32
Office 365 pour l’éducation BRUNO PIRRA Architecte Messagerie Neos-SDI Serveurs / Entreprise / Réseaux / IT OFFICE 365 POUR L’ÉDUCATION http://office365.fr/education ARNAUD JUMELET Consultant Sécurité Microsoft ERIC ORTIZ Expert Solutions Cloud Microsoft FRANCK MUSSON Architecte Neos-SDI

Office 365 pour l'Education - les enjeux en terme de sécurité

Embed Size (px)

DESCRIPTION

Venez découvrir Office 365 pour l'Education, la plate-forme de communication et de collaboration dédiée pour les établissements de l'Education Nationale. Les élèves/étudiants, enseignants et personnels administratifs disposent d'un ensemble de services : 1) messagerie, calendrier et contacts (basé sur Exchange Online) - chaque personne bénéficie d'une messagerie de 25Go... 2) Lync pour les classes virtuelles, les réunions en ligne, chat, audio et vidéo... 3) SharePoint online : pour les sites des classes et des groupes... 4) Office web Apps : pour gérer vos documents en ligne. Dans cette session, nous aborderons les différentes facettes des enjeux d’Office 365, en termes d’implémentation, mais également sécurité avec un point sur la fédération d’identité (interopérabilité shibboleth, contrôle de l’authentification) et la gestion des droits d’usage (Rights Management).

Citation preview

Page 1: Office 365 pour l'Education  - les enjeux en terme de sécurité

Office 365 pour l’éducation

BRUNO PIRRAArchitecte

MessagerieNeos-SDI

Serveurs / Entreprise / Réseaux / IT

OFFICE 365 POUR L’ÉDUCATIONhttp://office365.fr/education

ARNAUD JUMELETConsultant

Sécurité Microsoft

ERIC ORTIZExpert Solutions

CloudMicrosoft

FRANCK MUSSON

ArchitecteNeos-SDI

Page 2: Office 365 pour l'Education  - les enjeux en terme de sécurité

DIRECTION LE CLOUDAVEC OFFICE 365 POUR L’ÉDUCATION

AgendaOffice 365 en BrefRetour d’expérience de Neos-SDIOffice 365 et SécuritéQuestions - Réponses

ERIC ORTIZExpert Solutions Cloud

Microsoft

Page 3: Office 365 pour l'Education  - les enjeux en terme de sécurité

OFFICE 365 EN BREF

Page 4: Office 365 pour l'Education  - les enjeux en terme de sécurité

OFFICE 365 EN BREF

ETUDIANTS – ENSEIGNANTS - ADMINISTRATION

Prise de notes partagées et synchronisées en

temps réel

Des classes virtuelles pour échanger avec voix,

vidéo et partage de documents

Le choix ciblé du modèle de Cloud qui vous

convient

Une messagerie unifiée pour toute l’institution

La sécurité et la fiabilité des services

Bring Your Own Device Tous types d’écrans,

multi-navigateur

BOÎTE AUX LETTRES

25Go, E-mails, contacts, agendas

PORTAIL

intranet, extranet, Site web, Partage, stockage de données

MESSAGERIE INSTANTANÉE

Web conférence, audio, vidéo

Word, Excel, PowerPoint, OneNote

Visualisation, modification, partage

Page 5: Office 365 pour l'Education  - les enjeux en terme de sécurité

OFFICE 365 POUR L’EDUCATIONRETOUR D’EXPERIENCE

BRUNO PIRRAArchitecte

MessagerieNeos-SDI

Page 6: Office 365 pour l'Education  - les enjeux en terme de sécurité

VUE D’ENSEMBLE

Infrastructure locale Infrastructure O365

Les mêmes applications, mais sur 2 plateformes

Page 7: Office 365 pour l'Education  - les enjeux en terme de sécurité

CHOIX D’ARCHITECTURE• Gestion de l’annuaire O365 :

– Tout accès à la plateforme Office 365 nécessite un compte. Comment gérer ces comptes?

• Via l’interface graphique d’administration• Par script Powershell• Avec DirSync (outil de synchronisation des comptes)

• Authentification :– Pour s’authentifier, nous pouvons:

• Utiliser les identifiants d’un compte interne. La fédération est mise en œuvre

• Utiliser le mot de passe du compte présent sur O365. L’utilisateur a donc 2 mots de passe

Page 8: Office 365 pour l'Education  - les enjeux en terme de sécurité

CHOIX D’ARCHITECTURE

• Lync et Exchange :– Le modèle « hybride » ou « sur le nuage » est déterminé par la

présence de serveurs sur le site. Cela va orienter la configuration à mettre en place.

