Search This Blog

lundi 1 octobre 2018

Modern Management Part 2 - comment faire ? et quelle méthodologie ?

Bonjour à tous,

Nous avons vu dans la partie 1 l’introduction au modern management, que vous pouvez trouver ici :


Nous avons vu ses apports, sa composition technologique et sa place dans un futur proche dans nos systèmes d’informations. 

De plus, je suis en ce moment aux Microsoft Ignite à Orlando , et on peut voir que Microsoft axe beaucoup sur ce thème avec beaucoup de sessions et de Workshop.

Dans cette seconde partie, nous allons aborder plus en détail le processus qui vous permettra de franchir le cap et d’aller vers ce modèle.

En résumé avec le modern management je peux :

  •         M’affranchir de plusieurs briques on-premise
  •         D’avoir un annuaire IDaaS basé sur le cloud de Microsoft - Le fameux AzureAD
  •         D’avoir des postes de travail sécurisés et managés
  •         D’avoir le contrôle sur mes données, les classifier et les chiffrer ( avec Azure Information Protection)
  •         De permettre à mes utilisateurs de s’authentifier avec une seule identité sur plusieurs services et cloud de l’entreprise
  •         D’avoir le contrôle sur le flux et le Traffic des utilisateurs en ce qui concerne les applications et services cloud
  •         De sécuriser l’accès aux données de l’entreprise grâce à des règles et stratégies sur Azure Active Directory
  •         De protéger les mots de passe de mes utilisateurs avec le Smart Lockout
  •         De protéger mes utilisateurs contre les activités malveillantes avec Identity Protection
  •         D’offrir à mes utilisateurs un espace de collaboration ( partage de fichier stockage de données, partage de fichier de manière sécurisée et surtout contrôlée)
  •         D’offrir à mes utilisateurs une messagerie basée sur Exchange Online , système complètement sécurisée et gérée par Microsoft
  •         De donner à mes utilisateurs un espace collaboratif dans le quel ils pourront échanger des informations, échanger de manière instantanée grâce à Skype For business et le tout dans un outil convergé è  Microsoft Teams
    

Comment ?

Deux scénarios pour moi qui sont les plus visibles chez les clients :

·        Full Modern Modern Management : toutes les briques on-premise n’existent plus au profit des briques M 365 ( rappelez-vous : Office365, EMS et Windows 10), ce cas reste encore rare, mais de plus en plus de clients ( PME , etc )  adoptent ce modèle et voient un réel intérêt ( par rapport aux apports et avantages cités plus haut)
     
      Ce modèle ressemble à ça : le système d'information repose uniquement sur le poste de travail de l'utilisateur finale, toutes la gestion du poste, de la sécurité se fait depuis le cloud de Microsoft à savoir Microsoft 365 :

         Modern Management hybride : Dans ce monde, nous avons les deux pieds sur les deux mondes, à savoir le monde on-prem avec l’Active Directory, les serveurs Exchange, SharePoint etc, et d’un autre coté nous sommes dans le Cloud avec ces mêmes briques, ceci est possible grâce à l’hybridation de ces services, qui permettent aux entreprises de passer le cloud et modern management en douceur.

Dans cette partie nous allons traiter le modern management avec l’hybridation. Qui est la partie la plus complexe et la plus intéressante pour moi lors des projets chez mes clients.

Par quoi commencer ?


Identification des besoins :
Avant tout projet, et surtout pour ce type de projet, il faut définir les besoins IT et les besoins utilisateurs. Car le but est de permettre à l’humain d’être plus productif dans son travail, et ceci est valable aussi bien pour les IT que les utilisateurs standards ( qui sont au centre des débats dans ce type de projet), car il faudra accompagner ces utilisateurs afin qu’ils puissent adopter ces nouveaux technologies et ces nouveaux usages.

Identification des briques techniques :
Dans cette phase, il faudra définir ce que vous souhaitez faire avec les briques cloud que vous avez à disposition, vous avez de la chance en générale, si on l’on étudie bien les besoins de son entreprise et ses utilisateurs, cette partie devrait pas prendre beaucoup de temps aux IT.

