Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Seu SlideShare está sendo baixado.
×
Confira estes a seguir
Recomendadas
Mais Conteúdo rRelacionado
Diapositivos para si (17)
Semelhante a BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entreprise (20)
Mais de Microsoft Technet France (20)
Mais recentes (20)
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entreprise
- 1. BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entreprise William Houry, Versatile Security Arnaud Jumelet, Microsoft France william.houry@versatilesecurity.com, @whoury arnaud.jumelet@microsoft.com, @arnaud_jumelet Sécurité
- 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
- 3. Agenda La situation Les directions de solution pour l’entreprise 1 #mstechdays 2 Sécurité Un exemple 3
- 4. Objectifs de la session • Découvrir les solutions Microsoft pour le BYOD adaptées au monde de l’entreprise • Démontrer la mise en œuvre d’un scénario innovant : inscription d’un appareil Windows 8.1 avec authentification par téléphone puis création d’une carte à puce virtuelle contenant les certificats numériques associés à l’utilisateur #mstechdays Sécurité
- 5. LES DÉFIS DU BYOD La situation #mstechdays Sécurité
- 6. Les défis liés au BYOD Utilisateurs Appareils Les utilisateurs veulent pouvoir travailler depuis n’importe où et avoir accès à toutes les ressources. L’explosion et la diversité des appareils mobiles remet en cause l'approche basée sur les standards IT de l'entreprise. #mstechdays Sécurité Applications Le déploiement et la gestion des applications sur l’ensemble des plateformes est complexe. Données Les utilisateurs doivent être productifs tout en respectant la contraintes de conformité et en limitant les risques.
- 7. Les utilisateurs veulent travailler depuis leur propre appareil et de n’importe où Tout débute par une personne ... dont l’identité est vérifiée… sur plusieurs appareils… EMPLOYEE # 0000000000 CONTOSO #mstechdays Sécurité avec un accès aux apps… ….même en situation de mobilité !
- 8. Donner accès de manière sécurisée aux apps et données métiers L’IT doit protéger les ressources de l’entreprise… .. En définissant comment les applications sont délivrées DELIVERY TYPE VIRTUAL DESKTOP SSL/TLS VPN / DirectAccess DELIVERY TYPE REMOT E APP 802.1x / IPsec DELIVERY TYPE NATIV E APP DELIVERY TYPE WEB/Saa S APP #mstechdays Sécurité tout en gardant le contrôle sur les données et la sécurité.
- 9. Des bénéfices et des risques Utilisateurs Comment accéder facilement aux outils de l’entreprise avec mon appareil personnel et depuis n’importe où ? IT PRO Comment donner accès de manière sécurisée aux applications et données de l’entreprise ? #mstechdays Sécurité
- 10. QUELQUES SOLUTIONS MICROSOFT POUR LE BYOD #mstechdays Sécurité
- 11. Solutions BYOD dans Windows Server 2012 R2 DELIVERY TYPE VIRTUAL DESKTO P DELIVERY TYPE REMOT E APP DELIVERY TYPE WEB/Saa S APP DELIVERY TYPE NATIV E APP #mstechdays Sécurité
- 12. Publication des applications web avec WAP + AD FS Les améliorations apportées sur le nouvel AD FS comprennent un déploiement et une gestion simplifiée Applications publiées Firewall DELIVERY TYPE WEB/SaaS APP Les utilisateurs peuvent enregistrer leurs appareils pour accéder aux apps et données d'entreprise avec une expérience SSO grâce à l'authentification de l'appareil #mstechdays L’accès conditionnel avec l'authentification multi-facteur est fourni avec une granularité par application, en s'appuyant sur l'identité de l'utilisateur, l'enregistrement de l'appareil, l’emplacement réseau et d’autres informations de contexte Sécurité
- 13. Principe du contrôle d’accès contextuel Contexte Expérience utilisateur Utilisateur Appareil Logique Authentification Complet Le contexte d’accès inclut les caractéristiques de l’identité présentée, la force de l’authentification, le niveau de confiance de l’appareil mobile et l’emplacement géographique. et Sécurité Limité (ex. règle : appareil connu depuis le réseau interne à l’aide d’une authentification forte) . Accès à certaines Applications Web . Accès à des applications classiques en mode RDP Bloqué Lieu #mstechdays (ex. règle : appareil connu et géré) . Accès complet au réseau . Accès natif aux applications Web et classiques (ex. règle : appareil inconnu) . Aucun accès au réseau interne . Accès internet invité Les politiques d’accès définissent les règles d’accès en fonction du contexte et de la sensibilité des services, applications et données accédés
- 14. Utilisateur Contexte d’accès Utilisateur Authentification Appareil Lieu #mstechdays Les caractéristiques de l’identité présentée – Appartenance à un/des groupes de sécurité – Appartenance à un rôle spécifique – Attribut particulier,… Sécurité