• Scénario de migration:– La migration peut être :

• Étalée sur plusieurs jours / semaines• Instantanée: tout le monde utilise les services fournis par O365

en même temps.

Page 9: Office 365 pour l'Education  - les enjeux en terme de sécurité

DEMARCHE PROJET

Réunion de travail•Prise en compte de l’existant•Choix du modèle de synchro d’annuaire

•Choix du modèle d’authentification•Modèle « nuage » ou hybride

Mise en œuvre•Configuration d’Office 365 et des applications•Mise en œuvre de la solution de synchro d’annuaire

•Mise en œuvre de la solution d’authentification

Pilote•Validation fonctionnelle•Transfert de compétences

Migration •Progressive ou bascule à l’instant T

•Communication aux utilisateurs

Page 10: Office 365 pour l'Education  - les enjeux en terme de sécurité

EM LYON

• Contexte :• Messagerie interne Exchange 2007 avec client Outlook 2010• Offrir de nouveaux services (Boites aux lettre plus grande, messagerie

instantanée…)• La plateforme Exchange 2007 est conservée pour le personnel interne• Garder à vie les adresses de messagerie des étudiants

• Choix :• Modèle hybride• Migration progressive pendant l’année scolaire• Synchronisation d’annuaire via DirSync• Authentification avec le compte interne – mise en œuvre ADFS

• Résultat : • Projet réalisé en 2-3 semaines pour 1 pilote de 50 utilisateurs• Satisfaction des étudiants et de la DSI

Page 11: Office 365 pour l'Education  - les enjeux en terme de sécurité

UNIVERSITE

• Contexte :• Messagerie interne Zimbra (POP3)• Tout le monde (3000 BAL) doit migrer avant la rentrée universitaire• Client Outlook

• Choix :• Migration de type bascule à l’instant T• Synchronisation d’annuaire via DirSync• Authentification avec le compte interne – mise en œuvre ADFS

• Résultat : • Projet réalisé en 10 jours

Page 12: Office 365 pour l'Education  - les enjeux en terme de sécurité

OFFICE 365SECURITE DANS LE CLOUD

ARNAUD JUMELETConsultant

Sécurité Microsoft

FRANCK MUSSON

ArchitecteNeos-SDI

Page 13: Office 365 pour l'Education  - les enjeux en terme de sécurité

IDENTITÉ CLOUD

Fichier CSV

Importation CSV

Office Activation Service

Office 365 Admin Portal

Exchange Mailbox Access

Windows Azure Active Directory

OAuth2

SAML-P

WS-Federation

Metadata

Graph API

Authentification

Auto

risa

tion

Page 14: Office 365 pour l'Education  - les enjeux en terme de sécurité

IDENTITÉ FÉDÉRÉE

Sur site

Référentiel d’identité

FIM

Windows Azure Active Directory

OAuth2

SAML-P

WS-Federation

Metadata

Graph API

Serveurs de fédération

Relation de confiance

Office Activation Service

Office 365 Admin Portal

Exchange Mailbox Access

Authentification

Auto

risa

tion

Page 15: Office 365 pour l'Education  - les enjeux en terme de sécurité

SCÉNARIOS IDENTITÉ AVEC OFFICE 365

Identité Cloud Identité Fédérée

Page 16: Office 365 pour l'Education  - les enjeux en terme de sécurité

SYNCHRONISATION

Université

SourceIdentité

Alain

TenantUniversité

Windows Azure AD

Alain

accountNameuserPrincipalNameaccountEnabledImmutableIDdisplayNamemailaliasproxyAddressestargetAddress….

samAccountNameuserPrincipalNameuserAccountControlobjectGUIDobjectSiddisplayNamemailmailNicknameproxyAddressestargetAddress…

Sync

Page 17: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Nécessite de synchroniser les identités sur site avec votre locataire Windows Azure AD– Différentes approches pour créer des identités fédérées en

fonction de votre environnement• Microsoft Azure AD Directory Synchronization Tool (DirSync)• Connecteur Windows Azure AD pour FIM 2010 (R2)• Cmdlets Windows PowerShell pour Windows Azure AD

– Directory Graph API ne permet pas de créer des identités fédérées

• Prise en charge des standards OASIS WS-Fédération/WS-Trust et SAML 2.0

Fédération avec votre annuaire sur site

Page 18: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Aujourd’hui avec Shibboleth 2• Permet de couvrir certains scénarios clients

– Support des clients Web/passifs à travers le profil SAML 2.0 Web SSO• "Post Redirect bindings" supportés : HTTP-POST, HTTP-POST-

SimpleSign• Pas de support pour Office 2013

– Support de client actif (Outlook) avec ECP (Enhanced Client Profile)

• Propriétés clés du jeton SAML 2.0– Issuer : Utilisé pour identifier le fournisseur d’identité.

