Alphorm.com Formation Azure Active Directory RMS et Azure Information Protection
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
1.
2. Protéger vos données à demeure avec le
nouveau service Microsoft RMS et les
boitiers HSM Thalès
Philippe Beraud, Arnaud Jumelet
Direction Technique | Microsoft France
Eric Portrait
Thalès e-Security
philippe.beraud@microsoft.com, @philberd
arnaud.jumelet@microsoft.com, @arnaud_jumelet
eric.portrait@thalesgroup.com
Sécurité
3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays !
#mstechdays
Sécurité
5. Microsoft RMS
• Est une technologie de protection et de contrôle
– Contre la divulgation d’information
• Offre une protection de l’information au repos, en transit et en cours
d’utilisation via un mécanisme persistant de chiffrement
• Garantit que seules les personnes préalablement autorisés peuvent
consulter l’information
– Avec une gestion des droits d’utilisation
• Permet de définir qui peut ouvrir, modifier, imprimer, transférer et / ou
entreprendre d’autres actions avec l’information protégée
• Permet de fixer une date d’expiration pour l’information protégée
#mstechdays
Sécurité
6. Microsoft RMS
• Permet de protéger vos documents et vos messages
électroniques
– Prend en charge tous les types de fichiers : fichiers PDF, Office,
texte, image, e-mails, etc.
– L’application n’est pas compatible avec RMS ? Utilisez alors la
protection générique et l’App gratuite de partage (RMS Sharing
App)
• Permet de consulter l’information protégée sur les
appareils importants
– Windows, Windows RT, Windows Phone, Mac OS/X, iOS, et
#mstechdays
Sécurité
Android
7. Microsoft RMS
• Est disponible avec Office 365…
– (Cf. session précédente : Protéger vos données dans un contexte
BYOD/Office 365 avec Microsoft RMS)
• …Mais également en autonome sans Office 365 pour vos
charges de travail à demeure
– Via le connecteur RMS et les applications compatibles RMS
– Aucune infrastructure (AD RMS) requise à demeure
#mstechdays
Sécurité
8. Collaboration sécurisée avec Microsoft RMS
• Permet une collaboration sécurisée
– Entre les collaborateurs de l’entreprise
– En dehors de l’entreprise avec
• Toute personne abonnée à Microsoft RMS autonome
• Toute personne abonnée à Office 365
• Toute autre personne. Invitez-là à s’inscrire gratuitement et sans effort
à l’offre "RMS pour les particuliers" : https://portal.aadrm.com
#mstechdays
Sécurité
9. Microsoft RMS en mode autonome
• Disponible via les programmes de licences en volume
Microsoft Enterprise (EA / EAS / EES)
– Les clients Enterprise CAL (ECAL) peuvent ajouter le service
Microsoft RMS
– 1,50€/utilisateur/mois (en quantités de 1) pour chaque créateur de
contenu
• Inclut le droit d’utiliser AD RMS sur site
• La consommation et la collaboration sur un document déjà
protégé sont gratuites. Seule la protection initiale est
soumise à licence
#mstechdays
Sécurité
10. Obtenir Microsoft RMS autonome
• Souscrire en ligne à l’offre
– https://portal.microsoftonline.com/Signup/MainSignUp15.aspx?&O
fferId=9DF77AF9-DAAE-4d51-8E0EEEEADD4866B8&dl=RIGHTSMANAGEMENT
• Tester la solution
– https://portal.microsoftonline.com/Signup/MainSignUp15.aspx?&O
fferId=A43415D3-404C-4df3-B31BAAD28118A778&dl=RIGHTSMANAGEMENT
#mstechdays
Sécurité
12. Connecteur RMS
• Est un simple proxy/relais qui interface les serveurs à
demeure au service Microsoft RMS
– Autorise un déploiement simple, avec juste deux serveurs pour la
redondance
• Toute la configuration est stockée automatiquement dans le cloud
– Permet une administration simple
• Maintient une liste des applications autorisées
– SharePoint 2010/2013, Exchange 2010/2013 configurés comme
s’ils parlaient à AD RMS à demeure
#mstechdays
Sécurité
13. Qu’est-ce que le connecteur Microsoft
RMS ?
