Nous avons vu dans la partie 1 l’introduction au modern management, que vous pouvez trouver ici :
Nous avons vu ses apports, sa composition technologique
et sa place dans un futur proche dans nos systèmes d’informations.
De plus, je suis en ce moment aux Microsoft Ignite à Orlando , et on peut voir que Microsoft axe beaucoup sur ce thème avec beaucoup de sessions et de Workshop.
Dans cette seconde partie, nous allons aborder
plus en détail le processus qui vous permettra de franchir le cap et d’aller
vers ce modèle.
En résumé avec le modern management je
peux :
- M’affranchir de plusieurs briques on-premise
- D’avoir un annuaire IDaaS basé sur le cloud de Microsoft - Le fameux AzureAD
- D’avoir des postes de travail sécurisés et managés
- D’avoir le contrôle sur mes données, les classifier et les chiffrer ( avec Azure Information Protection)
- De permettre à mes utilisateurs de s’authentifier avec une seule identité sur plusieurs services et cloud de l’entreprise
- D’avoir le contrôle sur le flux et le Traffic des utilisateurs en ce qui concerne les applications et services cloud
- De sécuriser l’accès aux données de l’entreprise grâce à des règles et stratégies sur Azure Active Directory
- De protéger les mots de passe de mes utilisateurs avec le Smart Lockout
- De protéger mes utilisateurs contre les activités malveillantes avec Identity Protection
- D’offrir à mes utilisateurs un espace de collaboration ( partage de fichier stockage de données, partage de fichier de manière sécurisée et surtout contrôlée)
- D’offrir à mes utilisateurs une messagerie basée sur Exchange Online , système complètement sécurisée et gérée par Microsoft
- De donner à mes utilisateurs un espace collaboratif dans le quel ils pourront échanger des informations, échanger de manière instantanée grâce à Skype For business et le tout dans un outil convergé è Microsoft Teams
Comment ?
Deux scénarios pour moi qui sont les plus
visibles chez les clients :
·
Full Modern Modern Management : toutes les briques on-premise n’existent plus
au profit des briques M 365 ( rappelez-vous : Office365, EMS et Windows
10), ce cas reste encore rare, mais de plus en plus de clients ( PME , etc
) adoptent ce modèle et voient un réel
intérêt ( par rapport aux apports et avantages cités plus haut)
Ce modèle ressemble à ça : le système d'information repose uniquement sur le poste de travail de l'utilisateur finale, toutes la gestion du poste, de la sécurité se fait depuis le cloud de Microsoft à savoir Microsoft 365 :
Ce modèle ressemble à ça : le système d'information repose uniquement sur le poste de travail de l'utilisateur finale, toutes la gestion du poste, de la sécurité se fait depuis le cloud de Microsoft à savoir Microsoft 365 :
Modern Management hybride : Dans ce monde, nous avons les deux pieds sur
les deux mondes, à savoir le monde on-prem avec l’Active Directory, les
serveurs Exchange, SharePoint etc, et d’un autre coté nous sommes dans le Cloud avec ces mêmes briques, ceci est possible grâce à l’hybridation de ces
services, qui permettent aux entreprises de passer le cloud et modern management
en douceur.
Dans cette partie nous
allons traiter le modern management avec l’hybridation. Qui est la partie la
plus complexe et la plus intéressante pour moi lors des projets chez mes clients.
Par quoi commencer ?
Identification des besoins :
Avant tout projet, et
surtout pour ce type de projet, il faut définir les besoins IT et les
besoins utilisateurs. Car le but est de permettre à l’humain d’être plus
productif dans son travail, et ceci est valable aussi bien pour les IT que les
utilisateurs standards ( qui sont au centre des débats dans ce type de projet),
car il faudra accompagner ces utilisateurs afin qu’ils puissent adopter ces
nouveaux technologies et ces nouveaux usages.
Identification des briques techniques :
Dans cette phase, il
faudra définir ce que vous souhaitez faire avec les briques cloud que vous avez
à disposition, vous avez de la chance en générale, si on l’on étudie bien les
besoins de son entreprise et ses utilisateurs, cette partie devrait pas prendre
beaucoup de temps aux IT.
Car ici, il s’agit de
traiter les décisions à prendre à propos des briques que l’on souhaite hybrider
avec le cloud de Microsoft.
