Upload
microsoft-decideurs-it
View
1.221
Download
8
Embed Size (px)
DESCRIPTION
Venez découvrir Office 365 pour l'Education, la plate-forme de communication et de collaboration dédiée pour les établissements de l'Education Nationale. Les élèves/étudiants, enseignants et personnels administratifs disposent d'un ensemble de services : 1) messagerie, calendrier et contacts (basé sur Exchange Online) - chaque personne bénéficie d'une messagerie de 25Go... 2) Lync pour les classes virtuelles, les réunions en ligne, chat, audio et vidéo... 3) SharePoint online : pour les sites des classes et des groupes... 4) Office web Apps : pour gérer vos documents en ligne. Dans cette session, nous aborderons les différentes facettes des enjeux d’Office 365, en termes d’implémentation, mais également sécurité avec un point sur la fédération d’identité (interopérabilité shibboleth, contrôle de l’authentification) et la gestion des droits d’usage (Rights Management).
Citation preview
Office 365 pour l’éducation
BRUNO PIRRAArchitecte
MessagerieNeos-SDI
Serveurs / Entreprise / Réseaux / IT
OFFICE 365 POUR L’ÉDUCATIONhttp://office365.fr/education
ARNAUD JUMELETConsultant
Sécurité Microsoft
ERIC ORTIZExpert Solutions
CloudMicrosoft
FRANCK MUSSON
ArchitecteNeos-SDI
DIRECTION LE CLOUDAVEC OFFICE 365 POUR L’ÉDUCATION
AgendaOffice 365 en BrefRetour d’expérience de Neos-SDIOffice 365 et SécuritéQuestions - Réponses
ERIC ORTIZExpert Solutions Cloud
Microsoft
OFFICE 365 EN BREF
OFFICE 365 EN BREF
ETUDIANTS – ENSEIGNANTS - ADMINISTRATION
Prise de notes partagées et synchronisées en
temps réel
Des classes virtuelles pour échanger avec voix,
vidéo et partage de documents
Le choix ciblé du modèle de Cloud qui vous
convient
Une messagerie unifiée pour toute l’institution
La sécurité et la fiabilité des services
Bring Your Own Device Tous types d’écrans,
multi-navigateur
BOÎTE AUX LETTRES
25Go, E-mails, contacts, agendas
PORTAIL
intranet, extranet, Site web, Partage, stockage de données
MESSAGERIE INSTANTANÉE
Web conférence, audio, vidéo
Word, Excel, PowerPoint, OneNote
Visualisation, modification, partage
OFFICE 365 POUR L’EDUCATIONRETOUR D’EXPERIENCE
BRUNO PIRRAArchitecte
MessagerieNeos-SDI
VUE D’ENSEMBLE
Infrastructure locale Infrastructure O365
Les mêmes applications, mais sur 2 plateformes
CHOIX D’ARCHITECTURE• Gestion de l’annuaire O365 :
– Tout accès à la plateforme Office 365 nécessite un compte. Comment gérer ces comptes?
• Via l’interface graphique d’administration• Par script Powershell• Avec DirSync (outil de synchronisation des comptes)
• Authentification :– Pour s’authentifier, nous pouvons:
• Utiliser les identifiants d’un compte interne. La fédération est mise en œuvre
• Utiliser le mot de passe du compte présent sur O365. L’utilisateur a donc 2 mots de passe
CHOIX D’ARCHITECTURE
• Lync et Exchange :– Le modèle « hybride » ou « sur le nuage » est déterminé par la
présence de serveurs sur le site. Cela va orienter la configuration à mettre en place.
• Scénario de migration:– La migration peut être :
• Étalée sur plusieurs jours / semaines• Instantanée: tout le monde utilise les services fournis par O365
en même temps.
