(azure) active directory + byod = tranquillité d’esprit, chiche ! (2nde partie)
TRANSCRIPT
![Page 1: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/1.jpg)
AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
![Page 2: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/2.jpg)
SEC307
(Azure) Active Directory + BYOD = Tranquillité d’esprit, chiche ! (2nde Partie)Philippe Beraud
Jean-Yves Grasset
Direction technique et Sécurité
Microsoft France
http://aka.ms/hi
![Page 3: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/3.jpg)
tech.days 2015#mstechdays
![Page 4: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/4.jpg)
• Joindre un lieu de travail AD
• Authentification de l’appareil • Support intégré pour l’authentification multifacteur (MFA)
• Prise en charge extensible de fournisseurs d’authentification multifacteur avec des partenaires
![Page 5: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/5.jpg)
• Conception d’IHM réactive à destination des appareils
• Choix de l’authentification de l’utilisateur
• Messages d’accès refusé personnalisés par RP
![Page 6: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/6.jpg)
• Politique d’authentification configurable au niveau global
• Contrôle d’accès conditionnel configurable par application
![Page 7: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/7.jpg)
Start
Start
intranetextranet
Accès extranet
![Page 8: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/8.jpg)
tech.days 2015#mstechdays
![Page 9: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/9.jpg)
tech.days 2015#mstechdays
![Page 10: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/10.jpg)
tech.days 2015#mstechdays
![Page 11: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/11.jpg)
tech.days 2015#mstechdays
![Page 12: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/12.jpg)
tech.days 2015#mstechdays
…
![Page 13: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/13.jpg)
•
•
- Par défaut – Authentification Windows intégrée (WIA)
- Options : - WIA avec bascule sur les formulaires,
- Authentification par formulaires,
- Authentification par certificat/carte à puce
•
- Par défaut – Authentification par formulaires
- Options :- Authentification par formulaires,
- Authentification par certificat/carte à puce
PS > Get/Set-AdfsGlobalAuthenticationPolicy
![Page 14: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/14.jpg)
tech.days 2015#mstechdays
•
••
•
•
•
•
PS > $ExtranetObservationWindow = New-Timespan -Minutes 30
PS > Set-ADFSProperties -EnableExtranetLockout $true –ExtranetLockoutThreshold 3
-ExtranetObservationWindow $ExtranetObservationWindow
![Page 15: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/15.jpg)
tech.days 2015#mstechdays
![Page 16: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/16.jpg)
tech.days 2015#mstechdays
![Page 17: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/17.jpg)
•
•
•
•
•
•authenticationmethod multipleauthn
.
![Page 18: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/18.jpg)
* MFATriggerClaimRule – Règle de revendication sDéclencheur MFA au format chaîne de caractères.
PS > Set-AdfsRelyingPartyTrust –
AdditionalAuthenticationRules $MFATriggerClaimRule
PS > Set-AdfsAdditionalAuthenticationRule –
AdditionalAuthenticationRules $MFATriggerClaimRule*
![Page 19: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/19.jpg)
The Federation Service could not authorize token issuance for caller ‘DOMAIN\User’. The caller is not authorized to request a token for the relying party 'urn:dumptoken'. See event 501 with the same Instance ID for caller identity.
Additional Data Instance ID: xxxxxxxxxxx Relying party: yyyy Exception details: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity xxxxxx for relying party trust yyyy.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.ProcessCoreAsyncResult.End(IAsyncResult ar)at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.EndProcessCore(IAsyncResult ar, String requestAction, String responseAction, String
trustNamespace) User Action Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party.
Problème : Les règles MFA bloquent l’accès depuis les protocoles actifs (Office 365 – Lync, Outlook etc.)
