Présentation de Microsoft Enterprise Mobility + Security (EMS)

Présentation de la solution Microsoft de gestion de la mobilité et de la sécurité sur des environnements Cloud et/ou On-Premise communément appelée EMS

Introduction

Lors de précédents articles, nous avons couvert des sujets tels que Azure MFA, la compliance avec SecureScore, Azure Migrate, Exchange Online, ATA etc…

Tous ces articles ont évidemment des liens entre eux et nous avons décidé de faire un focus sur la sécurité ! Raison pour laquelle l’article d’aujourd’hui se concentre sur la solution EMS (Enterprise mobility + Security).

La sécurité de nos jours est omniprésente, elle touche toutes les briques de nos systèmes d’information.

Nous rencontrons de plus en plus de cyberattaques et celles-ci peuvent être de tous genres, ce qui obligent les éditeurs à innover afin de proposer à leurs clients les meilleurs moyens afin de s’en prémunir.

Microsoft a donc mis à disposition pour ses clients une suite appelée Microsoft Enterprise Mobility + Security ayant pour objectif de sécuriser et piloter ses identités, ses équipements et ses données.

Entreprise Mobility + Security

EMS en quelques mots ?

EMS est une suite de composants qui permet de répondre à plusieurs besoins des entreprises en termes de mobilité, productivité et sécurité.

EMS se compose de :

  • Azure Active Directory : C’est le point central, c’est l’annuaire qui permet de gérer l’identité cloud, cette identité peut être « basée sur le cloud » ou alors synchronisée depuis un Active Directory local, c’est le point central de cette suiteVue globale d’un annuaire AD local synchronisé vers azure AD :

EMS-design

 

  • Azure information protection : Solution qui permet de faire de la « data classification » au sein des systèmes d’information, elle permet de classifier les documents et les e-mails. AIP permet également de chiffrer ceux-ci afin d’apporter de la sécurité au niveau de la consultation et de gérer les droits des accès aux documents internes de l’entreprise.AIP fonctionne avec Azure AD en mode « full cloud » ou alors avec un Azure AD ayant des utilisateurs synchronisés depuis un AD Local :

EMS-Deploiement AIP

Le mode de déploiement d‘Azure Information Protection :

  • Full Cloud
  • Hybride, afin de connecter vos servers on-premise : serveur exchange, serveur de fichiers ou encore votre SharePoint à AIP via un RMS Connector, comme ci-dessous :

EMS-Deploiement AIP2

  • Cloud App Security : Élément essentiel dans un monde qui devient de plus en plus cloud. Cloud App Security va permettre de garder le contrôle des activités des utilisateurs internes. Elle est capable de proposer des rapports complets sur l’utilisation des applications cloud des utilisateurs, ce qui permet de mieux contrôler ses données. Elle permet également de se protéger en détectant des anomalies et incidents basés sur une analyse comportementale des utilisateurs et de leur accès.
  • Intune : Intune est un MDM ( Mobile Device Management ) composant bien connu qui permet de gérer les appareils d’entreprise ( iPhone, Android, Windows 10 ). Intune permet également de faire du MAM ( Mobile Application Management) afin de gérer les applications d’entreprise de façon sécurisée ; Intune permet de garder le contrôle sur les devices d’entreprise et également faire du BYOD, ce qui offre à vos utilisateurs une mobilité saine sans corrompre la sécurité de votre système d’information.
  • Microsoft Advanced Threat Analytics : Microsoft ATA est une solution basée sur du machine Learning qui, via une analyse comportementale, va permettre de sécuriser votre système d’information en se basant sur un élément essentiel : l’Active Directory interne. ATA va collecter et analyser tous le trafic de l’AD et en fonction de ce qu’il aura appris, il vous alertera sur les incidents et anomalies que vous avez en interne (vous pouvez consulter notre article sur ATA publié précédemment en cliquant ici)
    L’architecture de Microsoft ATA est composée de plusieurs éléments :
    • D’un ATA center : le cerveau de la solution qui traite le trafic reçu, analyse, envoie les alertes et les stock également dans une base de données MongoDB.
    • La passerelle ATA : l’ATA Gateway, c’est un élément important, car c’est lui qui capture le trafic de l’AD (Kerberos, DNS, et tout ce qui passe dans l’AD) et l’envoi pour analyse à l’ATA Center.
    Il y a deux types de passerelle :
    • la Gateway classique : celle-ci capture le trafic des DCs via du port mirroring au niveau physique si nous sommes dans une architecture virtualisée, sinon via un switch physique dans le cas ou nous avons une infrastructure physique.
    • l’ATA LightWeight Gateway : celle-ci est un agent directement installé sur le DC, et c’est le DC via cet agent qui se chargera de capturer et d’envoyer son trafic à l’ATA center

EMS-ATA

    • Azure Threat Protection : Azure ATP est un ATA as a Service basé sur le cloud de Microsoft, qui permet via des sensor installés sur des ATA Gateway classiques ou sur les DC, de capturer le trafic AD et de l’analyser comme le fait Microsoft ATA. Il est aussi capable de briser les chaines de cyberattaques telle que la reconnaissance, le mouvement latéral et la persistance.

EMS-ATP

Il est à noter que Azure AATP est disponible avec le plan EMS E5.

NB : Il faut savoir que tous ces composants sont « cloud based », sauf la solution Microsoft ATA, qui reste une solution on-premise. Mais Azure ATP vient pallier ce manque et propose un ATA as a Service dans le cloud de Microsoft.

EMS et les licences

Microsoft a mis au point deux niveaux de licence, à savoir :

  • EMS E3
  • EMS E5

Le mode EMS E3 offre :

  • Azure AD P1
  • Intune
  • Azure Information Protection P1 (AIP)
  • Advanced Threat Analytics (ATA)

Tandis que EMS E5 :

  • Azure AD P1
  • Intune
  • Azure Information Protection P2 ( AIP)
  • Cloud App Security
  • Azure Advanced Threat Analytics (Azure ATP)

Ces plans peuvent être acquis de plusieurs manières. AiM vous propose le programme CSP (Cloud Solution Provider) afin d’obtenir ces plans.

Les avantages principaux du CSP à travers AiM :

  • De meilleurs prix que ceux annoncés sur le site de Microsoft
  • Une flexibilité sur la gestion et l’assignement des licences (je ne paye que ce que j’utilise)
  • Une facturation émise par AiM, donc pas besoin de fournir votre carte de crédit à Microsoft

Conclusion

EMS est une solution qui vous permettra d’augmenter la productivité de vos salariés toute en gardant le contrôle de votre système d’information. Certains outils de cette solution permettent de répondre aux problématiques de la RGPD (notamment AIP), ce qui permet de mieux gérer les informations personnelles de vos salariés ou même de vos clients et partenaires.

Les briques EMS peuvent s’implémenter de manière complètement indépendante, il faut savoir que la base est Azure AD, une fois azure AD déployé, il est possible de mettre en place les briques EMS step by step, cette méthode permet d’appréhender au mieux ces nouvelles technologies et de mieux les implémenter afin de répondre à vos besoins de mobilité et de sécurité.

Pour tous projets, design, mise en place et troubleshooting, vous pouvez consulter notre pôle infrastructure et cloud afin de vous aider à mieux maitriser et à déployer ces technologies.

Nos architectes sont expérimentés et ont d’ores et déjà à leur actif de nombreuses réalisations de déploiement EMS au sein d’environnements complexes (bancaire, voyage, secteur public)