DEMARCHE PROJET
Réunion de travail•Prise en compte de l’existant•Choix du modèle de synchro d’annuaire
•Choix du modèle d’authentification•Modèle « nuage » ou hybride
Mise en œuvre•Configuration d’Office 365 et des applications•Mise en œuvre de la solution de synchro d’annuaire
•Mise en œuvre de la solution d’authentification
Pilote•Validation fonctionnelle•Transfert de compétences
Migration •Progressive ou bascule à l’instant T
•Communication aux utilisateurs
EM LYON
• Contexte :• Messagerie interne Exchange 2007 avec client Outlook 2010• Offrir de nouveaux services (Boites aux lettre plus grande, messagerie
instantanée…)• La plateforme Exchange 2007 est conservée pour le personnel interne• Garder à vie les adresses de messagerie des étudiants
• Choix :• Modèle hybride• Migration progressive pendant l’année scolaire• Synchronisation d’annuaire via DirSync• Authentification avec le compte interne – mise en œuvre ADFS
• Résultat : • Projet réalisé en 2-3 semaines pour 1 pilote de 50 utilisateurs• Satisfaction des étudiants et de la DSI
UNIVERSITE
• Contexte :• Messagerie interne Zimbra (POP3)• Tout le monde (3000 BAL) doit migrer avant la rentrée universitaire• Client Outlook
• Choix :• Migration de type bascule à l’instant T• Synchronisation d’annuaire via DirSync• Authentification avec le compte interne – mise en œuvre ADFS
• Résultat : • Projet réalisé en 10 jours
OFFICE 365SECURITE DANS LE CLOUD
ARNAUD JUMELETConsultant
Sécurité Microsoft
FRANCK MUSSON
ArchitecteNeos-SDI
IDENTITÉ CLOUD
Fichier CSV
Importation CSV
Office Activation Service
Office 365 Admin Portal
Exchange Mailbox Access
…
Windows Azure Active Directory
OAuth2
SAML-P
WS-Federation
Metadata
Graph API
Authentification
Auto
risa
tion
IDENTITÉ FÉDÉRÉE
Sur site
Référentiel d’identité
FIM
Windows Azure Active Directory
OAuth2
SAML-P
WS-Federation
Metadata
Graph API
Serveurs de fédération
Relation de confiance
Office Activation Service
Office 365 Admin Portal
Exchange Mailbox Access
…
Authentification
Auto
risa
tion
SCÉNARIOS IDENTITÉ AVEC OFFICE 365
Identité Cloud Identité Fédérée
SYNCHRONISATION
Université
SourceIdentité
Alain
TenantUniversité
Windows Azure AD
Alain
accountNameuserPrincipalNameaccountEnabledImmutableIDdisplayNamemailaliasproxyAddressestargetAddress….
samAccountNameuserPrincipalNameuserAccountControlobjectGUIDobjectSiddisplayNamemailmailNicknameproxyAddressestargetAddress…
Sync
• Nécessite de synchroniser les identités sur site avec votre locataire Windows Azure AD– Différentes approches pour créer des identités fédérées en
fonction de votre environnement• Microsoft Azure AD Directory Synchronization Tool (DirSync)• Connecteur Windows Azure AD pour FIM 2010 (R2)• Cmdlets Windows PowerShell pour Windows Azure AD
– Directory Graph API ne permet pas de créer des identités fédérées
• Prise en charge des standards OASIS WS-Fédération/WS-Trust et SAML 2.0
Fédération avec votre annuaire sur site
• Aujourd’hui avec Shibboleth 2• Permet de couvrir certains scénarios clients
– Support des clients Web/passifs à travers le profil SAML 2.0 Web SSO• "Post Redirect bindings" supportés : HTTP-POST, HTTP-POST-
SimpleSign• Pas de support pour Office 2013
– Support de client actif (Outlook) avec ECP (Enhanced Client Profile)
• Propriétés clés du jeton SAML 2.0– Issuer : Utilisé pour identifier le fournisseur d’identité.
