Evaluation de Enterprise Mobility + Security. Première partie : souscription à un abonnement d’évaluation

By Antoine DENTANADFS, Authentification, AZURE, EMS, identité, MFA, multi facteur, Office 365

Je vous propose une série d’articles traitant de la suite EMS (Enterprise Mobility + Security). Cette offre est destinée aux entreprises souhaitant aborder de façon sécurisée les problématiques liées à la mobilité :

  • Authentification unifiée pour l’ensemble des applications d’entreprise
  • Règles d’authentification adaptables au contexte
  • Service de réinitialisation des mots de passe
  • Protection des identités d’entreprise
  • Gestion des périphériques mobiles
  • Protection du contenu des données d’entreprise
  • Publication sécurisée des applications d’entreprise

Pas mal de choses à aborder donc, mais pour ce premier article nous nous contenterons de mettre en place les briques de la solution en souscrivant un abonnement que nous intégrerons à un abonnement Azure et que nous compléterons par un abonnement Office 365.

Souscription à un abonnement d’essai Enterprise Mobility + Security (EMS)

Enterprise Mobility + Security inclut entre autres les services en ligne suivants:

  • Microsoft Intune
  • Microsoft Azure Active Directory Premium
  • Microsoft Azure Rights Management
  • Azure Application Proxy

Le détail de l’offre se trouve sur la page http://www.microsoft.com/enus/servercloud/enterprisemobility/

Pour pouvoir gérer tous ces services de manière unifiée, vous devrez vous assurer qu’ils soient associés à une même instance Azure Active Directory. Pour cette raison, la procédure de configuration de l’abonnement d’essai doit comprendre les étapes suivantes :

  • Création d’un abonnement d’essai EMS et d’un abonnement d’essai Office 365. Office 365 est nécessaire pour l’utilisation de fonctionnalités Intune.
  • Ajout de l’évaluation de Intune à l’abonnement Office 365. En suivant la procédure décrite ci-après, cette étape est faite automatiquement.
  • Activation des fonctionnalités Azure Active Directory Premium et Azure RMS Depuis le portail « Azure Management portal »

Depuis un navigateur Internet, se rendre sur la https://www.microsoft.com/fr-fr/cloud-platform/enterprise-mobility-security-trial

et choisir l’option « Essayer maintenant »

Sur la page d’inscription, saisissez votre nom, email ainsi que le nom de votre entreprise :

Sur la page Create your User ID, entrez un nom d’utilisateur et un nom de domaine unique (par exemple le nom de votre entreprise) ainsi qu’un mot de passe. Si le nom de domaine est disponible, une coche verte apparaitra.

Sur la page Prove that you are not a robot, choisissez l’option Text me, entrez votre numéro de téléphone mobile et cliquez Text me.

Sur la page Prove that you are not a robot, entrez le code reçu par SMS.

Sur la page Save this info, notez l’URL du portail et le compte que vous avez créé, choisissez You’re ready to go.

Le portail Office 365 est accessible sur la page https://portal.office.com avec les identifiants créés.

Accès au portail Microsoft Intune

Lors de la souscription EMS, un abonnement Intune est créé sur la même instance Azure Active Directory, et donc avec le même compte d’utilisateur

Le portail Microsoft Intune Admin Portal vous permet de configurer votre environnement Microsoft Intune : ajouter des ordinateurs et des périphériques mobiles, déployer des mises à jour, configurer la protection virale sur les ordinateurs gérés, déployer des applications, gérer les licences et des rapports. C’est l’interface d’administration pour utiliser Microsoft Intune en tant que solution MDM (Mobile Device Manager).

Il est accessible sur la page https://admin.manage.microsoft.com/

La gestion des comptes d’utilisateurs se fait depuis le portail Office 365. Par défaut, les comptes d’utilisateurs seront créés dans l’espace de noms correspondant au domaine souscrit par défaut (votredomaine.onmicrosoft.com).

Accès à l’instance Azure AD depuis le portail Microsoft Azure (classic)

Certaines fonctionnalités de EMS ne sont actuellement accessibles qu’au travers du portail Microsoft Azure Classic (https://manage.windowsazure.com). Il s’agit entre autres des fonctionnalités Azure AD Premium, Azure Information Protection, Multifactor Authentication. Ces fonctionnalités seront portées à terme sur le portail moderne (https://portal.azure.com )

Pour accéder à ce portail (https://manage.windowsazure.com), il est nécessaire de disposer d’un abonnement Azure, qui peut être un abonnement existant ou un abonnement d’essai. En effet, même si l’abonnement d’essai EMS inclut une instance Azure AD, cela n’inclut pas l’abonnement d’essai à Microsoft Azure, qui doit être acquis séparément.

