Your SlideShare is downloading. ×
0
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Office 365 pour l'Education  - les enjeux en terme de sécurité
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Office 365 pour l'Education - les enjeux en terme de sécurité

1,032

Published on

Venez découvrir Office 365 pour l'Education, la plate-forme de communication et de collaboration dédiée pour les établissements de l'Education Nationale. Les élèves/étudiants, enseignants et …

Venez découvrir Office 365 pour l'Education, la plate-forme de communication et de collaboration dédiée pour les établissements de l'Education Nationale. Les élèves/étudiants, enseignants et personnels administratifs disposent d'un ensemble de services : 1) messagerie, calendrier et contacts (basé sur Exchange Online) - chaque personne bénéficie d'une messagerie de 25Go... 2) Lync pour les classes virtuelles, les réunions en ligne, chat, audio et vidéo... 3) SharePoint online : pour les sites des classes et des groupes... 4) Office web Apps : pour gérer vos documents en ligne. Dans cette session, nous aborderons les différentes facettes des enjeux d’Office 365, en termes d’implémentation, mais également sécurité avec un point sur la fédération d’identité (interopérabilité shibboleth, contrôle de l’authentification) et la gestion des droits d’usage (Rights Management).

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,032
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Intro Serveurs / Entreprise / Reseaux / IT
  • Exemple de page image
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • Exemple de page de code pour le secteur dev
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • Memes applications… donc pour les admin ayant une plateforme Ms on premise, vous connaissez déjà les produits.Quid de la gestion des identités… cela est tres important pour la messagerie
  • Exchange: 2 modeleshybride (simple ou riche). Si E2K7 / 2K10: MAJ automatique des profil outlook.E2K10 : console Exchange regroupe les 2 plateformesScénario de migration: Attention a la bandepassante pour la 1e synchro Outlook sicoext simple
  • Message à faire passer:1 reunion de travail pour avoirune vision d’ensemble et faire qqchoix techniquesGain de tps car pas de phase de desing / achat de materiels / installationPas de tft de competence sur exploitation => gain de tempsInterface O365 intuitive et simpleLa communication aux utilisateursestimportante
  • Les + : MAJ du client Outlook – config auto des telephones+ 95% de taux de satisfaction des utilisateurs pilotes: les + : IM et surtout 1 BAL « sans limite » par rapport au 100Mo offert a l’origineConfiguration hybride: souveraineté des données pour le personnel administratif, les doctorants et la présidence.Gain DSI: permet de libérer des ressources matériels (servers + espace de stockage)Possibilité de déplacement d’une BAL dans les 2 sens.Developpement d’un site WEB pour changement des mot de passe des utilisateurs migrés car leur PC sont en workgroup (avant ils utilisaient la fonctionnalité ‘changepwd’ de OWA)
  • Gain:Users: nouvelles fonctionnalités (outlook + mobile phone… + partage calendrier…) – configuration automatiqueIT: pas d’exploitation a faire
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • Exemple de page de code pour le secteur dev
  • Exemple de page de code pour le secteur dev
  • Exemple de page de code pour le secteur dev
  • Exemple de page de code pour le secteur dev
  • Exemple de page de code pour le secteur dev
  • Exemple de page de code pour le secteur dev
  • Les blocs de couleurs sont éditables et peuvent reprendre la couleur du type de session qui est donnée.Idem pour les textes.
  • E3, E4, A3 and A4 Office Online SKUs
  • Cryptographic Mode 2 – updated and enhanced cryptographic implementationSupports 2048-bit RSA encryption and 256-bit SHA-2 hashing algorithmNo changes in AES algorithm, symmetric encryption remains at 128 bitsMust upgrade older RMS clients - Win7, Vista, Server 2008/R2 support only
  • Notation
  • Notation
  • Transcript