Globalement unique– NameID : Identifiant unique de l’utilisateur, lié à son

provisionnement– IDPEmail : UPN de l’utilisateur, lié à la valeur fournie durant le

provisionnement

• Cf. livre blanc "Office 365 Single Sign-On with Shibboleth 2"

Fédération AAD basée sur SAML 2.0

Page 19: Office 365 pour l'Education  - les enjeux en terme de sécurité

SECURITE DANS LE CLOUDRETOUR D’EXPERIENCE

FRANCK MUSSON

ArchitecteNeos-SDI

Page 20: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Outils Non MS– Messagerie– Salles de cours virtuels– Pas de fédération d’identité (Comptes Non MS)

• RSE Business_School ->SharePoint Online– 65000 licences SharePoint Online– SharePoint OnLine

• Business_School community.onmicrosoft.com– Environnement Unix/Linux intégral (pas de machines Windows)– Installation de Shibboleth 2.3.8 par la Business_School .

• Difficultés de mise place (configuration)– Registration du domaine business_school.EDU dans Windows Azure AD.

• Complexité lors de la validation du domaine (entrées DNS en partie réservées à outils précédents)

• Validation du domaine par le support Microsoft– VM Windows 7 (PowerShell / Scripts de fédération)– Provisionning des comptes étudiants en PowerShell

SharePoint Online – Business_School – Projet RSE

Page 21: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Fédération avec O365– Référence : Office 365 Single-SignOn with Shibboleth 2 (Jean-

marie Thia CNRS et Philippe Beraud Microsoft) – Shibboleth identifie les étudiants sur l’infrastructure CAS de

Business_School – Shibboleth extrait les attributs (assertions SAML2) sur

l’infrastructure CAS de Business_School• ImmutableID = Matricule Etudiant (Unique)• UPN = mail address de l’étudiant (xxxx@Business_School .edu)

– Installation Microsoft Online Services Module for Windows PowerShell sur VM Windows 7

SharePoint Online – Business_School – Projet RSE

Page 22: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Fédération avec O365– Operation de fédération (sur le domaine

business_school.fr)• PS C:\Windows\system32> $dom = “Business_School .fr”• PS C:\Windows\system32> $fedBrandName = “Business_School ”• PS C:\Windows\system32> $url = "https://rec7login.Business_School .fr/idp/profile/SAML2/POST/SSO"• PS C:\Windows\system32> $ecpUrl = "https://rec7login.Business_School .fr/idp/profile/SAML2/SOAP/ECP"• PS C:\Windows\system32> $uri = “https://rec7login.Business_School .fr/idp/shibboleth”• PS C:\Windows\system32> $logoutUrl = “https://rec7login.Business_School .fr/logout” • PS C:\Windows\system32> $cert = New-Object • System.Security.Cryptography.X509Certificates.X509Certificate2(• “Business_School ,fr.crt") // Certificat de Cryptage auto-généré• PS C:\Windows\system32> $certData = [system.convert]::tobase64string($cert.rawdata)•  • PS C:\Windows\system32> Set-MsolDomainAuthentication –DomainName $dom –federationBrandName $FedBrandName -

Authentication Federated -PassiveLogOnUri $url -SigningCertificate $certData -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logoutUrl -PreferredAuthenticationProtocol SAMLP

SharePoint Online – Business_School – Projet RSE

Page 23: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Fédération avec O365– Povisionning des étudiants (fédérés)

• PS C:\Windows\system32> New-MsolUser – Displayname “username” –UserPrincipalName “B0000007@Business_School .edu” -UseageLocation FR –BlockCredential $false –ImmutableID “B0000007”

• // Pour modifier utiliser Set-MsolUser

– Automatisation du Provisionning (Synchronisation)• Page CGU (conditions générales d’utilisation) dans Windows Azure• Site Windows Azure fédéré avec Shibboleth

– Récupére les attibuts de l’étudiant dans les Claims transmises – 2 Possibilités de fédération

» WS-federation (Shibboleth capable)» SAML 2, Utilisation Saml2SecurityTokenHandler

