Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Quoi de neuf pour les identités dans Office 365 ?
1.
2. Quoi de neuf pour les identités
dans Office 365 ?
Philippe Beraud et Arnaud Jumelet
Direction Technique | Microsoft France
Denis Carniel
Login People
philippe.beraud@microsoft.com
arnaud.jumelet@microsoft.com
denis.carniel@loginpeople.com
Sécurité
3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays !
#mstechdays
Sécurité
4. Notre agenda pour cette session
Vue d’ensemble
des identités
Office 365
1
#mstechdays
Annoncés/
disponibles
récemment…
Options
d’intégration en
matière d’identité
2
Sécurité
3
7. Identité Office 365
Identité unique dans le Cloud qui
convient pour les (petites) entreprises
sans intégration aux annuaires à
demeure
#mstechdays
Identité unique adapté pour les
moyennes et grandes entreprises sans
fédération
Sécurité
Identité fédérée et informations
d’identification uniques appropriés pour
les moyennes et grandes entreprises
9. Windows Azure Active Directory Sync Tool
(DirSync)
Mise à jour: synchronise les mots
de passe utilisateur de l’AD à
demeure vers Windows Azure AD
Seul un condensat unidirectionnel du mot
de passe sera synchronisé de telle sorte
que le mot de passe d’origine ne puisse
être reconstruit à partir de celui-ci
Respecte les politiques de mots de passe
à demeure
Ne peut pas synchroniser les mots de
passe pour les utilisateurs fédérés, mais
les deux peuvent coexister
"Simple Sign-On"
Permet aux utilisateurs d’avoir le même
nom d’utilisateur/mot de passe
#mstechdays
Sécurité
SAML2
Identity Provider
10. Provisioning Windows Azure AD
• Mise à jour: disponibilité du connecteur Windows Azure
AD pour FIM 2010 R2
– Peut être utilisé dans des scénarios non pris en charge par
DirSync, par exemple pour la synchronisation multi-forêt AD et
avec des sources non-AD
• Nous recommandons toujours d'utiliser DirSync comme la principale
solution pour synchroniser AD à Windows Azure AD et de l'utiliser
chaque fois que possible
– The connecteur est livré avec un exemple de configuration et de
code pour le scénario forêt de comptes/forêt de ressources
#mstechdays
Sécurité
11. Provisioning Windows Azure AD
• API Windows Azure AD GRAPH API
– API REST pour un accès programmatique aux données dans
Windows Azure AD
– Permet de construire des applications multi-locataires, ou des
applications Métier personnalisées
– Peut-être désormais utilisée pour créer des utilisateurs fédérés et
cloud, assigner des licences, etc.
#mstechdays
Sécurité
12. Authentification multi-facteur (MFA) pour Office
365
• Authentification d’entreprise à l’aide de tout téléphone/
smartphone
• Disponible gratuitement pour les administrateurs Office
365…
• Et… désormais également disponible pour les utilisateurs
Office 365
• Fonctionne avec tous les services Office 365 de type Web
– Outlook Web App, SharePoint Online
• Requiert des mots de passe applicatifs pour les clients
riches
– Non disponibles pour les administrateurs
– 16 caractères générés
#mstechdays
Sécurité
13. MFA pour Office 365
• Authentification d’entreprise à l’aide de tout
téléphone/smartphone
#mstechdays
Sécurité
14. MFA POUR OFFICE 365
Illustration de l’expérience utilisateur
#mstechdays
Sécurité
Design/UX/UI
16. Windows Azure MFA vs. MFA pour Office 365
17. Authentification multi-facteur pour les clients
Office
• MAJ des clients Office ProPlus (2013) pour le
support de MFA pour Office 365/Windows
Azure MFA
– Plus besoin des mots de passe applicatifs avec les clients
mis à jour
– Outlook, Lync, Word, Excel, PowerPoint, PowerShell,
SkyDrive Pro
– Capacité d’intégration pour des solutions tierces-parties
d’authentification multi-facteurs et prise en charge des
cartes à puce
• Disponible en 2014
#mstechdays
Sécurité
18. OPTIONS D’INTÉGRATION EN
MATIÈRE D’IDENTITÉ
De multiples façon de s’intégrer avec Windows Azure
AD : Des clients différents ont potentiellement des
scénarii différents qui requièrent des solutions
différentes
#mstechdays
Sécurité
20. Questions fréquentes
• Vous n'avez pas besoin de mettre en place le SSO juste
parce que vous synchronisez mais vous devez
synchroniser afin d'utiliser le SSI
– Vous pourriez utiliser PowerShell/Graph API pour créer vos
données d'annuaire, mais ceci induit des coûts additionnels de
gestion et ne constitue pas un scénario officiellement documenté
ou supporté
• Le SSO est pris en charge pour n’importe quelle solution
de synchronisation
– Forêt unique, multi-forêt, etc.
