Dans notre dernier article nous avions pu voir la mise en place d'étiquettes pour protéger nos documents partagés dans OneDrive par exemple.
Aujourd'hui la plupart des entreprises utilisent encore des serveurs de fichiers en local.
Dans cet article nous allons démontrer comment sécuriser de la même façon que OneDrive nos serveurs de fichiers en local.
Avant de lancer la démonstration, ci-dessous un schéma représentant la configuration et le fonctionnement.
Un serveur hébergeant le "Scanner Azure Information Protection" avec une base "SQL ou SQL express" est installé en local.
Ce serveur "Scanner Azure Information" va analyser les documents présents sur les serveurs de fichiers ou serveurs SharePoint, stocker ces informations dans la base "SQL" et va ensuite envoyer les informations collectées vers "Azure Information Protection", ce qui va ensuite permettre d'appliquer les différentes "étiquettes" aux documents.
Dans cette démonstration, nous allons donc installer le "Scanner Azure Information Protection" avec les configurations suivantes:
- Un serveur AIP Scanner en Windows 2019 Server
- La dernière version du client AIP https://www.microsoft.com/en-gb/download/details.aspx?id=53018
- SQL Express 2016: https://www.microsoft.com/fr-fr/download/details.aspx?id=56840
Une fois le serveur Windows 2019 Server prêt, nous installons "SQL Server Express"
Nous installons ensuite le client Azure Information Protection.
Nous créons ensuite un compte de service AIP.
Point très important: Normalement pour plus de sécurité, ce compte de service ne doit pas être synchronisé avec Azure AD.
Pour cet article, ce compte sera synchronisé avec Azure AD pour ce labo de test mais non recommandé en production.
Plus d'informations: https://docs.microsoft.com/en-us/azure/information-protection/deploy-aip-scanner
Ce compte de service sera membres du groupe local "Administrateurs"
Nous lançons ensuite une fenêtre PowerShell.
Nous créons ensuite une instance SQL avec la commande suivantes:
Install-AIPScanner -SqlServerInstance AIPSRV\SQLEXPRESS
Authentifiez-vous avec votre compte de service.
L'écran ci-dessous nous montre le bon fonctionnement.
La partie "On-Premises" est maintenant terminée.
Nous allons maintenant nous connecter sur le portail "Azure AD Connect".
L'objectif va être d'obtenir un jeton Azure AD pour que le "Scanner AIP" puisse s'authentifié sur "Azure Information Protection"
Une fois arrivé sur le portail, dirigez-vous vers "Inscriptions des applications".
Cliquer sur "Nouvelle inscription d'applications"
Entrer les informations ci-dessous:
L'inscription de l'application est maintenant terminée.
Nous allons maintenant donner les autorisations à cette application.
Pour cela, nous allons nous diriger sur la droite en cliquant sur "Autorisations requises"
Cliquer ensuite sur "Accorder des autorisations"
Valider sur "oui"
Les autorisations on été correctement accordées.
Nous allons maintenant créer une clé.
Cette clé va nous permettre de sécuriser les échanges entre nos utilisateurs Azure AD, nos applications Web créées et notre Scanner "AIP On-premises".
Sur la droite de l'application cliquer sur clés.
Ajouter votre description ainsi que la date d'expiration.
L'ID (valeur) sera automatiquement généré, il faudra juste bien le copier pour la suite.
Nous créons ensuite une autre application avec les informations ci-dessous:
La nouvelle application est maintenant créée.
Nous allons maintenant ajouter l'application créée précédemment (AIPApp) aux autorisations de l'application "AIPFront"
Cliquer sur "ajouter" et sélectionner l'API.
Sélectionner les autorisations.
Cliquer sur terminé.
Les autorisations ont maintenant été ajoutés.
Dernière étape, sur le serveur Scanner AIP nous allons lancer la commande PowerShell ci-dessous pour que notre serveur puisse récupérer son jeton Azure AD.
Set-AIPAuthentication -WebAppId “Id AIPApp” -WebAppKey “Clé AIPApp” -NativeAppId “Application ID de l' Application AIPFront”
Vous devrez vous authentifier avec votre compte Azure.
Valider sur "Accepter" au message ci-dessous:
Maintenant, nous allons indiquer à notre serveur "Scanner AIP" quels répertoires de serveurs de fichiers ou SharePoint sera à analyser.
Add-AIPScannerRepository -Path “\\AD2019\partage”
La commande Remove-AIPScannerRepository permet de supprimer le répertoire.
La commande Get-AIPScannerRepository permet de voir les répertoires analysés.
Nous pouvons voir que notre "Scanner AIP" remonte bien la console "Azure Information Protection"
La commande ci-dessous permet de forcer la planification de l'analyse:
Set-AIPScannerConfiguration -Enforce On -Schedule Always
Nous pouvons maintenant vérifier que les étiquettes s'appliquent correctement sur nos serveurs de fichiers.
Dans cet article, nous avons pu voir la sécurisation de nos fichiers On-Premises avec "Azure Information Protection".
A bientôt. 😏
Aucun commentaire:
Enregistrer un commentaire