisateurs de
gérer leur conformité
• La sensibilisation par des
stratégies contextuelles
• Ne perturbe pas le travail des
utilisateurs
• Peut fonctionner même en
mode déconnecté
• Des textes et des actions
personnalisables par les
administrateurs
Sensibilisation
29. • Des modèles par défaut qui
sont basés sur un ensemble de
règlementation
• Importer des modèles de
stratégie DLP conçus par des
partenaires sécurité
• Construisez vos propre
modèles
Modèles de stratégie DLP
30. • Des règles prédéfinies qui
détectent des types de données
sensibles
• Détection de contenu avancée
• Combinaison d'expressions
régulières, de dictionnaires et
des fonctions internes (ex: valider
la somme de contrôle sur les
numéros de cartes de crédit)
• Point d’extensibilité pour définir
d’autres types de données
Détection de
contenus sensibles
31. • Construit sur les règles de
transport
• Prend en charge la phase de
découverte de la conformité
• Actions pour appliquer la
stratégie
• Mise en quarantaine, bloquer,
auditer et fournir une notification
lorsqu'un email contient des
données sensibles
Règles de stratégie
DLP
32. • Aide à protéger vos
informations sensibles,
envoyées depuis n'importe où
• Les droits d'usage sont
verrouillés dans le document
• Protection en mode connecté
et hors ligne, à l'intérieur et à
l'extérieur de l'entreprise
Appliquer les
restrictions d'utilisation
granulaires
34. • Windows Phone 7.5 et 8.0 supportent EAS IRM
– Les Office Apps supportent l’ouverture des fichiers IRM
• Les tablettes et téléphones Samsung Android 4.0
supportent EAS IRM
• Pour iOS et les autres versions d’Android, une app
payante
– TouchDown de NitroDesk
• Nouvelle version de Microsoft OWA App for mobile
devices
– Cf. The New OWA Rocks Tablets and Phones
Exchange ActiveSync IRM et support des
nouveaux terminaux
35. • Travailler avec des clients de messagerie tierce
partie
– Samsung supporte IRM sur les tablettes Android 4.0 à travers
EAS IRM
– NitroDesk apporte le support d’IRM sur Android et iOS grâce à
son application TouchDown qui se base sur EAS IRM
• Travailler avec les éditeurs de logiciels tiers
– Beaucoup d'intérêt et d'activité à intégrer la fonctionnalité IRM
dans les applications tierces
– Nouveau SDK AD RMS 2.0 pour développer des applications
intégrant la fonctionnalité IRM
Travailler avec des logiciels tiers
36. PROTECTION ET CONTRÔLE DE
L’INFORMATION AVEC SHAREPOINT
ONLINE
Windows Azure Active Directory Rights Management
37. • SharePoint Online a ajouté le support des droits
d'usage
– Supporte Office 2010 et Office 2013
– Disponible dans le nouvel Office 365
• Gestion des droits d'usage dans les bibliothèques de
document
– Support des groupes
– Support du mode Read Only Web Access
– Prise en charge des scénarios de collaboration entre les
organisations
Intégration à SharePoint Online
39. • Microsoft IRM protection for PDF Specification
Supplement to ISO 32000
• Un nouveau protecteur IRM dans SharePoint
– Conforme à la spécification
• Compatible avec les lecteurs PDF tierces-parties
– http://go.microsoft.com/fwlink/?LinkID=231373
Support des fichiers PDF
41. • Installer le client AD RMS 2.1
– Entièrement compatible avec Windows Azure AD Rights
Management (AADRM)
• Installer le lecteur PDF Foxit compatible avec RMS
– Disponible à partir de ce lien :
http://go.microsoft.com/fwlink/?LinkID=231373
Lecteur PDF Foxit
43. UN BREF APERÇU DE
L’ARCHITECTURE ET DES FLUX
Windows Azure Active Directory Rights Management
44. • Se fonde sur Windows Azure AD et le nouvel Office 365
– Les composants incluent :
• Windows Azure AD sign-in service – Permet l'authentification au service
• Windows Azure AD Core directory – Synchronisation des nouveaux locataires,
recherche des utilisateurs/groupes pour les licences de publication, et stockage
secondaire pour les données des locataires
• Commerce Platform – Pour l’expérience de souscription du nouvel Office 365
• Les services du nouvel Office 365 ont différents chemins
d’intégration
– SharePoint utilise le client MSIPC pour l'étape de Bootstrap, la publication
et la consommation de contenu
• SharePoint appelle directement le service Rights Management au nom du locataire
– Exchange utilise le Rights Authorization package (RAP)
• Il s'agit d'un moteur embarqué intégré dans Exchange Online
Windows Azure AD Rights Management
48. • Construit sur Azure
– Service entièrement construit sur la plateforme Azure
• Utilise le service de calcul, de stockage, de synchronisation et l'infrastructure
de supervision Azure
• Service actuellement déployé dans 2 centres de données dans chaque région
avec de la redondance sur les opérations de lecture
• Plusieurs "Roles"
– RMS Web Services – tous les points de terminaison RMS
• Comprend les web service (Certify, GetCLC, AcquireLicense, AcquireTemplates)
– STS – Responsable de l'authentification des utilisateurs sur les points
de terminaison
• À l'heure actuelle ne supporte que Windows Azure AD comme fournisseur
d'identité
– KMS – Responsable des opérations cryptographiques
Windows Azure AD Rights Management
50. • La gestion des droits d'usage est fourni à travers un
service de type Cloud public
• La gestion des droits d'usage est intégrée dans les
services du nouvel Office 365
En guise de conclusion
51. • Livres blancs sur l’identité
– Information Protection and Control (IPC) in
Office 365 Preview with Windows Azure AD
Rights Management whitepaper
– Information Protection and Control (IPC) in
Microsoft Exchange Online with AD RMS
whitepaper
– Active Directory from on-premise to the Cloud
whitepaper
Pour plus d’informations
53. Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner
gratuitement
Essayer gratuitement nos
solutions IT
Retrouver nos experts
Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.comhttp://aka.ms/generation-app
http://aka.ms/evenements-
developpeurs http://aka.ms/itcamps-france
Les accélérateurs
Windows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDN
http://aka.ms/devteam
L’IT Team sur TechNet
http://aka.ms/itteam
Notas do Editor
Notation
E3, E4, A3 and A4 Office Online SKUs
Cryptographic Mode 2 – updated and enhanced cryptographic implementationSupports 2048-bit RSA encryption and 256-bit SHA-2 hashing algorithmNo changes in AES algorithm, symmetric encryption remains at 128 bitsMust upgrade older RMS clients - Win7, Vista, Server 2008/R2 support only
Active Directory Rights Management Service Client 2.1 beta