    • 1. Office 365 pour l’éducation BRUNO PIRRA FRANCK MUSSON ARNAUD JUMELET ERIC ORTIZ Architecte Architecte Consultant Sécurité Expert Solutions Messagerie Neos-SDI Microsoft Cloud Neos-SDI Microsoft OFFICE 365 POUR L’ÉDUCATION http://office365.fr/educationServeurs / Entreprise / Réseaux / IT
    • 2. DIRECTION LE CLOUDAVEC OFFICE 365 POURL’ÉDUCATION ERIC ORTIZ Expert Solutions Cloud MicrosoftAgendaOffice 365 en BrefRetour d’expérience de Neos-SDIOffice 365 et SécuritéQuestions - Réponses
    • 3. OFFICE 365 EN BREF
    • 4. OFFICE 365 EN BREF ETUDIANTS – ENSEIGNANTS - ADMINISTRATION
    • 5. OFFICE 365 POURL’EDUCATIONRETOUR D’EXPERIENCE BRUNO PIRRA Architecte Messagerie Neos-SDI
    • 6. VUE D’ENSEMBLE Infrastructure locale Infrastructure O365Les mêmes applications, mais sur 2 plateformes
    • 7. CHOIX D’ARCHITECTURE• Gestion de l’annuaire O365 : – Tout accès à la plateforme Office 365 nécessite un compte. Comment gérer ces comptes? • Via l’interface graphique d’administration • Par script Powershell • Avec DirSync (outil de synchronisation des comptes)• Authentification : – Pour s’authentifier, nous pouvons: • Utiliser les identifiants d’un compte interne. La fédération est mise en œuvre • Utiliser le mot de passe du compte présent sur O365. L’utilisateur a donc 2 mots de passe
    • 8. CHOIX D’ARCHITECTURE• Lync et Exchange : – Le modèle « hybride » ou « sur le nuage » est déterminé par la présence de serveurs sur le site. Cela va orienter la configuration à mettre en place.• Scénario de migration: – La migration peut être : • Étalée sur plusieurs jours / semaines • Instantanée: tout le monde utilise les services fournis par O365 en même temps.
    • 9. DEMARCHE PROJET Migration • Progressive ou bascule à Pilote l’instant T • Communication aux utilisateurs • Validation fonctionnelle • Transfert de compétences Mise en œuvre • Configuration d’Office 365 et des applications • Mise en œuvre de la solution de synchro d’annuaire • Mise en œuvre de la solution d’authentification Réunion de travail • Prise en compte de l’existant • Choix du modèle de synchro d’annuaire • Choix du modèle d’authentification • Modèle « nuage » ou hybride
    • 10. EM LYON• Contexte : • Messagerie interne Exchange 2007 avec client Outlook 2010 • Offrir de nouveaux services (Boites aux lettre plus grande, messagerie instantanée…) • La plateforme Exchange 2007 est conservée pour le personnel interne • Garder à vie les adresses de messagerie des étudiants• Choix : • Modèle hybride • Migration progressive pendant l’année scolaire • Synchronisation d’annuaire via DirSync • Authentification avec le compte interne – mise en œuvre ADFS• Résultat : • Projet réalisé en 2-3 semaines pour 1 pilote de 50 utilisateurs • Satisfaction des étudiants et de la DSI
    • 11. UNIVERSITE• Contexte : • Messagerie interne Zimbra (POP3) • Tout le monde (3000 BAL) doit migrer avant la rentrée universitaire • Client Outlook• Choix : • Migration de type bascule à l’instant T • Synchronisation d’annuaire via DirSync • Authentification avec le compte interne – mise en œuvre ADFS• Résultat : • Projet réalisé en 10 jours
    • 12. OFFICE 365SECURITE DANS LE CLOUD FRANCK MUSSON ARNAUD JUMELET Architecte Consultant Sécurité Neos-SDI Microsoft
    • 13. IDENTITÉ CLOUD OAuth2 Metadata SAML-P Graph API WS-Federation
    • 14. IDENTITÉ FÉDÉRÉE OAuth2 Metadata SAML-P Graph API WS-Federation
    • 15. SCÉNARIOS IDENTITÉ AVEC OFFICE365 Identité Cloud Identité Fédérée
    • 16. SYNCHRONISATION Alain Tenant Université Sync Alain SourceIdentité
    • 17. Fédération avec votre annuaire sur site• Nécessite de synchroniser les identités sur site avec votre locataire Windows Azure AD – Différentes approches pour créer des identités fédérées en fonction de votre environnement • Microsoft Azure AD Directory Synchronization Tool (DirSync) • Connecteur Windows Azure AD pour FIM 2010 (R2) • Cmdlets Windows PowerShell pour Windows Azure AD – Directory Graph API ne permet pas de créer des identités fédérées• Prise en charge des standards OASIS WS-Fédération/WS-Trust et SAML 2.0