• Vous pouvez contrôler quels objets synchroniser dans
Windows Azure AD, mais vous ne pouvez pas contrôler
quelle partie des objets synchroniser
#mstechdays
Sécurité
21. Identité Cloud
•
•
•
•
Expérience riche avec les
applications Office
Facilité de déploiement, de gestion
et de support
Moindre coût, car aucun serveur
additionnel n’est nécessaire à
demeure
Haute disponibilité et fiabilité comme
les identités et les services sont gérés
dans le Cloud
#mstechdays
Sécurité
22. DirSync
•
•
•
•
•
Expérience riche avec les applications
Office
Synchronisation d’annuaire entre la
forêt AD à demeure et
l’environnement en ligne
Les identités sont crées et gérées à
demeure et synchronisées dans le
Cloud
Identité unique mais pas de SSO
entre les services à demeure et les
services Office 365
Réutilisation de l’infrastructure
d’annuaire AD à demeure
#mstechdays
Sécurité
23. Synchronisation de mots de passe
•
Expérience riche avec les
applications Office
• Synchronisation d’annuaire entre la
forêt AD à demeure et
l’environnement en ligne
• Les identités sont crées et gérées à
demeure et synchronisées dans le
Cloud
• Identité et informations d’identification
(mot de passe) uniques mais pas de
SSO entre les services à demeure et
les services Office 365
• Réutilisation de l’infrastructure
d’annuaire AD à demeure
#mstechdays
Sécurité
24. DirSync ou SSO
Même mot de passe pour accéder aux ressources
Peut contrôler les politiques de mot de passe à demeure
Support pour l’authentification forte (2FA/MFA)
Filtrage de l'accès client par IP ou par plage horaire
L'authentification est effectuée à demeure. Peut bloquer
immédiatement les comptes désactivés.
Support Multi-Forêt AD
Aucun mot de passe à rentrer si à demeure
#mstechdays
Sécurité
25. Portée et filtrage pour la synchronisation
• Exclusion d’objets pour synchronisation vers Office 365
– La portée peut être définies aux niveaux suivants :
• Fondée sur le domaine AD
• Fondée sur l’unité d’organisation
• Fondée sur les attributs utilisateur
– Des capacités de filtrage additionnelles sont disponibles avec le
connecteur Windows Azure AD
• Empêcher la synchronisation d’attributs spécifiques n'est
pas supporté
#mstechdays
Sécurité
26. PowerShell / API REST Graph
• Convient pour les (grandes) entreprises avec certains
scénarios AD et non-AD
• Des limitations de performance s’appliquent avec le
provisioning PowerShell et Graph API
• PowerShell requiert une expérience de Scripting, Graph
API de programmation
– L’option PowerShell peut être utilisée lorsque des wrappers de
scripts PowerShell sont en place (ex. : libre service provisioning)
#mstechdays
Sécurité
28. Connecteur Windows Azure AD pour FIM 2010
R2
• Convient pour les grandes entreprises avec certains
scénarios AD et non-AD
• Scénarii multi-forêt AD complexes
• Synchronisation avec des sources Non-AD
• Nécessite FIM 2010 R2 et des licences logiciels
supplémentaires
#mstechdays
Sécurité
29. Identité fédérée
•
•
•
•
•
•
Identité unique et SSO entre les services à
demeure et les services Office 365
Identité maîtrisées à demeure avec un
point de gestion unique
Synchronisation d’annuaire pour
synchroniser les objets d’annuaire dans
Office 365
Authentification fondée sur des jetons
sécurisés
Contrôle d'accès client basé sur l'adresse
IP avec AD FS
Options d’authentification forte
pour plus de sécurité avec AD FS
#mstechdays
Sécurité
Non-AD
31. Login People® – Accès sécurisé à Office 365 en toute simplicité !
• L’authentification multi-facteurs par l’ADN du Numérique®
: une expérience transparente pour les utilisateurs et
simplifiée pour les administrateurs :
– Sans token ni OTP
– Sans changement des habitudes : à partir des équipements
existants, sans manipulation de code supplémentaire
– Sans modification des infrastructures
– Renforcement de la sécurité avec un TCO parmi les plus faibles et
des plus optimisés
• Meilleur ensemble
– Renforcement de la sécurité des identités fédérées
– Intégration de la login page de l’ADN du Numérique® automatisée
avec AD FS
– Echanges de tokens SAML transparents pour l’utilisateur
– Respect des politiques de sécurité
#mstechdays
Sécurité
+
+
32. Login People® – Accès sécurisé à Office 365 en toute simplicité !
• AD FS Windows Server 2012
R2
• AD FS 2.0
Page
Authentification
AD FS
#mstechdays
Page
authentification
ADN
Page Authentification AD FS
Sécurité
33. Login People® – Accès sécurisé à Office 365 en toute simplicité !
34. Utiliser des VMs dans le IaaS Windows Azure
• Livre-blanc disponible
– http://www.microsoft.com/downloads/details.aspx?FamilyID=72c1
5d25-6515-4763-9b76-054362b58398
• Modifie les configurations matérielles
– Du matériel à demeure vers les VMs Windows Azure
• Ne supprime pas les exigences et la gestion en matière
de haute-disponibilité
• Doit avoir une ligne de vue (VPN) avec l’environnement à
demeure
• Nécessite toujours pour l’accès Extranet un proxy AD
FS/WAP
• Nécessite un DC AD dans Windows Azure
#mstechdays
Sécurité
36. Programme ‘Fonctionne avec Office 365 –
Identité’
• Mis à jour en janvier 2014
– A destination de nos clients et des
tierces-parties vis-à-vis de la
qualification des fournisseurs
d’identités à demeure pour interopérer
avec Office 365
– Exigences de qualification,
documentation technique pour
l’intégration, outillage de test
automatique :
http://go.microsoft.com/?linkid=984188
0
– Sur Microsoft TechNet :
#mstechdays http://aka.ms/SSOProviders
Sécurité
37. Contrôle d'accès client
• Une partie d’AD FS
• Limitation de l’accès à
Office 365 basée sur la
connectivité réseau
(internet versus intranet)
•
•
•
#mstechdays
Sécurité
Bloquer tous les accès externes à
Office 365 basée sur l'adresse IP
du client externe
Bloquer tous les accès externe à
Office 365, sauf EAS (Exchange
Active Sync), tous les autres
clients tels que Outlook sont
bloquées.
Bloquer tous les accès externe à
Office 365, sauf pour les
applications de type Web tels
qu’OWA (Outlook Web App) ou
SharePoint Online
38. Identité AAD avec d’autres services Cloud
•
•
Identité gérée dans Windows
Azure AD, SSO pour Office 365 et
d'autres services Cloud (fédérées)
Intégration avec les applications
d’éditeurs/communautés Cloud ou
fournisseurs SaaS via les APIs de
Windows Azure AD ou Applications
Access Enhancements for
Windows Azure AD
#mstechdays
Sécurité
39. En guise de conclusion
• De multiples options en matières d’intégration des
identités
– Pour s’adapter à la diversité de vos environnements
– Active Directory vs. autres référentiels
• Deux approches pour l’authentification unique
– Synchronisation de mots de passe vs. Fédération d’identité
• Différentes possibilités pour la protection des identités
– Authentification multi-facteurs dans le Cloud ou à demeure
• Protection de l’information avec le nouveau Microsoft
RMS dans Office 365
–
#mstechdays
Cf. Session aujourd’hui àSécurité
15h15
40. Livres blancs et guides Etape-par-Etape
Active Directory from the onpremises to the Cloud – Windows
Azure AD whitepapers
Office 365 Single Sign-On with AD
FS 2.0
Office 365 Single Sign-On with
Shibboleth 2.0
41. Pour aller plus loin
office.microsoft.com
Blog Office 365
http://blogs.office.com/b/microsoft_office_365_blog/
Blog Technologie Office
http://blogs.office.com/b/office365tech/
Suivre l’actualité
https://twitter.com/Office365
Etre connecté
http://www.linkedin.com/groups/Microsoft-Office-3653724282
A considérer
Garage Series for IT Pros: www.microsoft.com/garage
Office 365 FastTrack: http://fasttrack.office.com/
42. Pour aller plus loin
activedirectory.windowsazure.com
Documentation Microsoft TechNet
http://go.microsoft.com/fwlink/p/?linkid=290967
Documentation Microsoft MSDN
http://go.microsoft.com/fwlink/p/?linkid=290966
Blog Equipe Microsoft Active Directory
http://blogs.msdn.com/b/active_directory_team_blog
Blog Equipe Windows Azure Active Directory Graph
http://blogs.msdn.com/aadgraphteam
43. Pour aller plus loin
Login People®
https://www.loginpeople.com/solutions/the-digital-dnatechnology-office-365
Checks for password updates every 2 minutes :regular DirSync still runs every 3 hoursMore Details on TechNet: http://aka.ms/sync
Windows Azure Active Directory Connector for FIM 2010 R2 Quick Start Guide : http://technet.microsoft.com/en-us/library/dn511002.aspxWindows Azure Active Directory Connector for FIM 2010 R2 Technical Reference : http://go.microsoft.com/fwlink/?LinkID=330371
Annoncé sur le blog technique Office : http://blogs.office.com
Determine which directory integration scenario to use : http://technet.microsoft.com/en-us/library/jj573649.aspx
Multi-forest Directory Sync with Single Sign-On Roadmap : http://technet.microsoft.com/en-us/library/dn510975.aspx
Some feature gapsShibboleth – doesn’t support Lync clientPing Federate – doesn’t support Windows Integrated Auth
Works with Office 365 – Identity program : http://blogs.office.com/2013/09/03/works-with-office-365-identity-program/The Works with Office 365 – Identity program now streamlined : http://blogs.office.com/2014/01/30/the-works-with-office-365-identity-program-now-streamlined/
The above papers are available on the Microsoft Download Center:Active Directory from the on-premises to the Cloud – Windows Azure AD whitepapers: http://www.microsoft.com/en-us/download/details.aspx?id=36391