• L’application Azure vérifie l’existance de l’étudiant dans Office 365– Le crée ou mets à jour les attributs si nécéssaire,– Vérifie l’attribution des licences Office 365

• L’application Azure redirige l’étudiant vers le portail SharePoint Online– https://Business_School sharepoint.com

SharePoint Online – Business_School – Projet RSE

Page 24: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Process d’authentification et Provisionning à la volée

SharePoint Online – Business_School – Projet RSE

Page 25: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Commencez à bénéficier de la protection des informations dès que vous êtes abonnés à Office 365– Aucune infrastructure AD RMS requise

• Fonctionne avec Office, Exchange Online et SharePoint Online– La gestion des droits d’usage est intégrée dans les trois solutions

• Concerne initialement les clients dont le courrier électronique (Exchange Online) et le circuit documentaire sont hébergés dans le nuage (SharePoint Online)– Généralise la protection contre la divulgation d’information à un nouvel ensemble

de clients– Fournit les fonctionnalités essentielles qui sont nécessaires à la protection des

informations

Windows Azure AD Rights Management

Page 26: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Support d’Office 2013 et Office 2010– Office 2007 non supporté– Prêt pour la collaboration entre différentes organisations clientes d’Office 365

• Intégration d’Office 2013– Expérience d'authentification unique via les contrôles d'identité Office– Aucun paramètre supplémentaire à déployer, cela fonctionne par défaut

• Intégration d’Office 2010– Nécessite de déployer la mise à jour MSDRM QFE, Online Sign-On Assistant, ainsi

qu'un "Consumption package" qui détecte si le client est correctement configuré– Un package d'installation sera disponible pour aider à configurer correctement Office

2010

Intégration de Microsoft Office

Page 27: Office 365 pour l'Education  - les enjeux en terme de sécurité

• L’intégration à Windows Azure AD Rights Management est disponible avec Office 365– Une fois que le service Windows Azure AD Rights Management est activé,

l'intégration avec OWA et EAS est activée pour tous les utilisateurs– La nouveauté dans le nouvel Office 365 est la capacité de partager du

contenu protégé entre différents locataires

• Toutes les fonctionnalités IRM disponibles dans Exchange 2013 sont également présentes dans Exchange Online :– IRM dans OWA et EAS– IRM dans les règles de transport– Agent de déchiffrement RMS

Intégration à Exchange Online

Page 28: Office 365 pour l'Education  - les enjeux en terme de sécurité

• SharePoint Online a ajouté le support des droits d'usage– Supporte Office 2010 et Office 2013– Disponible dans le nouvel Office 365

• Gestion des droits d'usage dans les bibliothèques de document– Support des groupes– Support du mode Read Only Web Access– Support des fichiers PDF– Prise en charge des scénarios de collaboration entre les

organisations

Intégration à SharePoint Online

Page 29: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Capacités– Mécanisme simple, pour activer la gestion des droits d'usage entre les

applications et les services.• Fonctionnalités de protection contre la fuite d’informations disponibles et

intégrées dans Office, Exchange Online (OWA, EAS) et SharePoint Online

– Fournit des modèles par défaut pour appliquer les droits d'usage courant• Des modèles simples pour limiter l'accès aux utilisateurs au sein de

l'entreprise• Mais également "Ne pas transférer" et des restrictions d’accès

personnalisées

– Permet une collaboration sécurisée par défaut dans Office 365• Collaboration sécurisée en dehors de l’entreprise avec toute personne

abonnée à Office 365

Windows Azure AD Rights Management

Page 30: Office 365 pour l'Education  - les enjeux en terme de sécurité

• Capacités avancées– Administration basée sur les rôles

• Permet de segmenter les rôles d'administration Office 365. L’entreprise maîtrise comment sont effectuées les tâches administratives de gestion des droits d'usage

• Permet de retirer aux administrateurs globaux le droit d’administrer Windows Azure AD Rights Management

– Journalisation des actions administrateur• Crée un journal des tâches administratives, y compris la date/heure,

l’utilisateur, et l'action spécifique que l'administrateur a effectuée• Journal en lecture seule qui ne peut pas être supprimé ou modifié par

un administrateur

Windows Azure AD Rights Management

Page 31: Office 365 pour l'Education  - les enjeux en terme de sécurité

Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Page 32: Office 365 pour l'Education  - les enjeux en terme de sécurité

MERCIQuestions - Réponses

http://notes.mstechdays.fr