- 15. Lieu Contexte d’accès Depuis l’interne Utilisateur Authentification Appareil Lieu En situation de mobilité #mstechdays Sécurité
- 16. Authentification Contexte d’accès Mot de passe + Téléphone + Voix Utilisateur Carte à puce + Code PIN Authentification Certificat protégé par TPM Force Appareil Empreinte digitale Lieu Certificat Mot de passe simple **** #mstechdays Carte à puce virtuelle + Code PIN Code confidentiel Sécurité Mot de passe image Mot de passe + Téléphone
- 17. Carte à puce • Les Intérêts – Authentification forte à 2 ou 3 facteurs basée sur des certificats numériques (X.509) – Cryptographie isolée (Opérations effectuées par la carte) – Anti « Force brute » (Carte bloquée après N tentatives) – Nombreux cas d’utilisation (Windows logon, Accès à distance, Chiffrement, Signature…) • Pas toujours adapté dans un environnement BYOD – Lecteur intégré, lecteur externe (USB, Bluetooth ou autre), Clé USB, Carte NFC… • La Carte à puce virtuelle offre une complémentarité à la carte à puce physique en gardant les avantages de celle-ci sans les contraintes de déploiement de matériel #mstechdays Sécurité
- 18. Qu’est-ce qu’une carte à puce virtuelle ? • La fonctionnalité carte à puce virtuelle est présente sur toutes éditions de Windows 8.X • Utilise la puce TPM d’un appareil Windows 8.x • La présence d’un TPM sera obligatoire en 2015 pour obtenir le logo Windows • Adaptée aux tablettes et appareils mobiles – Les Windows Phones possèdent un module TPM • Déploiement simple et compatibilité optimale avec les logiciels existants. Le code PIN est ce que l’on connaît, l’appareil ce que l’on possède #mstechdays Sécurité
- 19. La carte à puce virtuelle est faite pour le BYOD et la mobilité Authentification Multi-facteurs • • • • • Accès distant avec une connexion VPN Accès réseau interne Wi-Fi, IPSec Ouverture de session en mode RDP Accès à des applications Web avec authentification certificat client SSL Accès à des ressources via Kerberos Protection des documents et des messages • • Chiffrement BitLocker sur des disques de données fixes et amovibles Chiffrement/Signature S/MIME #mstechdays Sécurité
- 20. Appareils Contexte d’accès Inconnu Connu L’appareil est inconnu de l’IT L’appareil est joint au lieu de travail (Workplace Join). Il peut recevoir des politiques de sécurité via EAS. L’appareil est connu est associé à son utilisateur Utilisateur Authentification Appareil Lieu #mstechdays Sécurité Connu et géré L’appareil est joint au lieu de travail et géré par un MDM (Mobile Device Management) via le protocole OMA-DM. Administré L’appareil est joint au domaine Active Directory et est entièrement sous le contrôle de l’IT avec des GPO et outils de supervision, télédistribution logiciels.
- 21. Fonctionnement du Workplace Join Start Start Active Directory #mstechdays Sécurité
- 22. WORKPLACE JOIN Associer un appareil ou un ordinateur considéré comme fiable #mstechdays Sécurité Design/UX/UI
- 23. SCENARIO AVEC LA SOLUTION VERSATILE SECURITY VSEC:CMS #mstechdays Sécurité
- 24. Gestion du Cycle de Vie des Cartes à Puces (Virtuelles) #mstechdays Sécurité
- 25. Avantages de vSEC:CMS Haut Niveau de Sécurité Intégration complète avec les infrastructures Microsoft Installation Rapide Faible Coût de Possession #mstechdays Sécurité
- 26. Intégration avec l’Infrastructure Existante #mstechdays Sécurité
- 27. Distribution carte à puce (virtuelle) et certificats dans un contexte BYOD (Self-Service) Start Récupération des règles d’accès : Authentification forte (carte à puce physique) Authentification par téléphone Azure MFA Questions / Réponses … #mstechdays Sécurité
- 28. CRÉATION ET PERSONNALISATION D’UNE Avec vSEC:CMS CARTE À PUCE VIRTUELLE #mstechdays Sécurité Design/UX/UI
- 29. Les étapes Diversification de la Clé d’Administration (PIN Admin) Configuration de la Politique de PIN Assignation à un Utilisateur Active Directory Enrôlement des Certificats Utilisateurs #mstechdays Sécurité
- 30. En résumé • Enregistrer les appareils – Les appareils (Windows 8.x, iOS) peuvent être joint au lieu de travail avec Windows Server 2012 R2 • Authentification forte et moderne – Activer les méthodes d’authentification fortes adaptées à la mobilité : Windows Azure MFA et cartes à puce virtuelles • Contrôle d’accès contextuel pour le BYOD – Prise en compte du contexte avec Windows Server 2012 R2 #mstechdays Sécurité
- 31. Aller plus loin Ressources • Livre blanc « BYOD : Vision et solutions » • Livre blanc « Windows Azure MFA » • Site Web Versatile Security : http://versatilesecurity.com Sessions tech.days 2014 – Mercredi 12 février : 16h30-17h15 : Démonstration du BYOD en entreprise – Jeudi 13 février : 12h15-13h00 : Stratégie BYOD et nouvelles directions de solutions #mstechdays Sécurité
- 32. Digital is business