Globalement unique– NameID : Identifiant unique de l’utilisateur, lié à son
provisionnement– IDPEmail : UPN de l’utilisateur, lié à la valeur fournie durant le
provisionnement
• Cf. livre blanc "Office 365 Single Sign-On with Shibboleth 2"
Fédération AAD basée sur SAML 2.0
SECURITE DANS LE CLOUDRETOUR D’EXPERIENCE
FRANCK MUSSON
ArchitecteNeos-SDI
• Outils Non MS– Messagerie– Salles de cours virtuels– Pas de fédération d’identité (Comptes Non MS)
• RSE Business_School ->SharePoint Online– 65000 licences SharePoint Online– SharePoint OnLine
• Business_School community.onmicrosoft.com– Environnement Unix/Linux intégral (pas de machines Windows)– Installation de Shibboleth 2.3.8 par la Business_School .
• Difficultés de mise place (configuration)– Registration du domaine business_school.EDU dans Windows Azure AD.
• Complexité lors de la validation du domaine (entrées DNS en partie réservées à outils précédents)
• Validation du domaine par le support Microsoft– VM Windows 7 (PowerShell / Scripts de fédération)– Provisionning des comptes étudiants en PowerShell
SharePoint Online – Business_School – Projet RSE
• Fédération avec O365– Référence : Office 365 Single-SignOn with Shibboleth 2 (Jean-
marie Thia CNRS et Philippe Beraud Microsoft) – Shibboleth identifie les étudiants sur l’infrastructure CAS de
Business_School – Shibboleth extrait les attributs (assertions SAML2) sur
l’infrastructure CAS de Business_School• ImmutableID = Matricule Etudiant (Unique)• UPN = mail address de l’étudiant (xxxx@Business_School .edu)
– Installation Microsoft Online Services Module for Windows PowerShell sur VM Windows 7
SharePoint Online – Business_School – Projet RSE
• Fédération avec O365– Operation de fédération (sur le domaine
business_school.fr)• PS C:\Windows\system32> $dom = “Business_School .fr”• PS C:\Windows\system32> $fedBrandName = “Business_School ”• PS C:\Windows\system32> $url = "https://rec7login.Business_School .fr/idp/profile/SAML2/POST/SSO"• PS C:\Windows\system32> $ecpUrl = "https://rec7login.Business_School .fr/idp/profile/SAML2/SOAP/ECP"• PS C:\Windows\system32> $uri = “https://rec7login.Business_School .fr/idp/shibboleth”• PS C:\Windows\system32> $logoutUrl = “https://rec7login.Business_School .fr/logout” • PS C:\Windows\system32> $cert = New-Object • System.Security.Cryptography.X509Certificates.X509Certificate2(• “Business_School ,fr.crt") // Certificat de Cryptage auto-généré• PS C:\Windows\system32> $certData = [system.convert]::tobase64string($cert.rawdata)• • PS C:\Windows\system32> Set-MsolDomainAuthentication –DomainName $dom –federationBrandName $FedBrandName -
Authentication Federated -PassiveLogOnUri $url -SigningCertificate $certData -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logoutUrl -PreferredAuthenticationProtocol SAMLP
SharePoint Online – Business_School – Projet RSE
• Fédération avec O365– Povisionning des étudiants (fédérés)
• PS C:\Windows\system32> New-MsolUser – Displayname “username” –UserPrincipalName “B0000007@Business_School .edu” -UseageLocation FR –BlockCredential $false –ImmutableID “B0000007”
• // Pour modifier utiliser Set-MsolUser
– Automatisation du Provisionning (Synchronisation)• Page CGU (conditions générales d’utilisation) dans Windows Azure• Site Windows Azure fédéré avec Shibboleth
– Récupére les attibuts de l’étudiant dans les Claims transmises – 2 Possibilités de fédération
» WS-federation (Shibboleth capable)» SAML 2, Utilisation Saml2SecurityTokenHandler
• L’application Azure vérifie l’existance de l’étudiant dans Office 365– Le crée ou mets à jour les attributs si nécéssaire,– Vérifie l’attribution des licences Office 365
• L’application Azure redirige l’étudiant vers le portail SharePoint Online– https://Business_School sharepoint.com
SharePoint Online – Business_School – Projet RSE
