Le BYOD (Bring Your Own Device) consiste à donner la possibilité aux employés de se connecter au réseau de l’entreprise à partir de leur équipement personnel (smartphone, tablette ou ordinateur). Le défi majeur du BYOD est lié à la sécurité. Plutôt qu’un rejet, nous préférons une approche permettant d’offrir un accès « raisonné » au réseau d’entreprise. Dans cette session, nous vous démontrerons comment il est possible d’accueillir « sous condition » des terminaux Windows, Windows RT (par exemple Surface), Windows Phone 8 et non-Windows (iPad, iPhone, Android) en prenant en compte les notions d’identité, de force d’authentification et de niveau de confiance du terminal. Cette session sera basée sur un ensemble de scénarios de démonstration permettant d’illustrer les mécanismes utilisés « sous le capot » ! Nous vous recommandons d'assister à la session "BYOD : dites enfin oui ! " (RDI105) qui abordera les concepts sur lesquels sont basées les solutions démontrées.
2. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
3. Concepts BYOD : Contexte d’accès
BYOD : une nouvelle stratégie
• Corporate : Géré par l’entreprise
(Domain-joined)
• Managed : Géré par MDM
• Controlled : Contrôlé par EAS
• Unmanaged : Inconnu
• Accès interne
- Wifi/Filaire
• Accès externe
- Pays/Etranger
• Corporate : employé
• Federated : partenaire
• Social : inconnu
• Multi-facteur : Carte à puce
• Fort : certificat logiciel
• Moyen : mot de passe fort
• Faible : mot de passe faible
4. Politique de sécurité
BYOD : une nouvelle stratégie
Contexte d’accès ClassificationPolitiques de sécurité
5. BYOD : Contrôle d’accès en fonction du niveau d’authentification
Scénario 1 : Niveau d’authentification
6. Scénario 1 : Niveau d’authentification
BYOD : Contrôle d’accès en fonction du niveau d’authentification
ACCES RESTREINT AUX DONNEES
LBI
ACCES A TOUTES LES DONNEESACCES RESTREINT AUX DONNEES
MBI
SCENARIO
• Trois terminaux qui
appartiennent à Julien
• Authentification de
différents niveaux
• Selon le niveau
d’authentification les
accès seront restreints
iPad de Julien Windows 8 de Julien Windows RT de Julien
CERTIFICA
TE
SMART
CARD
ID+PWD
AUTHENTIFICATION FORTE DETECTEE
:
AUTHENTIFICATION MOYENNE
DETECTEE :
AUTHENTIFICATION MULTI-FACTEUR
DETECTEE :
7. DÉMO 1
Contrôle d’accès en fonction du niveau d’authentification
BYOD : Contrôle d’accès en fonction du niveau d’authentification
8. • Quoi ?
– Mécanisme permettant, lors d’une authentification par certificat, d’ajouter l’appartenance
de l’utilisateur à un groupe en fonction d’informations contenues dans le certificat
– Ajout de l’appartenance (SID du groupe) dans le jeton d’accès Kerberos
• Comment ?
– Ajout dans le certificat d’une « Issuance Policy » caractérisée par un OID
– Création d’une correspondance entre l’« Issuance Policy » et le groupe
• Pour faire quoi ?
