OFFICE 365 MESSAGE ENCRYPTION OME

Bonjour à tous, petit article sur une fonctionnalité plutôt pratique dans "Exchange Online" à savoir "OFFICE 365 MESSAGE ENCRYPTION (OME)"

L'idée de cette fonctionnalité, est donc de pouvoir chiffrer des mails que l'on souhaite envoyer et accroître la sécurité des échanges par messagerie.

Le principe est d'envoyer un  mail chiffré  au destinataire qui reçoit un lien le redirigeant vers un portail de visualisation permettant de déchiffrer et lire ce message.

Ci-dessous l’illustration du fonctionnement:

Le chiffrement OME s'appuie sur la fonctionnalité "Azure RMS" faisant partie "Azure Information Protection".

Ci-dessous les différentes documentations sur le sujet:

https://docs.microsoft.com/fr-fr/microsoft-365/compliance/email-encryption

https://docs.microsoft.com/fr-fr/microsoft-365/compliance/ome

https://docs.microsoft.com/fr-fr/microsoft-365/compliance/set-up-new-message-encryption-capabilities#targetText=The%20new%20Office%20365%20Message,Gmail%2C%20and%20other%20email%20services.

Egalement la partie licencing et abonnements ainsi que les questions fréquemment posées:

https://docs.microsoft.com/en-us/microsoft-365/compliance/ome-faq

La première chose consiste à activer "Azure RMS" si ce n'est pas déjà le cas.

Pour cela, nous allons nous connecter sur le portail d'administration "Office 365".

Dans la partie "Paramètres" et "Services et confidentialités" et sélectionner "Microsoft Azure Information Protection".

Nous activons donc "Rights Management".

En me connectant sur "Exchange Online" en mode PowerShell, je lance la commande "Get-IRMConfiguration" pour me rendre compte que la fonctionnalité "AzureRMSLicencingEnabled", n'est pas activée.

Nous allons devoir l'activée.

Une fois connectée, nous allons lancer la commande suivante:

Set-IRMConfiguration -AzureRMSLicencingEnabled $True

Nous vérifions à nouveau la bonne application.

Dans la documentation Microsoft, il est recommandé de tester la bonne configuration.

Pour ce test, nous allons lancer la commande "Test-IRMConfiguration -Sender "adresse@mail.com" 

Le test est négatif car comme on peut le voir, la commande n'arrive pas à récupérer les "Template RMS".

La commande n'arrive pas à récupérer les Template car la  valeur "LicencingLocation" ci-dessous est vide.

Pour modifier cela, nous allons devoir importer le module "AIPService" si vous ne l'avez pas déjà.

Nous allons ensuite nous connecter au portail "AIP".

Lancer ensuite les commandes suivantes.

$RMSConfig = Get-AadrmConfiguration

$LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl

Set-IRMConfiguration -LicensingLocation $LicenseUri

Set-IRMConfiguration -InternalLicensingEnabled $true

Nous vérifions la bonne application en se connectant à nouveau sur la console "PowerShell d'Exchange Online".

Nous relançons le test qui cette fois si fonctionne.

Pour terminer, nous allons ajouter le bouton permettant de chiffrer à notre client de messagerie en tapant la commande PowerShell suivante:

"Set-IRMConfiguration -SimplifiedClientAccessEnabled $True"

Le bouton apparaît dans notre client Web, nous pouvons donc maintenant chiffrer nos mails manuellement.

Une fois le message envoyé, le destinataire reçois le mail ci-dessous:

Un code est ensuite envoyé à votre adresse mail.

Utilisez ensuite ce code secret pour décrypter le mail.

Dans cet article, nous avons pu voir comment chiffrer simplement un mail avec l'encryption OME dans Exchange Online.A bientôt. 😀😉

Vous pouvez maintenant consulter le mail chiffré.

Azure Information Protection (protection sur site)

Bonjour à tous, nous sommes de retour pour un nouvel article concernant "Azure Information Protection".

Dans notre dernier article nous avions pu voir la mise en place d'étiquettes pour protéger nos documents partagés dans OneDrive par exemple.

