Office365 est une solution basée sur le cloud qui fournit des solutions hébergées de messagerie électronique, de collaboration et de messagerie instantanée, permettant aux organisations de mettre rapidement en œuvre ces capacités sans avoir besoin de mettre en place de grandes infrastructures internes pour prendre en charge les produits. Toutefois, lorsque les entreprises envisagent de passer à des solutions basées sur le cloud, et à Office365 en particulier, il convient de faire preuve de diligence et de planification pour préparer l'infrastructure de sécurité interne et l'aspect de l'expérience utilisateur. Vous pouvez commencer à préparer votre déploiement en trois étapes (nous supposons, bien sûr, que le service Office365 lui-même est sécurisé).
Les étapes sont les suivantes :
- Étape 1 : Identité et activation de l'accès client à Office365
- Étape 2 : Fédération entre AD FS en nuage et sur site
- Étape 3 : Protection d'Office365 à l'aide d'AD RMS sur site
Étape 1 : Identité et activation de l'accès client à Office365
La première étape de la préparation de votre infrastructure pour Office365 est basée sur la gestion des identités et la charge de trafic de la passerelle web. Office365, ainsi que la plupart des solutions basées sur le cloud, exigent que vous fournissiez des utilisateurs au service cloud et que vous gériez les identités et les attributs de ces utilisateurs, tels que les informations sur les rôles, les informations sur les contacts, etc. Office365 comprend un outil DirSync pour faciliter le provisionnement initial et la synchronisation des utilisateurs dans le service ; cependant, l'axiome "garbage in, garbage out" s'applique toujours ici, et les données d'Office365 ne seront bonnes que dans la mesure où les données de votre forêt Active Directory de production le seront également. Pour garantir un Active Directory correct, normalisé et propre, une organisation doit avoir un processus de gestion des identités bien défini, et un outil de classe entreprise pour faciliter la synchronisation des informations d'attributs, ainsi qu'un processus de provisionnement/déprovisionnement cohérent. Forefront Identity Manager (FIM) 2010 est la solution de Microsoft pour la gestion, le provisionnement et la synchronisation des identités, ainsi que pour les outils d'autogestion des utilisateurs. Après la gestion des identités, il faudra accorder de l'attention et de la planification aux passerelles internes et périmétriques, en particulier si le filtrage du trafic web ou l'inspection https sont utilisés. Étant donné que tous les accès à Office365 se font via l'Internet public (cela va sans dire), les organisations peuvent s'attendre à une charge importante sur leurs dispositifs de filtrage et doivent prendre en compte les connexions et le trafic supplémentaires, soit en développant leurs solutions actuelles par l'ajout de nouvelles hardware, soit en mettant à niveau les hardware existantes. La meilleure façon d'y parvenir est de mettre en place une infrastructure de surveillance fiable afin de recueillir des données réelles et de fonder les décisions relatives aux modifications de l'infrastructure sur ces données.
Étape 2 : Fédération entre AD FS en nuage et sur site
Dans le cadre des phases de planification initiales, les organisations doivent examiner et comprendre comment les utilisateurs s'authentifieront auprès d'Office365, qu'il s'agisse d'un nom d'utilisateur et d'un mot de passe dédiés et distincts ou d'une solution d'authentification unique utilisant des services de fédération. La fédération est un ensemble de normes qui définissent comment les organisations peuvent accéder en toute sécurité aux ressources d'autres organisations, sans avoir à gérer des identités disparates pour chaque système. La fédération, et AD Federation Services en particulier, permet aux utilisateurs de s'authentifier auprès de leur Active Directory de production, d'obtenir un jeton ou une demande, et de transmettre cette demande à Office365 pour l'accès. Cette méthode est transparente pour l'utilisateur final et permet un déploiement beaucoup plus sûr et moins pénible pour l'utilisateur, qui n'aura jamais besoin de connaître son mot de passe pour accéder à l'infrastructure d'Office365. Pour mettre en œuvre la fédération, il faut un serveur de fédération qui créera la demande correcte pour le service fédéré (Office365). Il s'agit d'une solution sur site et, en fonction de vos besoins, il peut être nécessaire d'envisager l'utilisation d'un serveur proxy ADFS, qui peut traiter les demandes de jetons de fédération provenant d'utilisateurs externes. La fédération avec Office365, comme avec la plupart des autres solutions cloud, est une proposition tout ou rien - vous devez soit fédérer tous les utilisateurs, soit aucun. Ceci étant dit, il est recommandé de valider la fédération avec une instance de test dédiée d'Office365 lors de la planification de la migration, et d'obtenir les commentaires des utilisateurs finaux sur l'expérience globale.
Étape 3 : Protection d'Office365 à l'aide d'AD RMS sur site
À ce stade, l'accès des utilisateurs à Office 365 est activé, nos périphériques réseau sont en bon état et nous disposons de l'authentification unique ! La vie est belle, le DSI est heureux et le service informatique célèbre la mise hors service de l'ancienne infrastructure Exchange. Cependant, une voix solitaire parmi la foule en liesse demande : " Qu'en est-il de la sécurisation du contenu à l'intérieur d'Office365 ? " Certes, nous savons que l'application est sécurisée et que les centres de données hébergeant les serveurs sont plus difficiles à pénétrer que Fort Knox, mais qu'en est-il des informations, des documents et de la propriété intellectuelle stockés dans le nuage, dans Exchange et dans SharePoint ? C'est là qu'interviennent les services de gestion des droits d'Active Directory. Active Directory Rights Management Services (ou ADRMS) est un produit de gestion des droits de l'information qui crypte et définit les activités autorisées pour le contenu stocké dans un partage de fichiers, sur SharePoint ou dans Exchange. Office365 est compatible avec ADRMS, mais les organisations devront héberger leur propre infrastructure pour permettre aux utilisateurs d'obtenir les bons certificats afin d'ouvrir et d'accéder au contenu. Une fois cette infrastructure mise en place sur site, les entreprises devront synchroniser les clés de chiffrement avec Office365 et publier l'infrastructure RMS dans le monde extérieur, afin que les utilisateurs puissent ouvrir leur contenu de manière transparente.
Résumé
Office365 est une excellente offre de services pour les entreprises de taille moyenne ; toutefois, il convient de prêter attention à sa propre infrastructure de sécurité, à ses processus et à ses technologies dans le cadre du déploiement global, et de ne pas considérer le déploiement d'Office365 comme un simple exercice de migration de données. Une fois que vous aurez pris en charge tous les aspects de l'infrastructure de sécurité, les entreprises trouveront l'expérience de la migration plus satisfaisante et atteindront davantage les objectifs de l'entreprise qu'une simple migration.