– Différencier les authentifications par certificat (par ex. vs mot de passe)
– Identifier plusieurs catégories dans les authentifications par certificat
– Autoriser l’accès aux ressources en fonction du niveau d’authentification en s’appuyant sur
les groupes de sécurité
• Prérequis/Contraintes
– Kerberos uniquement
– DC Windows Server 2008 R2, niveau fonctionnel 2008 R2 (ou supérieur WS 2012 OK)
– Client (Windows Vista) Windows 7 et supérieur, Windows Server 2008 et supérieur
Authentication (mechanism) Assurance
Un peu de technique : Authentication Assurance
Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide
http://technet.microsoft.com/en-us/library/dd378897%28v=ws.10%29.aspx
9. BYOD : Contrôle d’accès selon le niveau de confiance
Scénario 2 : Niveau de confiance
terminal
10. Scénario 2 : Niveau de confiance du
terminal
BYOD : Contrôle d’accès selon le niveau de confiance
TERMINAL INCONNU :
SCENARIO
• Trois terminaux qui
appartiennent à Lucie
• Différents niveaux de
confiance pour chacun
• Selon le niveau de
confiance, les accès
seront restreintsAndroïd de Lucie Windows 7 de Lucie
TERMINAL MANAGE (AVEC UN MDM) :
Windows RT de Lucie
ACCES RESTREINT AUX DONNEES
MBI
TERMINAL
CONTROL
E
ACCES A TOUTES LES DONNEES
TERMINAL
MANAGE(AUTH PAR
LOGIN+PWD)
ACCES RESTREINT AUX DONNEES
LBI
TERMINAL CONTRÔLE (AVEC EAS) :
INCONNU
11. DÉMO 2
Contrôle d’accès en fonction du niveau de confiance terminal
BYOD : Contrôle d’accès selon le niveau de confiance
13. • Identité Corporate et rôle
– Les revendications utilisateur (AD/AD FS) et les groupes
d’appartenance sont utilisables pour les autorisations d’accès
– Dynamic Access Control (WS 2012) offre un contrôle d’accès sur
expressions conditionnelles
• Revivez la session enregistrée « SEC 311 Dynamic Access Control de
Windows Server 2012 »
Identité
BYOD : Contrôle d’accès selon l’identité
• Identité fédérée
– Concerne les applications et services Web
– Incontournable dans les scénarios Cloud (ex Office 365)
– Peut être utilisé pour l’accès à des passerelles de publication Web (ex.
UAG)
– Voir scénario AD FS plus loin
14. BYOD : Contrôle d’accès selon la localisation
Scénario 4 : Localisation
15. Contexte d’accès : Localisation
BYOD : Contrôle d’accès selon la localisation
PRINCIPE
• Notion de passerelle de
publication interne
• Publication des services
et applications selon le
type d’accès
• Authentification sur
annuaire AD interne
• Certaines passerelles
peuvent accepter des
jetons de fédération et
faire de la délégation
contrainte Kerberos
(SSO)
Passerelles externes
802.1x
Passerelles internes
Référentiel identité +
authentification
ACCES INTERNE
ACCES EXTERNE
Resources internes
WEB, VDI, RDS
FIREWALL
16. BYOD : Prise en compte du contexte d’accès avec AD FS
Scénario 5 : AD FS
17. Scénario 5 : AD FS
BYOD : Prise en compte du contexte d’accès avec AD FS
SCENARIO
• Deux terminaux qui
appartiennent à Lucie
• Différents niveaux de
confiance et
d’authentification
• Selon le contexte, les
accès seront restreintsAndroïd de Lucie
inconnu
Windows RT de Lucie
managé
SMART
CARD
ID+PWD
STS WEB
AD
18. BYOD : Protection contre la fuite d’information
Scénario 6 : Protection contre la fuite
d’information
19. Scénario 6 : Protectioncontrelafuite
d’information
BYOD : Prise en compte du contexte d’accès avec AD FS
PRINCIPE
• Contrôler l’usage des
données envoyées
• Protéger les données par
chiffrement
– Mail
– Pièces jointes
EAS, OWA, RMS
Windows 8 de Julien iPad de Lucie
23. • Le BYOD impose d’étendre le modèle de protection périmétrique et d’introduire
la notion de contexte d’accès
• Le mécanisme d’Authentication Assurance permet de prendre en compte le
niveau de confiance de l’authentification et du terminal pour la protection
de l’accès aux ressources en fonction de leur sensibilité
• Le contrôle d’accès dynamique de Windows Server 2012 autorise la mise en
œuvre de règles évoluées pour la protection des données
• L’utilisation de passerelles internes permet de publier les services en prenant en
compte le paramètre de localisation
• La fédération permet d’étendre le principe de contexte d’accès vers les
ressources Web internes et vers le Cloud
Consultez régulièrement http://blogs.technet.com/byod-fr
– Nous publierons l’avancée de nos travaux avec des posts « Vision stratégique »
mais également des informations techniques
Synthèse
BYOD : Synthèse !