Une brique qui devra être
obligatoirement hybridée ( ou presque, ceci dépendra de la philosophie de
l’entreprise) , et vous l’aurez compris, la partie identité à savoir l’Active
Directory. Car pour la simple bonne raison, l’utilisateurs à besoin d’une
identité dans le cloud pour s’authentifier et consommer les services Cloud.
Mais quand je
mentionne le « ou presque » je fais référence à un annuaire IDaaS
From cloud, c’est-à-dire que l’entreprise peut très bien décider d’utiliser
uniquement l’Azure Active Directory comme source d’identité dans le cloud. Mais
ce modèle présente une limite.La multiplication des identités
pour les utilisateurs, car ces derniers, devront avoir deux comptes, leur
compte Active Directory interne pour consommer les ressources on-prem et un
autre cloud Azure Active Directory afin de consommer les services et ressources
cloud.
Avec l’hybridation de
la brique identité ( Active Directory) nous allons répondre à cette
problématique, en offrant aux utilisateurs une identité communs ( ressources
cloud & ressources on-prem).
Avec Azure Active
Directory, l’équation « une application
= une identité », devient obsolète et devient : « Une
identité commune pour toutes les applications. »
Résumé - Pour
l’extension de l’Active Directory vers Azure AD il y plusieurs choses à prendre
en compte :
-
L’architecture
AD :
o
Mono foret
– mono domaine
o
Mono Foret
– Multi domaines
o
Multi
foret – Multi domaine
o
Etc
-
Service
de fédération présents ( exemple ADFS, Ping Federate etc )
-
La
structure des objets et attributs AD (
correction des erreurs avec Idfix par exemple .. )
-
Moyen
d’authentification :
o
Hash
de hash de password
o
Federatie
o
Pass
Through
-
Stratégie
de synchronisation:
o
Quelles OUs, utilisateurs, population etc ..
o
Etc
Vous pouvez consulter tous mes articles qui
traitent cette partie ( étude avant d’aller vers Azure AD ) de manière technique ici :
Une fois l’identité validée, il faudra se pencher sur les autres briques que vous pouvez hybrider dans
ce cas à savoir :
- La messagerie avec Exchange
- Le service SharePoint
- SCCM avec Intune ( qui sera bientôt plus possible)
Les postes de travail :
Partie très est importante,
les postes de travail, il est nécessaire de bien réfléchir à comment vous allez
les manager, les sécuriser et surtout au travers de quel moyen. Alors ici,
comme pour l’identité, nous allons pouvoir hybrider les postes de travail et le
joindre dans Azure Active Directory au même temps qu’il sont joint à l’Active
Directory interne.
L’intérêt ? c’est
de permettre la gestion et le contrôle du poste de travail au travers des deux
mondes, on sera capable de pousser des stratégies de groupes ( GPO) et des
policies Intune.
Cette décision est importante,
car elle modifiera le fonctionnement des postes d travail.
Bien entendu dans
cette étape, il faudra étudier de manière granulaire les GPOs qui seront
poussées et les policies Intune et éviter l’incohérence ou alors le fait
d’avoir une GPO qui dit la même chose qu’une policie Intune.
Les deux mondes
doivent être complémentaires afin de vous apporter encore plus de sécurité et
de la mobilité.
Cette partie peut
prendre en compte la partie Mobile, la force d’intune, c’est qu’il permet de
traiter un poste de travail comme un appareil mobile, donc si vous avez envie
d’ajouter la partie device ( Iphone, android, etc ) , pourquoi
pas. Microsoft se veut
cross Platform
Any Dev – Any App – Any Platform
La Sécurité :
Et oui, la Sécurité, la
sécurité j’en parlerais toujours, car c’est l’un des points malheureusement le
plus négligé dans tout projet, et ici nous sommes dans un contexte cloud, les
enjeux de sécurité deviennent de plus en plus importants pour les entreprises,
DSI et RSSI.
Avec comme EMS, comme
nous l’avons vu, nous avons plusieurs couches de sécurité, qui vont permettre de
sécuriser vos données, vos utilisateurs et vos appareils.
Une chose importante à
faire avant de commencer est le Hardening
des tenants ( Office 365, Azure ) à savoir les paramétrer avec les bons paramètres
de sécurité.
