Quoi de neuf pour les identités dans Office 365 ?

1,296 views
1,115 views

Published on

http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=353a39a1-bfd3-4a18-a20f-dab055b874c6

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,296
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
38
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide
  • Checks for password updates every 2 minutes :regular DirSync still runs every 3 hoursMore Details on TechNet: http://aka.ms/sync
  • Windows Azure Active Directory Connector for FIM 2010 R2 Quick Start Guide : http://technet.microsoft.com/en-us/library/dn511002.aspxWindows Azure Active Directory Connector for FIM 2010 R2 Technical Reference : http://go.microsoft.com/fwlink/?LinkID=330371
  • Annoncé sur le blog technique Office : http://blogs.office.com
  • Determine which directory integration scenario to use : http://technet.microsoft.com/en-us/library/jj573649.aspx
  • Multi-forest Directory Sync with Single Sign-On Roadmap : http://technet.microsoft.com/en-us/library/dn510975.aspx
  • Some feature gapsShibboleth – doesn’t support Lync clientPing Federate – doesn’t support Windows Integrated Auth
  • Works with Office 365 – Identity program : http://blogs.office.com/2013/09/03/works-with-office-365-identity-program/The Works with Office 365 – Identity program now streamlined : http://blogs.office.com/2014/01/30/the-works-with-office-365-identity-program-now-streamlined/
  • The above papers are available on the Microsoft Download Center:Active Directory from the on-premises to the Cloud – Windows Azure AD whitepapers: http://www.microsoft.com/en-us/download/details.aspx?id=36391
  • Quoi de neuf pour les identités dans Office 365 ?