Solution : Utiliser la revendication ‘x-ms-endpoint-absolute-path’ pour dispenser un point de terminaison actif de devoir faire une
authentification multifacteur dans votre règle de déclencheur
Note : ‘adfs/ls’ Requêtes WS-Fed, SAML
‘/adfs/oauth2’ Requêtes OAuth
Règle exemples:
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] &&
c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path",
Value =~ `"(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value
= "http://schemas.microsoft.com/claims/multipleauthn");
![Page 20: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/20.jpg)
tech.days 2015#mstechdays
![Page 21: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/21.jpg)
•
• Si de multiples méthodes d’authentification supplémentaires sont
activées
•
PS > Set-AdfsGlobalAuthenticationPolicy –
AdditionalAuthenticationProvider “CertificateAuthentication”
![Page 22: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/22.jpg)
tech.days 2015#mstechdays
•
••
•
•
•
•
•
http://technet.microsoft.com/en-us/library/dn280949.aspx
![Page 23: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/23.jpg)
tech.days 2015#mstechdays
www.gemalto.com/identity
![Page 24: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/24.jpg)
tech.days 2015#mstechdays
![Page 25: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/25.jpg)
tech.days 2015#mstechdays
![Page 26: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/26.jpg)
•
•
•
•
•
•
•
•
•
•
•
•
![Page 27: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/27.jpg)
tech.days 2015#mstechdays
![Page 28: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/28.jpg)
tech.days 2015#mstechdays
![Page 29: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/29.jpg)
tech.days 2015#mstechdays
Start
![Page 30: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/30.jpg)
tech.days 2015#mstechdays
![Page 31: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/31.jpg)
tech.days 2015#mstechdays
![Page 32: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/32.jpg)
tech.days 2015#mstechdays
![Page 33: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/33.jpg)
![Page 34: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/34.jpg)
![Page 35: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/35.jpg)
tech.days 2015#mstechdays
![Page 36: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/36.jpg)
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr
![Page 37: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/37.jpg)
tech.days 2015#mstechdays
![Page 38: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/38.jpg)
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid SID de groupe principal en refus seul de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid SID principal en refus seul de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid SID de groupe de l’utilisateur
Vous pouvez utiliser cette revendication pour vérifier si l’utilisateur est membre d’un groupe
donné.
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid SID de groupe principal de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid SID principal de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname Nom du compte de domaine de l’utilisateur sous la forme domaine\utilisateur
http://schemas.xmlsoap.org/claims/CommonName Nom courant de l’utilisateur
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid SID de groupe en refus seul de l’utilisateur
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Nom unique de l’utilisateur
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn UPN (Nom principal de l’utilisateur) de l’utilisateur
http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname Nom d’affichage de l’enregistrement de l’appareil
http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier Identificateur de l’appareil
http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser L’utilisateur est enregistré pour utiliser cet appareil
Lorsque la valeur de cette revendication est true, cela signifie que l’utilisateur qui est
authentifié est celui qui a enregistré à l’origine l’appareil.
http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype Type d’OS de l’appareil
http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion Version de l’OS de l’appareil
![Page 39: (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)](https://reader030.vdocuments.net/reader030/viewer/2022032617/55aa2f791a28ab47598b4685/html5/thumbnails/39.jpg)
http://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id Identificateur pour une session utilisateur (à des fins de diagnostic)
http://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid Identificateur pour la ressource/RP
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application Type d’application client
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip Adresse IP du client
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent Type d’appareil utilisé par le client pour accéder à l’application
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
Chemin absolu du point de terminaison qui peut être utilisé pour distinguer un client actif
d’un client passif. Comme l’authentification multifacteur est seulement prise en charge pour
les applications navigateur, vous pouvez utiliser cette revendication pour distinguer les
requêtes émanant d’un navigateur de celles qui ne le sont pas, dans l’hypothèse où vous
auriez les deux sortes de protocoles dans la même relation de confiance, ce qui est
typiquement le cas lorsque des jetons délivrés à un STS fournisseur de fédération.
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip Adresse IP de l’utilisateur
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy Nom DNS du proxy d’application web (WAP) par lequel est passée la requête
http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork Utilisé pour indiquer si la requête a pour origine le réseau d’entreprise. Lorsque cette valeur
est false, cela signifie que la requête est passée à travers le proxy d’application web. A true,
cela signifie que la requête vient directement du navigateur vers le STS.
http://schemas.microsoft.com/2012/12/certificatecontext/* (multiple claim types)
Revendications qui représentent différents champs et extensions du certificat client X509
lorsque utilisé comme méthode d’authentification
Un cas d’usage intéressant ici est d’utiliser la revendication EKU
(http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku) pour vérifier si
l'utilisateur a utilisé une carte à puce (l’EKU exacte dépend de l'infrastructure PKI du client)
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod La méthode d’authentification principale utilisée pour authentifier l’utilisateur
http://schemas.microsoft.com/claims/authnmethodsreferences Utilisée pour indiquer toutes les méthodes d’authentification utilisée pour authentifier
l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant Utilisée pour afficher la date et l’heure auxquelles l’utilisateur a été authentifié