Pour le tenant Office
365, vous pourrez aussi vous baser sur le secure score, : afin qu’il
puisse vous donner le niveau de sécurité de votre tenant et vous donner
quelques conseils afin de renforcer sa sécurité.
Exemple :
Exemple :
Ensuite en fonction de
ce que vous avez définis, vous devez configure les features de sécurités
suivantes :
-
Azure
AD :
o
Access
Conditionnel
o
Identity
Protection
o
Smart
Password
o
Azure MFA et AATP
Comme pour Office365,
Azure AD dispose également de son secure score, qui vous permettra de voir le
niveau de votre sécurité et d’apporter les modifications nécessaires pour le
rendre encore plus sécurisé.
AIP :
o
Définition
des Templates
o
Définition
des classifications et des stratégies d’application – automatique ou pas
o
BYOK ou
pas BYOK ?
Pour info, ce service peut également être hybridé avec des services on-prem comme Exchange, file serveur et SharePoint.
-
Pour info, ce service peut également être hybridé avec des services on-prem comme Exchange, file serveur et SharePoint.
Cloud App
Sécurité
o
Gouvernance
o
Création
de policies et stratégies
Je ne parle pas encore
de Microsoft ATA ou AATP, car ce n’est pas le sujet.
Gouvernance :
Une fois toutes ces
étapes traités, il faudra penser à la gouvernance de tout cet Eco système à
savoir Office 365, et EMS. Définir les bonnes personnes, les bons droits en fonction
de la responsabilité de chaqu’un etc.
Et maintenant ?
il reste plus qu’a déployer et commencer votre projet 😊 comme
pour la partie 1, je vais introduire une brique qui nous permet la construction
de ce rêve d’un monde mobile et sécurisé.
Je vais aborder dès à
présent AIP ( Azure Information Protection).
Azure Information Protection
Voici un exemple de classification
et chiffrement automatique avec un pattern :
Azure Information Protection
AIP Azure Information
Protection , est une solution intégrée dans la suite EMS qui permet de faire de
la data classification et chiffrement des données ( fichiers et emails de
l’entreprise) pour la petite histoire, ce service se nommait Azure RMS dans
l’ancien portail Azure, et il traitait que la partie Right management à savoir
le chiffrement et déchirement des données. Microsoft par la suite a acheté Secure Island afin d’apporter la couche
classification.
Et le produit à était
migré vers le nouveau portail Azure (V2 ) avec donc comme nouveau nom :
Azure Information
Protection.
Les apports
d’AIP :
•
Classifier
et chiffrer les documents – E-mails:
•
Classification
manuelle ou automatique des documents et E-Mails
•
Hello GDPR
!
•
Chiffrement
des documents et E-Mails:
•
Droit sur
les fichiers
•
Lecture
•
Modification
•
Full droit
•
Mobilité:
•
Access
Offline
•
Access
offline limité dans le temps
•
Partage de
document :
•
Partage
sécurisé et contrôlé
•
Limité
dans le temps
•
Départ
collaborateur :
•
Plus rien J une fois que le compte utilisateur est
désactivé, l’utilisateur ne sera plus en mesure d’accéder aux données de
l’entreprise
•
AIP
Scnner :
AIP scanner, permet de classifier les fichiers et documents de manière automatique en effectuant un scan au niveau des serveurs de fichiers ou encore sur les SharePoint servers.
•
BYOK :
•
Il sera
possible de stocker la clé privé de chiffrement chez vous dans un boitier HSM
par exemple, ce qui permettra d’avoir le contrôle sur votre clé privé.
Voici un exemple de création :
classification :
Voici un exemple de création
de Template (je donne un accès qu'en lecture ) :
Conclusion:
Vous l'aurez compris, le but de ces articles n'est pas vraiment technique mais pour donner une vision et un plan d'ensemble sur ce que l'on peut s'attendre du monder Workplace by Microsoft avec M365.
A la prochaine :) pour d'autres articles plus techniques , nous avons déjà effectué la partie identité avec Azure AD, nous attaquerons dans un prochain article la partie sécurité avec Azure AD, et AIP et ça sera occasion de vous présenter les nouveautés annoncés lors des Ignite 2018.
Cdt,
ST
Microsoft MVP