Car ici, il s’agit de traiter les décisions à prendre à propos des briques que l’on souhaite hybrider avec le cloud de Microsoft.

Une brique qui devra être obligatoirement hybridée ( ou presque, ceci dépendra de la philosophie de l’entreprise) , et vous l’aurez compris, la partie identité à savoir l’Active Directory. Car pour la simple bonne raison, l’utilisateurs à besoin d’une identité dans le cloud pour s’authentifier et consommer les services Cloud.

Mais quand je mentionne le «  ou presque » je fais référence à un annuaire IDaaS From cloud, c’est-à-dire que l’entreprise peut très bien décider d’utiliser uniquement l’Azure Active Directory comme source d’identité dans le cloud. Mais ce modèle présente une limite.La multiplication des identités pour les utilisateurs, car ces derniers, devront avoir deux comptes, leur compte Active Directory interne pour consommer les ressources on-prem et un autre cloud Azure Active Directory afin de consommer les services et ressources cloud.  

Avec l’hybridation de la brique identité ( Active Directory) nous allons répondre à cette problématique, en offrant aux utilisateurs une identité communs ( ressources cloud & ressources on-prem).

Avec Azure Active Directory, l’équation « une application  = une identité », devient obsolète et devient : « Une identité commune pour toutes les applications. »

Résumé - Pour l’extension de l’Active Directory vers Azure AD il y plusieurs choses à prendre en compte :

-        L’architecture AD :
o   Mono foret – mono domaine
o   Mono Foret – Multi domaines
o   Multi foret – Multi domaine
o   Etc

-        Service de fédération présents ( exemple ADFS, Ping Federate etc )
-       
      La structure des objets et attributs AD  ( correction des erreurs avec Idfix par exemple .. )

-        Moyen d’authentification :
o   Hash de hash de password
o   Federatie
o   Pass Through

-        Stratégie de synchronisation:
o   Quelles OUs, utilisateurs, population etc ..
o   Etc

Vous  pouvez consulter tous mes articles qui traitent cette partie ( étude avant d’aller vers Azure AD )  de manière technique ici :


Une fois l’identité validée, il faudra se pencher sur les autres briques que vous pouvez hybrider dans ce cas à savoir :

  •         La messagerie avec Exchange
  •         Le service SharePoint
  •         SCCM avec Intune ( qui sera bientôt plus possible)

Les postes de travail :
Partie très est importante, les postes de travail, il est nécessaire de bien réfléchir à comment vous allez les manager, les sécuriser et surtout au travers de quel moyen. Alors ici, comme pour l’identité, nous allons pouvoir hybrider les postes de travail et le joindre dans Azure Active Directory au même temps qu’il sont joint à l’Active Directory interne.



L’intérêt ? c’est de permettre la gestion et le contrôle du poste de travail au travers des deux mondes, on sera capable de pousser des stratégies de groupes ( GPO) et des policies Intune.  

Cette décision est importante, car elle modifiera le fonctionnement des postes d travail.

Bien entendu dans cette étape, il faudra étudier de manière granulaire les GPOs qui seront poussées et les policies Intune et éviter l’incohérence ou alors le fait d’avoir une GPO qui dit la même chose qu’une policie Intune. 

Les deux mondes doivent être complémentaires afin de vous apporter encore plus de sécurité et de la mobilité.  

Cette partie peut prendre en compte la partie Mobile, la force d’intune, c’est qu’il permet de traiter un poste de travail comme un appareil mobile, donc si vous avez envie d’ajouter la partie device ( Iphone, android, etc ) , pourquoi pas. Microsoft se veut cross Platform

Any Dev – Any App – Any Platform
La Sécurité :
Et oui, la Sécurité, la sécurité j’en parlerais toujours, car c’est l’un des points malheureusement le plus négligé dans tout projet, et ici nous sommes dans un contexte cloud, les enjeux de sécurité deviennent de plus en plus importants pour les entreprises, DSI et RSSI.

Avec comme EMS, comme nous l’avons vu, nous avons plusieurs couches de sécurité, qui vont permettre de sécuriser vos données, vos utilisateurs et vos appareils.