    1. 1. Quoi de neuf pour les identités dans Office 365 ? Philippe Beraud et Arnaud Jumelet Direction Technique | Microsoft France Denis Carniel Login People philippe.beraud@microsoft.com arnaud.jumelet@microsoft.com denis.carniel@loginpeople.com Sécurité
    2. 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays ! #mstechdays Sécurité
    3. 3. Notre agenda pour cette session Vue d’ensemble des identités Office 365 1 #mstechdays Annoncés/ disponibles récemment… Options d’intégration en matière d’identité 2 Sécurité 3
    4. 4. VUE D’ENSEMBLE DES IDENTITÉS OFFICE 365 #mstechdays Sécurité
    5. 5. Identité Office 365 Identité unique dans le Cloud qui convient pour les (petites) entreprises sans intégration aux annuaires à demeure #mstechdays Identité unique adapté pour les moyennes et grandes entreprises sans fédération Sécurité Identité fédérée et informations d’identification uniques appropriés pour les moyennes et grandes entreprises
    6. 6. ANNONCÉS/ DISPONIBLES RÉCEMMENT… #mstechdays Sécurité
    7. 7. Windows Azure Active Directory Sync Tool (DirSync) Mise à jour: synchronise les mots de passe utilisateur de l’AD à demeure vers Windows Azure AD Seul un condensat unidirectionnel du mot de passe sera synchronisé de telle sorte que le mot de passe d’origine ne puisse être reconstruit à partir de celui-ci Respecte les politiques de mots de passe à demeure Ne peut pas synchroniser les mots de passe pour les utilisateurs fédérés, mais les deux peuvent coexister "Simple Sign-On" Permet aux utilisateurs d’avoir le même nom d’utilisateur/mot de passe #mstechdays Sécurité SAML2 Identity Provider
    8. 8. Provisioning Windows Azure AD • Mise à jour: disponibilité du connecteur Windows Azure AD pour FIM 2010 R2 – Peut être utilisé dans des scénarios non pris en charge par DirSync, par exemple pour la synchronisation multi-forêt AD et avec des sources non-AD • Nous recommandons toujours d'utiliser DirSync comme la principale solution pour synchroniser AD à Windows Azure AD et de l'utiliser chaque fois que possible – The connecteur est livré avec un exemple de configuration et de code pour le scénario forêt de comptes/forêt de ressources #mstechdays Sécurité
    9. 9. Provisioning Windows Azure AD • API Windows Azure AD GRAPH API – API REST pour un accès programmatique aux données dans Windows Azure AD – Permet de construire des applications multi-locataires, ou des applications Métier personnalisées – Peut-être désormais utilisée pour créer des utilisateurs fédérés et cloud, assigner des licences, etc. #mstechdays Sécurité
    10. 10. Authentification multi-facteur (MFA) pour Office 365 • Authentification d’entreprise à l’aide de tout téléphone/ smartphone • Disponible gratuitement pour les administrateurs Office 365… • Et… désormais également disponible pour les utilisateurs Office 365 • Fonctionne avec tous les services Office 365 de type Web – Outlook Web App, SharePoint Online • Requiert des mots de passe applicatifs pour les clients riches – Non disponibles pour les administrateurs – 16 caractères générés #mstechdays Sécurité
    11. 11. MFA pour Office 365 • Authentification d’entreprise à l’aide de tout téléphone/smartphone #mstechdays Sécurité
    12. 12. MFA POUR OFFICE 365 Illustration de l’expérience utilisateur #mstechdays Sécurité Design/UX/UI
    13. 13. Windows Azure Multi-Factor Authentication • Ai-je besoin de Windows Azure MFA ? #mstechdays Sécurité
    14. 14. Windows Azure MFA vs. MFA pour Office 365                     
    15. 15. Authentification multi-facteur pour les clients Office • MAJ des clients Office ProPlus (2013) pour le support de MFA pour Office 365/Windows Azure MFA – Plus besoin des mots de passe applicatifs avec les clients mis à jour – Outlook, Lync, Word, Excel, PowerPoint, PowerShell, SkyDrive Pro – Capacité d’intégration pour des solutions tierces-parties d’authentification multi-facteurs et prise en charge des cartes à puce • Disponible en 2014 #mstechdays Sécurité
    16. 16. OPTIONS D’INTÉGRATION EN MATIÈRE D’IDENTITÉ De multiples façon de s’intégrer avec Windows Azure AD : Des clients différents ont potentiellement des scénarii différents qui requièrent des solutions différentes #mstechdays Sécurité
    17. 17. Options d’intégration en matière d’identité
    18. 18. Questions fréquentes • Vous n'avez pas besoin de mettre en place le SSO juste parce que vous synchronisez mais vous devez synchroniser afin d'utiliser le SSI – Vous pourriez utiliser PowerShell/Graph API pour créer vos données d'annuaire, mais ceci induit des coûts additionnels de gestion et ne constitue pas un scénario officiellement documenté ou supporté • Le SSO est pris en charge pour n’importe quelle solution de synchronisation – Forêt unique, multi-forêt, etc. • Vous pouvez contrôler quels objets synchroniser dans Windows Azure AD, mais vous ne pouvez pas contrôler quelle partie des objets synchroniser #mstechdays Sécurité
    19. 19. Identité Cloud • • • • Expérience riche avec les applications Office Facilité de déploiement, de gestion et de support Moindre coût, car aucun serveur additionnel n’est nécessaire à demeure Haute disponibilité et fiabilité comme les identités et les services sont gérés dans le Cloud #mstechdays Sécurité
    20. 20. DirSync • • • • • Expérience riche avec les applications Office Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne Les identités sont crées et gérées à demeure et synchronisées dans le Cloud Identité unique mais pas de SSO entre les services à demeure et les services Office 365 Réutilisation de l’infrastructure d’annuaire AD à demeure #mstechdays Sécurité
    21. 21. Synchronisation de mots de passe • Expérience riche avec les applications Office • Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne • Les identités sont crées et gérées à demeure et synchronisées dans le Cloud • Identité et informations d’identification (mot de passe) uniques mais pas de SSO entre les services à demeure et les services Office 365 • Réutilisation de l’infrastructure d’annuaire AD à demeure #mstechdays Sécurité
    22. 22. DirSync ou SSO Même mot de passe pour accéder aux ressources   Peut contrôler les politiques de mot de passe à demeure   Support pour l’authentification forte (2FA/MFA)   Filtrage de l'accès client par IP ou par plage horaire   L'authentification est effectuée à demeure. Peut bloquer immédiatement les comptes désactivés.  Support Multi-Forêt AD  Aucun mot de passe à rentrer si à demeure #mstechdays Sécurité