Acquisition d’un abonnement Azure

L’assistant de mise en service Enterprise Mobility Suite va vous permettre de créer un abonnement d’essai à Microsoft Azure. Cliquez sur Start

Vous serez invité à créer un abonnement Microsoft Azure. Sélectionnez votre pays dans la liste déroulante et cliquez sur Azure Subscription

à propos de vous, remplissez vos informations et cliquez suivant

Sur la page d’inscription Vérification d’identité par téléphone, saisissez votre numéro de téléphone mobile, cliquez Envoyer un message texte puis saisissez le code reçu par SMS

Sur la page d’inscription Vérification d’identité par carte, saisissez les identifiants de votre carte bancaire. Ceci est uniquement à des fins de vérification d’identité. La carte ne sera pas débitée à moins que vous ne passiez volontairement à un abonnement payant.

Rattachement à un abonnement Azure existant

Il est également possible de rattacher l’abonnement d’essai EMS à un abonnement Azure existant en utilisant la procédure suivante.

Fermez toutes les fenêtres de votre navigateur Internet et si nécessaire, effacez le cache du navigateur. Ceci est nécessaire pour supprimer toutes les identités en cache dans le navigateur. Vous pouvez également lancer une fenêtre de navigation en mode In Private

Depuis votre navigateur, rendez-vous sur https://manage.windowsazure.com/ et saisissez l’identifiant associé à votre abonnement Azure :

Saisissez le mot de passe et cliquez Sign in.

Sur la page Microsoft Azure, sur la partie gauche, cliquez Active Directory pour visualiser les instances Azure AD associées à votre abonnement Azure

Cliquez New, Directory, Custom Create. Choisissez l’option Use existing directory puis cochez la case I am ready to be signed out now puis cliquez sur la coche en bas à droite

Sur la page Microsoft Azure, choisissez Use another account. Utilisez le compte que vous avez créé lors de l’inscription à votre abonnement EMS d’essai.

Sur la page de confirmation, cliquez Continue.

Sur la page de confirmation, cliquez Sign out now. Vous serez déconnecté de votre instance.

Sur la page de login Microsoft Azure, choisissez l’identifiant Microsoft associé à l’abonnement Azure auquel vous souhaitez rattacher l’abonnement EMS

Sur la page Microsoft Azure, dans la partie gauche, cliquez Active Directory pour visualiser les propriétés de la nouvelle instance Azure AD ajoutée.

Cliquez sur l’instance pour accéder à ses propriétés puis sur Licences. Vous devez visualiser les 100 licences EMS souscrites avec l’abonnement d’essai EMS

Attribution de licences EMS

Nous allons à présent créer des comptes d’utilisateur et leur attribuer une licence EMS. Cette opération peut être faite depuis le portail Windows Azure Classic (https://manage.windowsazure.com) ou depuis le portail Office 365 (https://portal.office.com).

Attribution de licence EMS depuis le portail Windows Azure Classic

Pour créer un utilisateur dans Azure AD, cliquez Users , puis Add User. Choisissez New user in your organization, saisissez un nom et cliquez sur la flèche en bas à droite

Sur la fenêtre User Profile, saisissez les détails, choisissez l’option Enable Multi-Factor Authentication si besoin et cliquez sur la flèche en bas à droite

Sur la fenêtre Get temporary password, cliquez Create

Sur la fenêtre Get temporary password, notez le mot de passe temporaire et cliquez sur la coche en bas à droite


Le nouvel utilisateur fait partie des utilisateurs de l’instance Azure AD

Pour attribuer les licences EMS, cliquez Licenses puis Enterprise Mobility Suite. Cliquez Assign

Choisissez Show
All Users puis cliquez sur la coche. Choisissez un utilisateur dans la liste puis cliquez Assign.

Choisissez les utilisateurs auxquels vous souhaitez attribuer une licence EMS, puis cliquez Assign

Le statut de licence EMS pour l’utilisateur affichera Enabled.

Attribution de licence EMS depuis le portail Office 365

Depuis le portail Office 365, dans la section Users, cliquez Add a user

Remplissez les champs de saisie

Choisissez les licences de produit a attribuer à l’utilisateur. Nous ne disposons pour l’instant que des licences EMS car nous n’avons pas encore d’abonnement Office 365

Une fois l’utilisateur créé, il sera possible de lui associer des paramètres d’authentification multifacteur.

Cette même console permet de gérer les exceptions à l’authentification multifacteur.

Inscription à un abonnement d’essai Office 365

Nous utilisons le portail Office 365 pour gérer nos utilisateurs mais sans avoir accès pour l’instant aux applications Office 365 (Services Online). Pour ajouter ces fonctionnalités , il est nécessaire de souscrire un abonnement. Pour cela, rendez vous sur le portail Office 365, et dans la section Billing, choisissez Purchase services. Il est possible de souscrire un abonnement d’essai à différents plans d’Office 365 pour 25 utilisateurs

Une fois l’abonnement souscrit, le portail Office 365 présente un assistant de mise en service.

