EMS - fnac-static.com · 2018-01-05 · Valuable Professional) Enterprise Mobi-lity. Il transmet au...

EMS

ISSN

: 19

60-3

444

ISBN

: 97

8-2-

409-

0118

5-6

54 €

EMS Gestion et sécurité des ressources de l’entreprise dans le cloud

Nicolas BONNET est Consultant et For-mateur sur les systèmes d’exploitation Microsoft depuis plusieurs années. Il est certifié MCT (Microsoft Certified Trai-ner) et reconnu Microsoft MVP (Most Valuable Professional) Enterprise Mobi-lity. Il transmet au lecteur, à travers cet ouvrage, toute son expérience sur la ges-tion de la mobilité dans les entreprises. Ses qualités pédagogiques aboutissent à un livre réellement efficace sur la suite Enterprise Mobility de Microsoft.

Préface de Karelle Robinet – Enterprise Mobility & Security Product Manager chez Microsoft France

Ce livre sur la suite Enterprise Mobility & Security (EMS) de Microsoft a pour objectif de donner aux membres d’une équipe IT les connaissances nécessaires pour maîtriser la gestion et la sécurité des ressources de leur entreprise dans un contexte de mobilité. L’auteur donne la possibilité au lecteur de créer un bac à sable pour mettre en pratique les fonctionnalités étudiées dans les différents chapitres.

En premier lieu, le livre traite de la gestion des identités et des accès utilisateurs dans un service cloud avec Azure Active Directory. Le lecteur peut ainsi appréhender les notions telles que la synchronisation d’une base Active Directory, la création de comptes utilisateurs, la réinitialisation d’un mot de passe ou encore la mise en place de la fonctionnalité Cloud App Discovery.

La suite du livre détaille la fonctionnalité Azure Information Protection et sa mise en place, utile à une entreprise pour assurer la confidentialité nécessaire de ses documents et de ses données. L’auteur y étudie également les stratégies de sécurité à mettre en place.

La mobilité allant de pair avec la gestion des équipements mobiles (de types iOS, Android ou Windows Mobile), l’auteur décrit cet aspect avec la mise en place de Microsoft Intune, en mode autonome depuis une interface web ou en mode hybride via System Center Configuration Manager.

Le livre se termine avec l’étude des différentes fonctionnalités de la solution on-premise Microsoft ATA (Advanced Threat Analy-tics) qui permet de gérer la sécurité du réseau de l’entreprise en identifiant des comportements anormaux.

EMS Gestion et sécurité des ressources

de l’entreprise dans le cloud

Nicolas BONNET

Préface • Introduction • Création du bac à sable • Azure Active Direc-tory • Gestion des utilisateurs • Mise en place d’Azure Information Protection • Création des règles et sécurisation • Mise en place d’Intune en mode autonome • Mise en place d’Intune en mode hybride • Advanced Threat Analytics

Les chapitres du livre

Pour plus d’informations : Préface de Karelle Robinet – Enterprise Mobility

& Security Product Manager chez Microsoft France

Ges

tion

et s

écur

ité d

es re

ssou

rces

de

l’en

trep

rise

dan

s le

clo

ud

1Table des matières

Préface

Chapitre 1Introduction

1. Organisation du livre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2. Mobilité en entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.1 Pourquoi EMS ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.1.1 Gestion des identités et des accès . . . . . . . . . . . . . . . . . . . 102.1.2 Gestion de la mobilité et des applications. . . . . . . . . . . . . 112.1.3 Protection des informations. . . . . . . . . . . . . . . . . . . . . . . . 122.1.4 Gestion des comportements anormaux . . . . . . . . . . . . . . 13

2.2 Licences pour la suite EMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Chapitre 2Création du bac à sable

1. Bac à sable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.1 Configuration nécessaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.2 Installation de Windows Server 2012 R2 . . . . . . . . . . . . . . . . . . 16

2. Mise en place du bac à sable. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1 Schéma de la maquette . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.1.1 Machine virtuelle AD1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.1.2 Machine virtuelle SV-SCCM . . . . . . . . . . . . . . . . . . . . . . . 312.1.3 Machine virtuelle CLI10-01 . . . . . . . . . . . . . . . . . . . . . . . . 322.1.4 Machine virtuelle WinPhone 10 . . . . . . . . . . . . . . . . . . . . 32

2.2 Mise en place d'un annuaire Active Directory et d'un serveur DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412.2.1 Installation d'un annuaire Active Directory . . . . . . . . . . . 412.2.2 Installation du serveur DHCP . . . . . . . . . . . . . . . . . . . . . . 45

lcroise

Tampon

2Gestion et sécurité des ressources de l’entreprise dans le cloud

EMS

2.3 Mise en place de SCCM 1702 . . . . . . . . . . . . . . . . . . . . . . . . . . . 502.3.1 Installation de SQL Server 2016 . . . . . . . . . . . . . . . . . . . . 502.3.2 Installation des prérequis pour SCCM . . . . . . . . . . . . . . . 622.3.3 Installation de SCCM 1702 . . . . . . . . . . . . . . . . . . . . . . . . 732.3.4 Configuration de SCCM 1702 . . . . . . . . . . . . . . . . . . . . . . 80

Chapitre 3Azure Active Directory

1. Présentation d'Azure AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

2. Éditions d'Azure AD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882.1 Édition gratuite (free). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 882.2 Édition de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892.3 Édition Premium. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

3. Activation d'Azure AD Premium. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

4. Comptes utilisateur et groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

5. Ajout d'un utilisateur manuellement . . . . . . . . . . . . . . . . . . . . . . . . . 935.1 Via l'interface graphique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 935.2 En ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

6. Synchronisation avec AD on-premise . . . . . . . . . . . . . . . . . . . . . . . . 1046.1 Fonctionnement de l'outil Azure AD Connect. . . . . . . . . . . . . 1056.2 Scénarios de synchronisation. . . . . . . . . . . . . . . . . . . . . . . . . . . 1066.3 Prérequis pour la synchronisation . . . . . . . . . . . . . . . . . . . . . . . 1086.4 Ports et protocoles utilisés pour la synchronisation. . . . . . . . . 1106.5 Attributs synchronisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

7. Mise en place de la synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . 1147.1 Configuration des prérequis. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1147.2 Synchronisation d’une base Active Directory . . . . . . . . . . . . . 1237.3 Attribution d’une licence Premium. . . . . . . . . . . . . . . . . . . . . . 130

8. Utilisation d'un service ADFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139


9. Mise en place des groupes dans Azure AD . . . . . . . . . . . . . . . . . . . . 1409.1 Délégation de l’appartenance à un groupe . . . . . . . . . . . . . . . . 1439.2 Mise en place des groupes dynamiques. . . . . . . . . . . . . . . . . . . 158

10. Authentification forte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16410.1 Présentation de l'authentification forte . . . . . . . . . . . . . . . . . . 16510.2 Mise en place des différentes solutions . . . . . . . . . . . . . . . . . . . 166

11. Jonction d'un poste Windows 10 à Azure AD . . . . . . . . . . . . . . . . . 178

Chapitre 4Gestion des utilisateurs

1. Azure AD et les applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1871.1 Applications dans Azure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1871.2 Cloud App Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

1.2.1 Fonctionnement de l'agent. . . . . . . . . . . . . . . . . . . . . . . . 1901.2.2 Mise en place de Cloud App Discovery. . . . . . . . . . . . . . 190

2. Ajout d'une application dans le portail . . . . . . . . . . . . . . . . . . . . . . . 2042.1 Attribution d'une application à un utilisateur . . . . . . . . . . . . . 2102.2 Authentification des applications . . . . . . . . . . . . . . . . . . . . . . . 217

2.2.1 Authentification avec les identifiants de l'utilisateur . . 2172.2.2 Authentification à l'aide d'un compte partagé . . . . . . . . 223

3. Portails web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2253.1 Personnalisation du portail web . . . . . . . . . . . . . . . . . . . . . . . . 2263.2 Portail libre-service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

4. Rapports avec Azure AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

5. Azure Active Directory B2C et B2B . . . . . . . . . . . . . . . . . . . . . . . . . 2425.1 Azure Active Directory B2C . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

5.1.1 Création d'un annuaire B2C . . . . . . . . . . . . . . . . . . . . . . 2435.1.2 Ajout d'une application . . . . . . . . . . . . . . . . . . . . . . . . . . 2555.1.3 Configuration des stratégies . . . . . . . . . . . . . . . . . . . . . . 257

5.2 Azure Active Directory B2B. . . . . . . . . . . . . . . . . . . . . . . . . . . . 264


EMS

Chapitre 5Mise en place d'Azure Information Protection

1. La fonctionnalité Azure Information Protection . . . . . . . . . . . . . . . 2691.1 Présentation de la fonctionnalité. . . . . . . . . . . . . . . . . . . . . . . . 2691.2 Problèmes résolus par Azure Information Protection . . . . . . . 270

1.2.1 Équipements et services pris en charge . . . . . . . . . . . . . . 2711.3 Comparaison entre Azure

Information Protection et AD RMS . . . . . . . . . . . . . . . . . . . . . 271

2. Fonctionnement d'Azure Information Protection . . . . . . . . . . . . . . 2722.1 Opérations effectuées en amont

de la protection du document . . . . . . . . . . . . . . . . . . . . . . . . . . 2722.2 Opérations effectuées lors de la protection du document . . . . 2722.3 Accès au document protégé . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

3. Prérequis pour Azure Information Protection . . . . . . . . . . . . . . . . . 273

4. Activation de la fonctionnalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Chapitre 6Création des règles et sécurisation

1. Configuration des modèles personnalisés . . . . . . . . . . . . . . . . . . . . . 2811.1 Création, configuration et publication de stratégie . . . . . . . . . 2811.2 Supprimer une stratégie existante. . . . . . . . . . . . . . . . . . . . . . . 3001.3 Cmdlets PowerShell pour Azure Information Protection . . . . 302

2. Protection des documents avec Azure Information Protection. . . . 3072.1 Protection des documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3072.2 Suivi des documents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

3. Création d'un super utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332

4. Vue d’ensemble du connecteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334


Chapitre 7Mise en place d’Intune en mode autonome

1. Microsoft Intune autonome ou hybride . . . . . . . . . . . . . . . . . . . . . . 3351.1 Mode autonome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3351.2 Mode hybride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

2. Présentation de la solution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3372.1 Appareils mobiles pris en charge . . . . . . . . . . . . . . . . . . . . . . . . 3382.2 Vues d’ensemble des différents scénarios de gestion . . . . . . . . 3382.3 Définition de l'autorité MDM . . . . . . . . . . . . . . . . . . . . . . . . . . 3392.4 Mise en place de conditions générales personnalisables. . . . . . 3412.5 Attribution de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349

3. Gestion des appareils mobiles avec Intune . . . . . . . . . . . . . . . . . . . . 3493.1 Prise en charge d'équipements Windows . . . . . . . . . . . . . . . . . 3503.2 Prise en charge et ajout d'équipements IOS . . . . . . . . . . . . . . . 3563.3 Prise en charge et ajout d'équipements Android. . . . . . . . . . . . 3783.4 Prise en charge et ajout d'équipements Windows Phone. . . . . 3923.5 Gestionnaire d'inscription d'appareils . . . . . . . . . . . . . . . . . . . . 3983.6 Mappage de groupe d'appareils . . . . . . . . . . . . . . . . . . . . . . . . . 3983.7 Accès à l'inventaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405

3.7.1 Collecte pour toutes les plateformes . . . . . . . . . . . . . . . . 4053.7.2 Collecte pour les équipements Mac OS X. . . . . . . . . . . . 4063.7.3 Collecte pour les équipements IOS,

Windows et Android . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4063.7.4 Accès à l'inventaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

4. Configuration d'une politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4114.1 Mise en place d'une règle de sécurité . . . . . . . . . . . . . . . . . . . . . 4124.2 Ajout d'un profil Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4234.3 Ajout d'un profil e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4264.4 Ajout d'un profil VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4304.5 Mise en place d'une stratégie personnalisée . . . . . . . . . . . . . . . 434


EMS

5. Accès conditionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4395.1 Fonctionnement des accès conditionnels . . . . . . . . . . . . . . . . . 4405.2 Accès conditionnel pour Exchange Online . . . . . . . . . . . . . . . . 441

6. Déploiement d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4526.1 Déploiement d'une application d'un store public . . . . . . . . . . . 4536.2 Déploiement d'une application Android for Work. . . . . . . . . . 460

7. Suppression des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4677.1 Suppression complète. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4687.2 Suppression sélective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468

7.2.1 Données supprimées sur un IOS . . . . . . . . . . . . . . . . . . . 4687.2.2 Données supprimées sur un Android . . . . . . . . . . . . . . . 4697.2.3 Données supprimées sur un Android for Work . . . . . . . 469

7.3 Suppression sélective depuis le portail Azure . . . . . . . . . . . . . . 4697.4 Suppression complète depuis le portail Azure . . . . . . . . . . . . . 4717.5 Suppression depuis le portail utilisateur . . . . . . . . . . . . . . . . . . 473

Chapitre 8Mise en place d’Intune en mode hybride

1. Réinitialisation de l'autorité MDM . . . . . . . . . . . . . . . . . . . . . . . . . . 4771.1 Réinitialisation de l'autorité MDM pour SCCM . . . . . . . . . . . 4781.2 Réinitialisation de l'autorité MDM pour Intune

en mode autonome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480

2. Gestion des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4842.1 Attribution des licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4842.2 Synchronisation de l'annuaire Active Directory. . . . . . . . . . . . 4862.3 Création d'un regroupement d'utilisateurs . . . . . . . . . . . . . . . . 4872.4 Configuration de SCCM pour utiliser Intune . . . . . . . . . . . . . 4922.5 Prise en charge d'équipements IOS . . . . . . . . . . . . . . . . . . . . . . 4992.6 Prise en charge d'équipements Android for Work . . . . . . . . . . 5062.7 Prise en charge d'équipements Windows Phone. . . . . . . . . . . . 510


3. Inscription des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5123.1 Équipements de type IOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5133.2 Équipements de type Windows Phone . . . . . . . . . . . . . . . . . . . 5203.3 Équipements de type Android for Work . . . . . . . . . . . . . . . . . . 525

4. Utilisation d'Intune et de SCCM. . . . . . . . . . . . . . . . . . . . . . . . . . . . 5364.1 Accès à l'inventaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5364.2 Création des collections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5374.3 Opérations effectuées sur l'équipement . . . . . . . . . . . . . . . . . . 544

5. Configuration des stratégies pour les équipements . . . . . . . . . . . . . 5465.1 Mise en place d'une stratégie de sécurité et de configuration . 5465.2 Mise en place d'une stratégie de conformité . . . . . . . . . . . . . . . 5575.3 Ajout d'un profil Wi-Fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5645.4 Ajout d'un profil e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570

6. Déploiement d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5746.1 Déploiement d'une application d'un store public . . . . . . . . . . . 5746.2 Déploiement d'une application Android for Work. . . . . . . . . . 5826.3 Gestion des applications managées . . . . . . . . . . . . . . . . . . . . . . 591

6.3.1 Applications managées dans SCCM . . . . . . . . . . . . . . . . 5926.3.2 Applications managées dans Intune

en mode autonome. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6036.3.3 Applications managées sans inscription

de l'équipement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609

7. Suppression des équipements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6197.1 Suppression complète. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6197.2 Suppression sélective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621


EMS

Chapitre 9Advanced Threat Analytics

1. Présentation de Advanced Threat Analytics (ATA). . . . . . . . . . . . . 6251.1 Fonctionnement d'ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6251.2 Utilité d'ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6261.3 Composants de ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627

1.3.1 Centre ATA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6281.3.2 Passerelle ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628

1.4 Prérequis pour ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6291.4.1 Prérequis pour le centre ATA. . . . . . . . . . . . . . . . . . . . . . 6301.4.2 Prérequis pour la passerelle ATA . . . . . . . . . . . . . . . . . . . 6321.4.3 Prérequis pour la console ATA. . . . . . . . . . . . . . . . . . . . . 635

2. Installation et configuration d'ATA . . . . . . . . . . . . . . . . . . . . . . . . . 6352.1 Installation d'ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6352.2 Configuration d'ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6402.3 Installation de la passerelle ATA . . . . . . . . . . . . . . . . . . . . . . . . 6432.4 Configuration de la collecte des événements . . . . . . . . . . . . . . 6522.5 Validation du bon fonctionnement. . . . . . . . . . . . . . . . . . . . . . 6622.6 Simulation d'une attaque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664

3. Rapports dans ATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

Chapitre 6

Création des règles et sécurisation

Création des règles et sécurisation1. Configuration des modèles personnalisés

Suite à l'activation d’Azure Information Protection, des modèles d’étiquettessont par défaut disponibles. Ils peuvent être utilisés immédiatement.

Il est également possible de créer ses propres modèles afin de répondre à unbesoin spécifique. En procédant à la création de nouveaux modèles, il estpossible de limiter la publication à quelques utilisateurs (VIP par exemple). Deplus, seuls les droits souhaités sont configurés.

1.1 Création, configuration et publication de stratégie

La première opération à effectuer consiste à procéder à la création d'une stra-tégie.

dAccédez à la console Azure (azure.microsoft.com).

lcroise

Tampon

283Création des règles et sécurisationChapitre 6

dUne fenêtre s'affiche. Cliquez sur Sécurité + Identité.

© E

dit

ions

EN

I -

All r

ights

rese

rved


EMS

dUne fenêtre contenant les applications proposées s'affiche. Cliquez surAzure Information Protection.

285Création des règles et sécurisationChapitre 6

dCochez la case Épingler au tableau de bord, puis cliquez sur Créer.

© E

dit

ions

EN

I -

All r

ights

rese

rved


EMS

La création est en cours. Il est possible de configurer maintenant la nouvellestratégie.

dCliquez sur Stratégies étendues, puis sur Ajouter une nouvelle straté-gie.

dSaisissez Utilisateurs VIP dans le champ Nom de stratégie, puis un textedans Description de la stratégie.

EMS - fnac-static.com · 2018-01-05 · Valuable Professional) Enterprise Mobi-lity. Il transmet au...

Documents

Transcript of EMS - fnac-static.com · 2018-01-05 · Valuable Professional) Enterprise Mobi-lity. Il transmet au...