Windows
Azure Active
Directory
Azure RMS
Synchronization Tool
Microsoft RMS
Connector
Exchange
2010/2013
#mstechdays
Active
Directory
SharePoint
2010/2013
Sécurité
14. Pré-requis du connecteur RMS
• Activer Microsoft RMS
–
–
Etape réalisée dans l’interface de gestion de Microsoft RMS (ou en Windows PowerShell)
Même étape que pour l’utilisation de Microsoft RMS avec Office 365
• Requiert Windows Server 2008 R2 ou Windows Server 2012
–
–
Divers SKU’s pris en charge (Toutes les versions non-core versions supportées)
Mêmes exigences matériels minimales que l’OS de base
• Requiert la synchronisation AD vers le locataire Windows Azure AD
–
–
Permet les recherches d’utilisateurs et l’expansion de groupe pour l’autorisation
• DirSync ou FIM 2010 R2 avec le connecteur Windows Azure AD
Suppose pour une expérience SSO la synchronisation de mots de passe ou l’authentification
unique avec ADFS (ou un autre STS supporté)
• Se fédérer avec le locataire Windows Azure AD
–
–
#mstechdays
Mettre en œuvre DirSync (ou FIM avec le connecteur Windows Azure AD)
Mettre en œuvre AD FS ou activer la synchronisation de mot de passe (optionnel)
Sécurité
15. Mise en œuvre du connecteur RMS
1.
2.
3.
4.
Installer le connecteur RMS
Configurer le connecteur RMS
Configurer la répartition de charge et SSL (optionnel)
Préparer Exchange Server/SharePoint Server pour
dialoguer avec le connecteur RMS
5. Activer la capacité RMS dans Exchange
Server/SharePoint Server
#mstechdays
Sécurité
32. Configurer Exchange et SharePoint
• MAJ requise pour Exchange 2010/2013
– Disponible sous la forme d’un CU (Cumulative Update)
• Exchange Server 2010 with Exchange 2010 Service Pack 3 Rollup Update 2
• Exchange Server 2013 with Exchange 2013 Cumulative Update 3
• OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)
• MAJ requise pour SharePoint 2010/2013
– Via le client MSIPC 2.1 (AD RMS Client 2.1)
– OS Serveur en Mode 2 (Cf. KB 2627272 et KB 2627273)
• Configuration requise pour utiliser le connecteur RMS
– Appliquée via le Registre pour router les appels via le connecteur
RMS vers Microsoft RMS
• Outillage additionnel pour générer les fichiers Registre, la configuration locale
ou celle relative aux GPOs
#mstechdays
Sécurité
33. Récupérer l’URL du service RMS
PS C:> Import-Module AADRM
PS C:> Connect-AadrmService –Verbose
PS C:> Enable-Aadrm
PS C:> Get-AadrmConfiguration
(Permet d’obtenir l’URL du service dans le champs
LicensingIntranetDistributionPointUrl par exemple. Dans notre
configuration : https://3599e415-dcde-4c14-ba31765d543c5f25.rms.eu.aadrm.com)
#mstechdays
Sécurité
34. Configurer la redirection pour Exchange
2010
HKLMSoftwareMicrosoftMSDRMServiceLocationActivation
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"
HKLMSoftwareMicrosoftMSDRMServiceLocationEnterprisePublishing
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"
HKLMSOFTWAREMicrosoftExchangeServerv14IRMCertificationServerRedirect
ion REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" =
"http(s)://<connectorName>/_wmcs/certification"
HKLMSOFTWAREMicrosoftExchangeServerv14IRMLicenseServerRedirection
REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" =
"http(s)://<connectorName>/_wmcs/licensing"
#mstechdays
Sécurité
35. Configurer la redirection pour Exchange
2013
HKLMSoftwareMicrosoftMSDRMServiceLocationActivation
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/certification"
HKLMSoftwareMicrosoftMSDRMServiceLocationEnterprisePublishing
REG_SZ: [Default] = "https://<MicrosoftRMSURL>/_wmcs/Licensing"
HKLMSOFTWAREMicrosoftExchangeServerv15IRMCertificationServerRedirect
ion
REG_SZ:"https://<MicrosoftRMSURL>/_wmcs/certification" =
"http(s)://<connectorName>/_wmcs/certification"
HKLMSOFTWAREMicrosoftExchangeServerv15IRMLicenseServerRedirection
REG_SZ: "https://<MicrosoftRMSURL>/_wmcs/licensing" =
"http(s)://<connectorURL>/_wmcs/licensing"
#mstechdays
Sécurité
36. Configurer la redirection pour SharePoint
HKLMSOFTWAREMicrosoftMSIPCServiceLocationLicensingRedirection
REG_SZ:
"https://<MicrosoftRMSURL>/_wmcs/licensing"="http://<connectorName>/_wmcs/
licensing"
#mstechdays
Sécurité
43. Boitier HSM (Hardware Security Module)
• Permet de créer des clés cryptographiques et de les
protéger
– De manière à ce qu’elles ne puissent être déchiffrées que par le
HSM, et PAS être exportées
• Réalise des opérations cryptographiques comme le
chiffrement et les signatures numériques
#mstechdays
Sécurité
44. Thalès e-Security en quelques chiffres
•
•
•
•
•
•
•
19 des 20 plus grandes banques mondiales
Plus de 3000 institutions financières
70 % des transactions bancaires dans le monde
3 des plus grands instituts pharmaceutiques
4 des 5 plus grands industriels pétrochimiques
9 des 10 plus grands industriels High-Tech
25 pays membres de l’OTAN sont équipés de solutions
Thales
#mstechdays
Sécurité
45. Microsoft RMS et les clés
cryptographiques
• Utilise une clé importante propre à chaque locataire
– La "clé de locataire" qui est le point d’ancrage du modèle de
confiance
• La fonctionnalité Bring-Your-Own-Key (BYOK) vous
donne
– La capacité de générer, d’importer et de déléguer le privilège
d’utilisation de cette clé à Microsoft pour opérer le service
Microsoft RMS
– L'assurance que les opérateurs Microsoft ne peuvent pas voir,
récupérer, exporter, dupliquer ou voler votre clé RMS lors de
l'importation ou lors du fonctionnement du service Microsoft RMS
#mstechdays
Sécurité
46. Bring-Your-Own-Key
• Des logs en quasi-temps réel vous permettent d’observer
l'utilisation de votre clé
– Étant donné que vous nous donnez le droit d’utiliser vos clés,
vous avez le droit de contrôler l’usage qui en fait Nous vous
donnons les journaux en quasi-temps réel
#mstechdays
Sécurité
47. Livres blancs et guides Etape-par-Etape
Leverage the RMS connector with
Microsoft RMS
Share protected content with
Microsoft RMS
Bring-Your-Key with Microsoft RMS
Get usage logs with Microsoft RMS
IPC in Office 365 with Microsoft
RMS
48. Pour aller au-delà
microsoft.com/rms
Microsoft TechNet Documentation
http://technet.microsoft.com/en-us/dn175751
Microsoft MSDN Documentation
http://msdn.microsoft.com/enus/library/windows/desktop/dn223672(v=vs.85).aspx
Blogs Groupe produit Microsoft RMS
http://blogs.technet.com/b/rms/
http://blogs.msdn.com/b/rms/
Format de fichier et agnostique de l'appareil (en théorie)
Canaux d'achat habituels
Canaux d'achat habituels
Download the connector here : http://www.microsoft.com/en-us/download/details.aspx?id=40839Learn more here : http://technet.microsoft.com/en-us/library/dn375964.aspx
The above papers are available on the Microsoft Download Center:Microsoft RMS whitepapers: http://www.microsoft.com/en-us/download/details.aspx?id=40333