Cet assistant va vous permettre de configurer votre espace applicatif Office 365 :

  • Ajout d’un nom de domaine personnalisé
  • Ajout de comptes d’utilisateurs
  • Téléchargement des applications Office
  • Rattachement du nom de domaine aux services Office 365 (Exchange Online, Skype)

L’ajout d’un nom de domaine personnalisé nécessite que vous possédiez un nom de domaine sur Internet et que vous puissiez en modifier les enregistrements

Après avoir renseigné le nom de domaine, la vérification de propriété se fait par création un enregistrement TXT dans la zone. Une fois l’enregistrement TXT créé, cliquez Verify

Une fois le domaine vérifié, l’assistant propose de créer des comptes d’utilisateurs

Si des comptes d’utilisateurs ont été créés, leurs mots de passe temporaires sont affichés sur la page suivante, il est également possible de télécharger un fichier .CSV de ces mots de passe.

L’étape suivante permet de télécharger les applications Office associées à votre abonnement

L’étape suivante permet de migrer les email d’un système de messagerie existant vers Office 365

L’étape suivante permet de vérifier les enregistrements DNS nécessaires au système de messagerie

Il est possible de laisser l’assistant gérer les services DNS ou de les traiter manuellement. Dans ce cas, les enregistrements nécessaires vous seront indiqués avant que l’assistant ne procède à leur vérification.

Interconnexion avec votre annuaire d’entreprise.

Il est possible de connecter votre instance Azure AD à votre annuaire d’entreprise. Cette fonctionnalité permet d’établir une synchronisation entre plusieurs instances d’annuaire (Active Directory et Azure AD) et donc de peupler votre instance Azure AD sur la base de votre annuaire Active directory d’entreprise.

L’outil permettant ce fonctionnement se nomme Azure AD Connect, il doit être installé sur un serveur joint à votre domaine Active Directory. Vous pourrez le télécharger depuis le portail Microsoft Azure Classic dans les options de l’instance Azure AD :

Personnalisation de l’instance Azure AD

Depuis le portail Windows Azure Classic, sur la page Configure de votre instance Azure AD, vous pouvez modifier les paramètres de l’instance : nom de l’instance, personnalisation du portail utilisateur, stratégie de réinitialisation de mots de passe, notifications de sécurité, authentification multifacteur etc …

Applications Azure AD

Sur la page Applications de votre instance Azure AD, vous pouvez visualiser les applications configurées pour utiliser Azure AD comme fournisseur d’identités. Vous pouvez ajouter de nouvelles applications en cliquant Add

Sur la page What do you want to do? Cliquez Add an application from the gallery.

Sur la page Application Gallery, vous pouvez parcourir les applications disponibles. Il y a actuellement 2783 applications certifiées pouvant être configurées pour du single-sign-on intégré à Azure AD Premium.

Microsoft a travaillé en partenariat avec de nombreux fournisseurs Saas pour fournir de façon assez simple l’authentification intégrée avec Azure AD Premium. Les applications « Featured » offrent en outre le provisionnement et dé provisionnement automatique des comptes d’utilisateurs

Azure AD Premium fournit un ensemble de rapports permettant de suivre les activités liées à l’annuaire. Pour visualiser un rapport, cliquez sur le nom du rapport dans la liste.

Activation de Azure Information Protection

Azure Information Protection (AIP) est le nouveau nom de Azure Rights Management Services (Azure RMS). Cette fonctionnalité permet d’intégrer de la sécurité dans les fichiers et les e-mails en y intégrant des règles basées sur le contenu. Ainsi, selon la classification de leurs données (leur contenu), certains fichiers ne pourront pas être envoyés par e-mail, ne pourront pas être imprimés, ne pourront être échangés qu’en interne etc…

L’activation de AIP (RMS) se fait depuis le portail Azure Classic, dans la section Active Directory. Cliquez sur Rights Management :

Sur la page Active Directory Rights Management, choisissez votre instance Azure AD et cliquez Activate

Sur la page Are you sure to activate Rights Management validez votre choix

Votre instance Azure AD est à présent configurée pour fonctionner avec Azure RMS

Voilà qui clôt ce premier billet sur EMS. Nous disposons d’un abonnement EMS opérationnel, lié à un abonnement Azure et enrichi des fonctionnalités d’Office 365. Le prochain article sera consacré à la mise en place de la plateforme Azure AD Connect, pilier central de toutes les fonctionnalités liées à la gestion des identités.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *