Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM

177 views

Published on

Découvrez comment sécuriser l'accès à vos services SaaS et Office 365 grâce à Azure Active Directory Premium et Office 365 Advanced Security Management.

Published in: Technology
  • Be the first to comment

aOS Grenoble - Sécurisez vos services Office 365 avec Azure AD et ASM

  1. 1. aOS Grenoble 22 mai 2017 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Management Maxime Rastello – Lead Architect @AZEO
  2. 2. Maxime Rastello Device & Mobility Lead Architect @ AZEO Microsoft MVP Enterprise Mobility Microsoft P-Seller Device, EMS Auteur, conférencier, animateur podcast @MaximeRastello
  3. 3. AZURE ACTIVE DIRECTORY Reposons les bases !
  4. 4. Une identité unique pour vos apps SaaS
  5. 5. Fonctionnalités Free Basic Premium P1 Premium P2 Office 365 Commun Objets Active Directory 500 000 Illimité Illimité Illimité Illimité SSO avec les applications SaaS 10 / utilisateur 10 / utilisateur Illimité Illimité 10 / utilisateur Gestion des utilisateurs, provisionning, enregistrement d’appareils ✓ ✓ ✓ ✓ ✓ Synchronisation d’annuaire ✓ ✓ ✓ ✓ ✓ Modification du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ ✓ Rapports de sécurité / d’utilisation 3 rapports 3 rapports Avancés Avancés 3 rapports Basic Gestion / provisionning des utilisateurs basés sur les groupes ✓ ✓ ✓ Réinitialisation du mot de passe en self-service pour les utilisateurs cloud ✓ ✓ ✓ ✓ Personnalisation des pages et portails ✓ ✓ ✓ ✓ Azure App Proxy ✓ ✓ ✓ SLA 99,9% ✓ ✓ ✓ ✓ Premium Réinitialisation / modification du mot de passe en self-service pour les utilisateurs AD ✓ ✓ Gestion des groupes en self-service pour les utilisateurs cloud / groupes dynamiques ✓ ✓ Accès conditionnel / Administrative Units ✓ ✓ Multi-Factor Authentication cloud (Azure MFA) & on-premises (MFA Server) ✓ ✓ Cloud uniquement MIM : CALs + licence serveur ✓ ✓ Connect Health ✓ ✓ Cloud App Discovery ✓ ✓ Azure AD Identity Protection / Azure AD Privileged Identity Management ✓ Les éditions d’Active Directory
  6. 6. Azure Active Directory dans EMS Protection des informations Sécurité centrée sur les identités La gestion de productivité mobile Gestion des accès et des identités Azure Information Protection Premium P2 Classement intelligent et chiffrement des fichiers partagés dans et en dehors de votre organisation Azure Information Protection Premium P1 Chiffrement de tous les fichiers et de tous les emplacements de stockage Suivi des fichiers dans le Cloud Microsoft Cloud App Security Visibilité complète, contrôle et protection de vos applications dans le Cloud Microsoft Advanced Threat Analytics Protection contre des attaques sophistiquées grâce à l'analyse comportementale des utilisateurs et des entités Microsoft Intune Gestion des applis et des appareils mobiles pour protéger les applis et les données de l'entreprise sur n'importe quel appareil Azure Active Directory Premium P2 Gestion des accès et des identités avec une protection évoluée pour les utilisateurs et les identités avec privilèges Azure Active Directory Premium P1 Ouverture de session unique pour des applications dans le Coud ou sur site MFA, accès conditionnel et rapport de sécurité avancé EMS E3 EMS E5
  7. 7. Sécurité d’accès à vos applications
  8. 8. Device-Based Conditional Access • Accès aux applications SaaS pour les appareils : o Enrollés dans Intune o Enrollés dans Azure AD Join (W10) o Joint à un domaine AD et enregistrés dans Azure AD • Systèmes supportés : o Windows 7 (MSI) o Windows 8.1 (Natif) o Windows 10 (Natif) o iOS, Android, Windows Mobile • Clients : compatibles Authent’ Moderne • Navigateurs : IE11 et Edge uniquement Licences : Premium P1 & P2 General Availability
  9. 9. Enregistrement dans Azure AD Possible d’enregistrer dans Azure AD des PCs joints à un domaine AD 1. Utiliser Azure AD Connect 2. Synchroniser les objets AD Computers à enregistrer 3. Déployer une GPO d’enregistrement (avant W10 1607) 4. Optionnel : configurer ADFS pour l’enregistrement direct ADFS est requis pour les scénarios d’accès conditionnel W7 Licences : Premium P1 & P2 General Availability
  10. 10. Location-Based Conditional Access • Accès aux applications SaaS o Avec MFA obligatoire o Avec MFA si en dehors de l’entreprise o Blocage de l’accès si en dehors de l’entreprise • Définition de la localisation o Basée sur l’IP publique de l’utilisateur • Définition du périmètre de l’entreprise o Plages d’IP publiques o Groupes d’IP publiques en Preview • Clients : compatibles Authent’ Moderne • Navigateurs : Tous Licences : Premium P1 & P2 General Availability
  11. 11. Risk-Based Conditional Access • Accès aux applications SaaS pour les utilisateurs : o Détectés comme « à risque » via Identity Protection o 3 niveaux de risque : Low, Medium, High • Clients : compatibles Authent’ Moderne • Navigateurs : Tous Licences : Premium P2 General Availability
  12. 12. DEMONSTRATION Accès conditionnel
  13. 13. Pass-Through Authentication (1/2) Les problèmes remontés • Certains clients ne veulent pas synchroniser les hashs de mot de passe • Avoir un mécanisme d’authentification on-premises nécessite le déploiement d’ADFS (ou équivalent) Solution proposée • Exploiter la puissance d’Azure AD App Proxy pour gérer l’authentification auprès de l’annuaire local AD • Intégrer l’installation/configuration du connecteur à Azure AD Connect Licences : Toutes Preview
  14. 14. Pass-Through Authentication (2/2) Licences : Toutes Preview
  15. 15. Seamless SSO (1/2) Les problèmes remontés • ADFS ou équivalent necessaire pour le SSO • Infrastructure lourde (2 ADFS, 2 ADFS Proxies mini pour la HA) Solution proposée • Utiliser le ticket Kerberos fourni par l’AD pour s’authentifier dans Azure • Automatiser la configuration dans Azure AD Connect Licences : Toutes Preview
  16. 16. Seamless SSO (2/2) 5 On-premises AAD STS 12 3 6 4 Licences : Toutes Preview
  17. 17. Azure AD Certificate-Based Auth Nécessite un serveur de fédération Accès aux applications Office 365 Upload des certs Root + CRL Accès à Exchange Online Licences : Toutes General Availability Application iOS 9.0+ Android 5.0+ Word / Excel / PowerPoint ✓ ✓ OneNote ✓ ✓ OneDrive ✓ ✓ Outlook ✓ ✓ Yammer ✓ ✓ Skype for Business ✓ ✓ Fonctionnalité iOS Android Exchange Active Sync ✓ ✓ Utilisez le nouveau module PowerShell Azure AD 2.0 New-AzureADTrustedCertificateAuthority
  18. 18. Azure AD Identity Protection • Détecte les activités suspectes des utilisateurs o Connexion depuis différents endroits physiques o Utilisation de proxys anonymes (Tor…) o Leak des identifiants sur le Dark Web • Force l’enregistrement MFA des utilisateurs • Permet de faire de la remédiation automatique o Demander le MFA à la connexion o Demander un changement de mot de passe Licences : Premium P2 General Availability
  19. 19. Azure AD Privileged Identity Management • Définir des administrateurs éligibles o Basé sur les rôles RBAC Azure AD • Assigner des permissions admin temporaires o De 30min à 72h max • Monitorer l’utilisation des droits admins dans Azure AD Licences : Premium P2 General Availability
  20. 20. DEMONSTRATION AAD Identity Protection / AAD Privileged Identity Management
  21. 21. OFFICE 365 ADVANCED SECURITY MANAGEMENT Passez au niveau supérieur !
  22. 22. Reprenez le contrôle ! Rachat de la société Adallom (Sept. 2015) Scindé en 2 produits distincts : o Office 365 Advanced Security Management o Cloud App Security Applications Cloud  Détection des apps SaaS  Détection des menaces / comportements  Stratégies avancées de contrôle
  23. 23. Comment ça fonctionne ?
  24. 24. Le Shadow IT chez Microsoft Azure AD Cloud App Discovery Advanced Security Management Cloud App Security Méthode de détection Agent sur le poste Upload des logs réseau Upload des logs réseau Catalogue des apps SaaS ~2100 Apps gérables via AAD ~1000 Apps similaires à O365 ~13000 Catalogue complet Classification des apps SaaS Non Non Score automatique Prévention des risques Non Apps O365 uniquement Google / Dropbox / Salesforce / Service Now / Box / Okta / O365 / AWS Intégration SIEM Non Non Oui Notifications des admins Mail hebdo Dashboard Identity Protection Non Email/ SMS
  25. 25. Applications SaaS gérées
  26. 26. ASM dans Office 365 E5
  27. 27. Cloud App Discovery dans EMS Protection des informations Sécurité centrée sur les identités La gestion de productivité mobile Gestion des accès et des identités Azure Information Protection Premium P2 Classement intelligent et chiffrement des fichiers partagés dans et en dehors de votre organisation Azure Information Protection Premium P1 Chiffrement de tous les fichiers et de tous les emplacements de stockage Suivi des fichiers dans le Cloud Microsoft Cloud App Security Visibilité complète, contrôle et protection de vos applications dans le Cloud Microsoft Advanced Threat Analytics Protection contre des attaques sophistiquées grâce à l'analyse comportementale des utilisateurs et des entités Microsoft Intune Gestion des applis et des appareils mobiles pour protéger les applis et les données de l'entreprise sur n'importe quel appareil Azure Active Directory Premium P2 Gestion des accès et des identités avec une protection évoluée pour les utilisateurs et les identités avec privilèges Azure Active Directory Premium P1 Ouverture de session unique pour des applications dans le Coud ou sur site MFA, accès conditionnel et rapport de sécurité avancé EMS E3 EMS E5
  28. 28. DEMONSTRATION Advanced Security Management / Cloud App Security
  29. 29. aOS Grenoble 22 mai 2017 Merci à nos sponsors !

×