byod demo extravaganza : un exemple de mise en œuvre de bout-en-bout avec les technologies...
DESCRIPTION
Le BYOD (Bring Your Own Device) consiste à donner la possibilité aux employés de se connecter au réseau de l’entreprise à partir de leur équipement personnel (smartphone, tablette ou ordinateur). Le défi majeur du BYOD est lié à la sécurité. Plutôt qu’un rejet, nous préférons une approche permettant d’offrir un accès « raisonné » au réseau d’entreprise. Dans cette session, nous vous démontrerons comment il est possible d’accueillir « sous condition » des terminaux Windows, Windows RT (par exemple Surface), Windows Phone 8 et non-Windows (iPad, iPhone, Android) en prenant en compte les notions d’identité, de force d’authentification et de niveau de confiance du terminal. Cette session sera basée sur un ensemble de scénarios de démonstration permettant d’illustrer les mécanismes utilisés « sous le capot » ! Nous vous recommandons d'assister à la session "BYOD : dites enfin oui ! " (RDI105) qui abordera les concepts sur lesquels sont basées les solutions démontrées.TRANSCRIPT
SEC 306BYOD demo
Extravaganza
J.Y. Grasset, S. Gaston-Raoul
Direction Technique Microsoft France
Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Concepts BYOD : Contexte d’accès
BYOD : une nouvelle stratégie
• Corporate : Géré par l’entreprise (Domain-joined)
• Managed : Géré par MDM• Controlled : Contrôlé par EAS• Unmanaged : Inconnu
• Accès interne - Wifi/Filaire• Accès externe - Pays/Etranger
• Corporate : employé• Federated : partenaire• Social : inconnu
• Multi-facteur : Carte à puce • Fort : certificat logiciel • Moyen : mot de passe fort • Faible : mot de passe faible
Politique de sécurité
BYOD : une nouvelle stratégie
Contexte d’accès ClassificationPolitiques de sécurité
BYOD : Contrôle d’accès en fonction du niveau d’authentification
Scénario 1 : Niveau d’authentification
Scénario 1 : Niveau d’authentification
BYOD : Contrôle d’accès en fonction du niveau d’authentification
ACCES RESTREINT AUX DONNEES LBI
ACCES A TOUTES LES DONNEESACCES RESTREINT AUX DONNEES MBI
SCENARIO • Trois terminaux qui
appartiennent à Julien• Authentification de
différents niveaux• Selon le niveau
d’authentification les accès seront restreints
iPad de Julien Windows 8 de Julien Windows RT de Julien
CERTIFICATE
SMART CARD
ID+PWD
AUTHENTIFICATION FORTE DETECTEE :
AUTHENTIFICATION MOYENNE DETECTEE :
AUTHENTIFICATION MULTI-FACTEUR DETECTEE :
demoDÉMO 1
Contrôle d’accès en fonction du niveau d’authentification
BYOD : Contrôle d’accès en fonction du niveau d’authentification
• Quoi ?– Mécanisme permettant, lors d’une authentification par certificat, d’ajouter
l’appartenance de l’utilisateur à un groupe en fonction d’informations contenues dans le certificat
– Ajout de l’appartenance (SID du groupe) dans le jeton d’accès Kerberos
• Comment ?– Ajout dans le certificat d’une « Issuance Policy » caractérisée par un OID– Création d’une correspondance entre l’« Issuance Policy » et le groupe
• Pour faire quoi ?– Différencier les authentifications par certificat (par ex. vs mot de passe)– Identifier plusieurs catégories dans les authentifications par certificat– Autoriser l’accès aux ressources en fonction du niveau d’authentification en
s’appuyant sur les groupes de sécurité
• Prérequis/Contraintes– Kerberos uniquement– DC Windows Server 2008 R2, niveau fonctionnel 2008 R2 (ou supérieur WS 2012
OK)– Client (Windows Vista) Windows 7 et supérieur, Windows Server 2008 et supérieur
Authentication (mechanism) Assurance
Un peu de technique : Authentication Assurance
Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guidehttp://technet.microsoft.com/en-us/library/dd378897%28v=ws.10%29.aspx
BYOD : Contrôle d’accès selon le niveau de confiance
Scénario 2 : Niveau de confiance terminal
Scénario 2 : Niveau de confiance du terminal