Une chose importante à faire avant de commencer est le Hardening des tenants ( Office 365, Azure ) à savoir les paramétrer avec les bons paramètres de sécurité.

Pour le tenant Office 365, vous pourrez aussi vous baser sur le secure score, : afin qu’il puisse vous donner le niveau de sécurité de votre tenant et vous donner quelques conseils afin de renforcer sa sécurité.

Exemple :


Ensuite en fonction de ce que vous avez définis, vous devez configure les features de sécurités suivantes :

-        Azure AD :
o   Access Conditionnel
o   Identity Protection
o   Smart Password
o   Azure MFA et AATP


Comme pour Office365, Azure AD dispose également de son secure score, qui vous permettra de voir le niveau de votre sécurité et d’apporter les modifications nécessaires pour le rendre encore plus sécurisé.




AIP :
o   Définition des Templates
o   Définition des classifications et des stratégies d’application – automatique ou pas
o   BYOK ou pas BYOK ?

Pour info, ce service peut également être hybridé avec des services on-prem comme Exchange, file serveur et SharePoint.
-       
    Cloud App Sécurité
o   Gouvernance
o   Création de policies et stratégies

Je ne parle pas encore de Microsoft ATA ou AATP, car ce n’est pas le sujet.

  
Gouvernance :
Une fois toutes ces étapes traités, il faudra penser à la gouvernance de tout cet Eco système à savoir Office 365, et EMS. Définir les bonnes personnes, les bons droits en fonction de la responsabilité de chaqu’un etc.

Et maintenant ? il reste plus qu’a déployer et commencer votre projet 😊 comme pour la partie 1, je vais introduire une brique qui nous permet la construction de ce rêve d’un monde mobile et sécurisé.
Je vais aborder dès à présent AIP ( Azure Information Protection).

Azure Information Protection 


AIP Azure Information Protection , est une solution intégrée dans la suite EMS qui permet de faire de la data classification et chiffrement des données ( fichiers et emails de l’entreprise) pour la petite histoire, ce service se nommait Azure RMS dans l’ancien portail Azure, et il traitait que la partie Right management à savoir le chiffrement et déchirement des données. Microsoft par la suite a acheté Secure Island afin d’apporter la couche classification.

Et le produit à était migré vers le nouveau portail Azure (V2 ) avec donc comme nouveau nom :
Azure Information Protection.

Les apports d’AIP :
       Classifier et chiffrer les documents – E-mails:
       Classification manuelle ou automatique des documents et E-Mails         
       Hello GDPR !
       Chiffrement des documents et E-Mails:
       Droit sur les fichiers
       Lecture
       Modification
       Full droit
       Mobilité:
       Access Offline
       Access offline limité dans le temps

       Partage de document :
       Partage sécurisé et contrôlé
       Limité dans le temps

       Départ collaborateur :
       Plus rien J une fois que le compte utilisateur est désactivé, l’utilisateur ne sera plus en mesure d’accéder aux données de l’entreprise
       AIP Scnner :
AIP scanner, permet de classifier les fichiers et documents de manière automatique en effectuant un scan au niveau des serveurs de fichiers ou encore sur les SharePoint servers.


       BYOK :
       Il sera possible de stocker la clé privé de chiffrement chez vous dans un boitier HSM par exemple, ce qui permettra d’avoir le contrôle sur votre clé privé.


Voici un exemple de création : classification :






Voici un exemple de création de Template  (je donne un accès qu'en lecture ) :



 Voici un exemple de classification et chiffrement automatique avec un pattern : 



Conclusion:

Vous l'aurez compris, le but de ces articles n'est pas vraiment technique mais pour donner une vision et un plan d'ensemble sur ce que l'on peut s'attendre du monder Workplace by Microsoft avec M365.

A la prochaine :) pour d'autres articles plus techniques , nous avons déjà effectué la partie identité avec Azure AD, nous attaquerons dans un prochain article la partie sécurité avec Azure AD, et AIP et ça sera occasion de vous présenter les nouveautés annoncés lors des Ignite 2018.

Cdt,
ST
Microsoft MVP

< >