• Process d’authentification et Provisionning à la volée
SharePoint Online – Business_School – Projet RSE
• Commencez à bénéficier de la protection des informations dès que vous êtes abonnés à Office 365– Aucune infrastructure AD RMS requise
• Fonctionne avec Office, Exchange Online et SharePoint Online– La gestion des droits d’usage est intégrée dans les trois solutions
• Concerne initialement les clients dont le courrier électronique (Exchange Online) et le circuit documentaire sont hébergés dans le nuage (SharePoint Online)– Généralise la protection contre la divulgation d’information à un nouvel ensemble
de clients– Fournit les fonctionnalités essentielles qui sont nécessaires à la protection des
informations
Windows Azure AD Rights Management
• Support d’Office 2013 et Office 2010– Office 2007 non supporté– Prêt pour la collaboration entre différentes organisations clientes d’Office 365
• Intégration d’Office 2013– Expérience d'authentification unique via les contrôles d'identité Office– Aucun paramètre supplémentaire à déployer, cela fonctionne par défaut
• Intégration d’Office 2010– Nécessite de déployer la mise à jour MSDRM QFE, Online Sign-On Assistant, ainsi
qu'un "Consumption package" qui détecte si le client est correctement configuré– Un package d'installation sera disponible pour aider à configurer correctement Office
2010
Intégration de Microsoft Office
• L’intégration à Windows Azure AD Rights Management est disponible avec Office 365– Une fois que le service Windows Azure AD Rights Management est activé,
l'intégration avec OWA et EAS est activée pour tous les utilisateurs– La nouveauté dans le nouvel Office 365 est la capacité de partager du
contenu protégé entre différents locataires
• Toutes les fonctionnalités IRM disponibles dans Exchange 2013 sont également présentes dans Exchange Online :– IRM dans OWA et EAS– IRM dans les règles de transport– Agent de déchiffrement RMS
Intégration à Exchange Online
• SharePoint Online a ajouté le support des droits d'usage– Supporte Office 2010 et Office 2013– Disponible dans le nouvel Office 365
• Gestion des droits d'usage dans les bibliothèques de document– Support des groupes– Support du mode Read Only Web Access– Support des fichiers PDF– Prise en charge des scénarios de collaboration entre les
organisations
Intégration à SharePoint Online
• Capacités– Mécanisme simple, pour activer la gestion des droits d'usage entre les
applications et les services.• Fonctionnalités de protection contre la fuite d’informations disponibles et
intégrées dans Office, Exchange Online (OWA, EAS) et SharePoint Online
– Fournit des modèles par défaut pour appliquer les droits d'usage courant• Des modèles simples pour limiter l'accès aux utilisateurs au sein de
l'entreprise• Mais également "Ne pas transférer" et des restrictions d’accès
personnalisées
– Permet une collaboration sécurisée par défaut dans Office 365• Collaboration sécurisée en dehors de l’entreprise avec toute personne
abonnée à Office 365
Windows Azure AD Rights Management
• Capacités avancées– Administration basée sur les rôles
• Permet de segmenter les rôles d'administration Office 365. L’entreprise maîtrise comment sont effectuées les tâches administratives de gestion des droits d'usage
• Permet de retirer aux administrateurs globaux le droit d’administrer Windows Azure AD Rights Management
– Journalisation des actions administrateur• Crée un journal des tâches administratives, y compris la date/heure,
l’utilisateur, et l'action spécifique que l'administrateur a effectuée• Journal en lecture seule qui ne peut pas être supprimé ou modifié par
un administrateur
Windows Azure AD Rights Management
Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
MERCIQuestions - Réponses
http://notes.mstechdays.fr