BYOD : Contrôle d’accès selon le niveau de confiance
TERMINAL INCONNU :
SCENARIO • Trois terminaux qui
appartiennent à Lucie• Différents niveaux de
confiance pour chacun• Selon le niveau de
confiance, les accès seront restreintsAndroïd de Lucie Windows 7 de Lucie
TERMINAL MANAGE (AVEC UN MDM) :
Windows RT de Lucie
ACCES RESTREINT AUX DONNEES MBI
TERMINAL
CONTROLE
ACCES A TOUTES LES DONNEES
TERMINAL
MANAGE(AUTH PAR LOGIN+PWD)
ACCES RESTREINT AUX DONNEES LBI
TERMINAL CONTRÔLE (AVEC EAS) :
INCONNU
demoDÉMO 2
Contrôle d’accès en fonction du niveau de confiance terminal
BYOD : Contrôle d’accès selon le niveau de confiance
BYOD : Contrôle d’accès selon l’identité
Scénario 3 : Identité
• Identité Corporate et rôle– Les revendications utilisateur (AD/AD FS) et les groupes
d’appartenance sont utilisables pour les autorisations d’accès – Dynamic Access Control (WS 2012) offre un contrôle d’accès
sur expressions conditionnelles• Revivez la session enregistrée « SEC 311 Dynamic Access Control
de Windows Server 2012 »
Identité
BYOD : Contrôle d’accès selon l’identité
• Identité fédérée– Concerne les applications et services Web– Incontournable dans les scénarios Cloud (ex Office 365)– Peut être utilisé pour l’accès à des passerelles de publication
Web (ex. UAG)– Voir scénario AD FS plus loin
BYOD : Contrôle d’accès selon la localisation
Scénario 4 : Localisation
Contexte d’accès : Localisation
BYOD : Contrôle d’accès selon la localisation
PRINCIPE• Notion de passerelle
de publication interne• Publication des
services et applications selon le type d’accès
• Authentification sur annuaire AD interne
• Certaines passerelles peuvent accepter des jetons de fédération et faire de la délégation contrainte Kerberos (SSO)
Passerelles externes
802.1
x
Passerelles internes
Référentiel identité + authentification
ACCES INTERNEACCES EXTERNE
Resources internes
WEB, VDI, RDS
FIREWALL
BYOD : Prise en compte du contexte d’accès avec AD FS
Scénario 5 : AD FS
Scénario 5 : AD FS
BYOD : Prise en compte du contexte d’accès avec AD FS
SCENARIO• Deux terminaux qui
appartiennent à Lucie• Différents niveaux de
confiance et d’authentification
• Selon le contexte, les accès seront restreints
Androïd de Lucieinconnu
Windows RT de Luciemanagé
SMART CARD
ID+PWD
STS WEB
AD
BYOD : Protection contre la fuite d’information
Scénario 6 : Protection contre la fuite d’information
Scénario 6 : Protection contre la fuite d’information
BYOD : Prise en compte du contexte d’accès avec AD FS
PRINCIPE• Contrôler l’usage des
données envoyées• Protéger les données
par chiffrement– Mail– Pièces jointes
EAS, OWA, RMS
Windows 8 de Julien iPad de Lucie
demoDÉMO 3 Protection contre la fuite d’information
BYOD : Protection contre la fuite d’information
BYOD : Enregistrement des périphériques avec EAS
Scénario 7 : Enregistrement des périphériques avec EAS
demoDÉMO 4Enregistrement des périphériques avec EAS
BYOD : Enregistrement des périphériques avec EAS
• Le BYOD impose d’étendre le modèle de protection périmétrique et d’introduire la notion de contexte d’accès
• Le mécanisme d’Authentication Assurance permet de prendre en compte le niveau de confiance de l’authentification et du terminal pour la protection de l’accès aux ressources en fonction de leur sensibilité
• Le contrôle d’accès dynamique de Windows Server 2012 autorise la mise en œuvre de règles évoluées pour la protection des données
• L’utilisation de passerelles internes permet de publier les services en prenant en compte le paramètre de localisation
• La fédération permet d’étendre le principe de contexte d’accès vers les ressources Web internes et vers le Cloud
Consultez régulièrement http://blogs.technet.com/byod-fr– Nous publierons l’avancée de nos travaux avec des posts « Vision
stratégique » mais également des informations techniques
Synthèse
BYOD : Synthèse !
Merci de votre attention !
Q&A