    23. 23. Portée et filtrage pour la synchronisation • Exclusion d’objets pour synchronisation vers Office 365 – La portée peut être définies aux niveaux suivants : • Fondée sur le domaine AD • Fondée sur l’unité d’organisation • Fondée sur les attributs utilisateur – Des capacités de filtrage additionnelles sont disponibles avec le connecteur Windows Azure AD • Empêcher la synchronisation d’attributs spécifiques n'est pas supporté #mstechdays Sécurité
    24. 24. PowerShell / API REST Graph • Convient pour les (grandes) entreprises avec certains scénarios AD et non-AD • Des limitations de performance s’appliquent avec le provisioning PowerShell et Graph API • PowerShell requiert une expérience de Scripting, Graph API de programmation – L’option PowerShell peut être utilisée lorsque des wrappers de scripts PowerShell sont en place (ex. : libre service provisioning) #mstechdays Sécurité
    25. 25. Multi-forêt AD #mstechdays Sécurité
    26. 26. Connecteur Windows Azure AD pour FIM 2010 R2 • Convient pour les grandes entreprises avec certains scénarios AD et non-AD • Scénarii multi-forêt AD complexes • Synchronisation avec des sources Non-AD • Nécessite FIM 2010 R2 et des licences logiciels supplémentaires #mstechdays Sécurité
    27. 27. Identité fédérée • • • • • • Identité unique et SSO entre les services à demeure et les services Office 365 Identité maîtrisées à demeure avec un point de gestion unique Synchronisation d’annuaire pour synchroniser les objets d’annuaire dans Office 365 Authentification fondée sur des jetons sécurisés Contrôle d'accès client basé sur l'adresse IP avec AD FS Options d’authentification forte pour plus de sécurité avec AD FS #mstechdays Sécurité Non-AD
    28. 28. AUTHENTICATION FORTE AVEC AD FS Solution LoginPeople® #mstechdays Sécurité Design/UX/UI
    29. 29. Login People® – Accès sécurisé à Office 365 en toute simplicité ! • L’authentification multi-facteurs par l’ADN du Numérique® : une expérience transparente pour les utilisateurs et simplifiée pour les administrateurs : – Sans token ni OTP – Sans changement des habitudes : à partir des équipements existants, sans manipulation de code supplémentaire – Sans modification des infrastructures – Renforcement de la sécurité avec un TCO parmi les plus faibles et des plus optimisés • Meilleur ensemble – Renforcement de la sécurité des identités fédérées – Intégration de la login page de l’ADN du Numérique® automatisée avec AD FS – Echanges de tokens SAML transparents pour l’utilisateur – Respect des politiques de sécurité #mstechdays Sécurité + +
    30. 30. Login People® – Accès sécurisé à Office 365 en toute simplicité ! • AD FS Windows Server 2012 R2 • AD FS 2.0 Page Authentification AD FS #mstechdays Page authentification ADN Page Authentification AD FS Sécurité
    31. 31. Login People® – Accès sécurisé à Office 365 en toute simplicité !
    32. 32. Utiliser des VMs dans le IaaS Windows Azure • Livre-blanc disponible – http://www.microsoft.com/downloads/details.aspx?FamilyID=72c1 5d25-6515-4763-9b76-054362b58398 • Modifie les configurations matérielles – Du matériel à demeure vers les VMs Windows Azure • Ne supprime pas les exigences et la gestion en matière de haute-disponibilité • Doit avoir une ligne de vue (VPN) avec l’environnement à demeure • Nécessite toujours pour l’accès Extranet un proxy AD FS/WAP • Nécessite un DC AD dans Windows Azure #mstechdays Sécurité
    33. 33. Options en matière de fédération #mstechdays Sécurité
    34. 34. Programme ‘Fonctionne avec Office 365 – Identité’ • Mis à jour en janvier 2014 – A destination de nos clients et des tierces-parties vis-à-vis de la qualification des fournisseurs d’identités à demeure pour interopérer avec Office 365 – Exigences de qualification, documentation technique pour l’intégration, outillage de test automatique : http://go.microsoft.com/?linkid=984188 0 – Sur Microsoft TechNet : #mstechdays http://aka.ms/SSOProviders Sécurité
    35. 35. Contrôle d'accès client • Une partie d’AD FS • Limitation de l’accès à Office 365 basée sur la connectivité réseau (internet versus intranet) • • • #mstechdays Sécurité Bloquer tous les accès externes à Office 365 basée sur l'adresse IP du client externe Bloquer tous les accès externe à Office 365, sauf EAS (Exchange Active Sync), tous les autres clients tels que Outlook sont bloquées. Bloquer tous les accès externe à Office 365, sauf pour les applications de type Web tels qu’OWA (Outlook Web App) ou SharePoint Online
    36. 36. Identité AAD avec d’autres services Cloud • • Identité gérée dans Windows Azure AD, SSO pour Office 365 et d'autres services Cloud (fédérées) Intégration avec les applications d’éditeurs/communautés Cloud ou fournisseurs SaaS via les APIs de Windows Azure AD ou Applications Access Enhancements for Windows Azure AD #mstechdays Sécurité
    37. 37. En guise de conclusion • De multiples options en matières d’intégration des identités – Pour s’adapter à la diversité de vos environnements – Active Directory vs. autres référentiels • Deux approches pour l’authentification unique – Synchronisation de mots de passe vs. Fédération d’identité • Différentes possibilités pour la protection des identités – Authentification multi-facteurs dans le Cloud ou à demeure • Protection de l’information avec le nouveau Microsoft RMS dans Office 365 – #mstechdays Cf. Session aujourd’hui àSécurité 15h15
    38. 38. Livres blancs et guides Etape-par-Etape Active Directory from the onpremises to the Cloud – Windows Azure AD whitepapers Office 365 Single Sign-On with AD FS 2.0 Office 365 Single Sign-On with Shibboleth 2.0
    39. 39. Pour aller plus loin office.microsoft.com Blog Office 365 http://blogs.office.com/b/microsoft_office_365_blog/ Blog Technologie Office http://blogs.office.com/b/office365tech/ Suivre l’actualité https://twitter.com/Office365 Etre connecté http://www.linkedin.com/groups/Microsoft-Office-3653724282 A considérer Garage Series for IT Pros: www.microsoft.com/garage Office 365 FastTrack: http://fasttrack.office.com/
    40. 40. Pour aller plus loin activedirectory.windowsazure.com Documentation Microsoft TechNet http://go.microsoft.com/fwlink/p/?linkid=290967 Documentation Microsoft MSDN http://go.microsoft.com/fwlink/p/?linkid=290966 Blog Equipe Microsoft Active Directory http://blogs.msdn.com/b/active_directory_team_blog Blog Equipe Windows Azure Active Directory Graph http://blogs.msdn.com/aadgraphteam
    41. 41. Pour aller plus loin Login People® https://www.loginpeople.com/solutions/the-digital-dnatechnology-office-365
    42. 42. Digital is business

    ×