    • 18. Fédération AAD basée sur SAML 2.0• Aujourd’hui avec Shibboleth 2• Permet de couvrir certains scénarios clients – Support des clients Web/passifs à travers le profil SAML 2.0 Web SSO • "Post Redirect bindings" supportés : HTTP-POST, HTTP- POST-SimpleSign • Pas de support pour Office 2013 – Support de client actif (Outlook) avec ECP (Enhanced Client Profile)• Propriétés clés du jeton SAML 2.0 – Issuer : Utilisé pour identifier le fournisseur d’identité. Globalement unique – NameID : Identifiant unique de l’utilisateur, lié à son provisionnement – IDPEmail : UPN de l’utilisateur, lié à la valeur fournie durant le provisionnement• Cf. livre blanc "Office 365 Single Sign-On with Shibboleth 2"
    • 19. SECURITE DANS LE CLOUDRETOUR D’EXPERIENCE FRANCK MUSSON Architecte Neos-SDI
    • 20. SharePoint Online – Business_School –ProjetNon MS• Outils RSE – Messagerie – Salles de cours virtuels – Pas de fédération d’identité (Comptes Non MS)• RSE Business_School ->SharePoint Online – 65000 licences SharePoint Online – SharePoint OnLine • Business_School community.onmicrosoft.com – Environnement Unix/Linux intégral (pas de machines Windows) – Installation de Shibboleth 2.3.8 par la Business_School . • Difficultés de mise place (configuration) – Registration du domaine business_school.EDU dans Windows Azure AD. • Complexité lors de la validation du domaine (entrées DNS en partie réservées à outils précédents) • Validation du domaine par le support Microsoft – VM Windows 7 (PowerShell / Scripts de fédération) – Provisionning des comptes étudiants en PowerShell
    • 21. SharePoint Online – Business_School –Projet RSE• Fédération avec O365 – Référence : Office 365 Single-SignOn with Shibboleth 2 (Jean-marie Thia CNRS et Philippe Beraud Microsoft) – Shibboleth identifie les étudiants sur l’infrastructure CAS de Business_School – Shibboleth extrait les attributs (assertions SAML2) sur l’infrastructure CAS de Business_School • ImmutableID = Matricule Etudiant (Unique) • UPN = mail address de l’étudiant (xxxx@Business_School .edu) – Installation Microsoft Online Services Module for Windows PowerShell sur VM Windows 7
    • 22. SharePoint Online – Business_School –Projet RSE• Fédération avec O365 – Operation de fédération (sur le domaine business_school.fr)• PS C:Windowssystem32> $dom = “Business_School .fr”• PS C:Windowssystem32> $fedBrandName = “Business_School ”• PS C:Windowssystem32> $url = "https://rec7login.Business_School .fr/idp/profile/SAML2/POST/SSO"• PS C:Windowssystem32> $ecpUrl = "https://rec7login.Business_School .fr/idp/profile/SAML2/SOAP/ECP"• PS C:Windowssystem32> $uri = “https://rec7login.Business_School .fr/idp/shibboleth”• PS C:Windowssystem32> $logoutUrl = “https://rec7login.Business_School .fr/logout”• PS C:Windowssystem32> $cert = New-Object• System.Security.Cryptography.X509Certificates.X509Certificate2(• “Business_School ,fr.crt") // Certificat de Cryptage auto-généré• PS C:Windowssystem32> $certData = [system.convert]::tobase64string($cert.rawdata)•• PS C:Windowssystem32> Set-MsolDomainAuthentication –DomainName $dom –federationBrandName $FedBrandName -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $certData -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logoutUrl - PreferredAuthenticationProtocol SAMLP
    • 23. SharePoint Online – Business_School –Projet RSE O365• Fédération avec – Povisionning des étudiants (fédérés)• PS C:Windowssystem32> New-MsolUser – Displayname “username” –UserPrincipalName “B0000007@Business_School .edu” - UseageLocation FR –BlockCredential $false –ImmutableID “B0000007”• // Pour modifier utiliser Set-MsolUser – Automatisation du Provisionning (Synchronisation) • Page CGU (conditions générales d’utilisation) dans Windows Azure • Site Windows Azure fédéré avec Shibboleth – Récupére les attibuts de l’étudiant dans les Claims transmises – 2 Possibilités de fédération » WS-federation (Shibboleth capable) » SAML 2, Utilisation Saml2SecurityTokenHandler • L’application Azure vérifie l’existance de l’étudiant dans Office 365 – Le crée ou mets à jour les attributs si nécéssaire, – Vérifie l’attribution des licences Office 365 • L’application Azure redirige l’étudiant vers le portail SharePoint Online – https://Business_School sharepoint.com
    • 24. SharePoint Online – Business_School –Projet RSE• Process d’authentification et Provisionning à la volée
    • 25. Windows Azure AD Rights Management• Commencez à bénéficier de la protection des informations dès que vous êtes abonnés à Office 365 – Aucune infrastructure AD RMS requise• Fonctionne avec Office, Exchange Online et SharePoint Online – La gestion des droits d’usage est intégrée dans les trois solutions• Concerne initialement les clients dont le courrier électronique (Exchange Online) et le circuit documentaire sont hébergés dans le nuage (SharePoint Online) – Généralise la protection contre la divulgation d’information à un nouvel ensemble de clients – Fournit les fonctionnalités essentielles qui sont nécessaires à la protection des informations
    • 26. Intégration de Microsoft Office• Support d’Office 2013 et Office 2010 – Office 2007 non supporté – Prêt pour la collaboration entre différentes organisations clientes d’Office 365• Intégration d’Office 2013 – Expérience dauthentification unique via les contrôles didentité Office – Aucun paramètre supplémentaire à déployer, cela fonctionne par défaut• Intégration d’Office 2010 – Nécessite de déployer la mise à jour MSDRM QFE, Online Sign-On Assistant, ainsi quun "Consumption package" qui détecte si le client est correctement configuré – Un package dinstallation sera disponible pour aider à configurer correctement Office 2010
    • 27. Intégration à Exchange Online• L’intégration à Windows Azure AD Rights Management est disponible avec Office 365 – Une fois que le service Windows Azure AD Rights Management est activé, lintégration avec OWA et EAS est activée pour tous les utilisateurs – La nouveauté dans le nouvel Office 365 est la capacité de partager du contenu protégé entre différents locataires• Toutes les fonctionnalités IRM disponibles dans Exchange 2013 sont également présentes dans Exchange Online : – IRM dans OWA et EAS – IRM dans les règles de transport – Agent de déchiffrement RMS
    • 28. Intégration à SharePoint Online• SharePoint Online a ajouté le support des droits dusage – Supporte Office 2010 et Office 2013 – Disponible dans le nouvel Office 365• Gestion des droits dusage dans les bibliothèques de document – Support des groupes – Support du mode Read Only Web Access – Support des fichiers PDF – Prise en charge des scénarios de collaboration entre les organisations
    • 29. Windows Azure AD Rights Management• Capacités – Mécanisme simple, pour activer la gestion des droits dusage entre les applications et les services. • Fonctionnalités de protection contre la fuite d’informations disponibles et intégrées dans Office, Exchange Online (OWA, EAS) et SharePoint Online – Fournit des modèles par défaut pour appliquer les droits dusage courant • Des modèles simples pour limiter laccès aux utilisateurs au sein de lentreprise • Mais également "Ne pas transférer" et des restrictions d’accès personnalisées – Permet une collaboration sécurisée par défaut dans Office 365 • Collaboration sécurisée en dehors de l’entreprise avec toute personne abonnée à Office 365
    • 30. Windows Azure AD Rights Management• Capacités avancées – Administration basée sur les rôles • Permet de segmenter les rôles dadministration Office 365. L’entreprise maîtrise comment sont effectuées les tâches administratives de gestion des droits dusage • Permet de retirer aux administrateurs globaux le droit d’administrer Windows Azure AD Rights Management – Journalisation des actions administrateur • Crée un journal des tâches administratives, y compris la date/heure, l’utilisateur, et laction spécifique que ladministrateur a effectuée • Journal en lecture seule qui ne peut pas être supprimé ou modifié par un administrateur
    • 31. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    • 32. MERCI Questions - Réponseshttp://notes.mstechdays.fr

    ×