Aujourd'hui la plupart des entreprises utilisent encore des serveurs de fichiers en local.

Dans cet article nous allons démontrer comment sécuriser de la même façon que OneDrive nos serveurs de fichiers en local.

Avant de lancer la démonstration, ci-dessous un schéma représentant la configuration et le fonctionnement.

Un serveur hébergeant le "Scanner Azure Information Protection" avec une base "SQL ou SQL express" est installé en local.

Ce serveur "Scanner Azure Information"  va analyser les documents présents sur les serveurs de fichiers ou serveurs SharePoint, stocker ces informations dans la base "SQL" et va ensuite envoyer les informations collectées vers "Azure Information Protection", ce qui va ensuite permettre d'appliquer les différentes "étiquettes" aux documents. 

Dans cette démonstration, nous allons donc installer le "Scanner Azure Information Protection" avec les configurations suivantes:

- Un serveur AIP Scanner en Windows 2019 Server 

- La dernière version du client AIP https://www.microsoft.com/en-gb/download/details.aspx?id=53018

- SQL  Express 2016: https://www.microsoft.com/fr-fr/download/details.aspx?id=56840

Une fois le serveur Windows 2019 Server prêt, nous installons "SQL Server Express"

Nous installons ensuite le client Azure Information Protection.

 

Nous créons ensuite un compte de service AIP.

Point très important:  Normalement pour plus de sécurité, ce compte de service ne doit pas être synchronisé avec Azure AD.

Pour cet article, ce compte sera synchronisé avec Azure AD pour ce labo de test mais non recommandé en production.

Plus d'informations: https://docs.microsoft.com/en-us/azure/information-protection/deploy-aip-scanner

Ce compte de service sera membres du groupe local "Administrateurs"

Nous lançons ensuite une fenêtre PowerShell.

Nous créons ensuite une instance SQL avec la commande suivantes:

Install-AIPScanner -SqlServerInstance AIPSRV\SQLEXPRESS

Authentifiez-vous avec votre compte de service.

L'écran ci-dessous nous montre le bon fonctionnement.

La partie "On-Premises" est maintenant terminée.

Nous allons maintenant nous connecter sur le portail "Azure AD Connect".

L'objectif va être d'obtenir un jeton Azure AD pour que le "Scanner AIP" puisse s'authentifié sur "Azure Information Protection" 

 Une fois arrivé sur le portail, dirigez-vous vers "Inscriptions des applications".

Cliquer sur "Nouvelle inscription d'applications"

Entrer les informations ci-dessous:

L'inscription de l'application est maintenant terminée.

Nous allons maintenant donner les autorisations à cette application.

Pour cela, nous allons nous diriger sur la droite en cliquant sur "Autorisations requises"

Cliquer ensuite sur "Accorder des autorisations"

Valider sur "oui"

Les autorisations on été correctement accordées.

Nous allons maintenant créer une clé.

Cette clé va nous permettre de sécuriser les échanges entre nos utilisateurs Azure AD, nos applications Web créées et notre Scanner "AIP On-premises".

Sur la droite de l'application cliquer sur clés.

Ajouter votre description ainsi que la date d'expiration.

L'ID (valeur) sera automatiquement généré, il faudra juste bien le copier pour la suite.

Nous créons ensuite une autre application avec les informations ci-dessous:

La nouvelle application est maintenant créée. 

Nous allons maintenant ajouter l'application créée précédemment (AIPApp) aux autorisations de l'application "AIPFront"

Cliquer sur "ajouter" et sélectionner l'API.

Sélectionner les autorisations.

Cliquer sur terminé.

Les autorisations ont maintenant été ajoutés.

Dernière étape, sur le serveur Scanner AIP nous allons lancer la commande PowerShell ci-dessous pour que notre serveur puisse récupérer son jeton Azure AD. 

Set-AIPAuthentication -WebAppId “Id AIPApp” -WebAppKey “Clé AIPApp” -NativeAppId “Application ID de l' Application AIPFront”

Vous devrez vous authentifier avec votre compte Azure.

Valider sur "Accepter" au message ci-dessous:

Maintenant, nous allons indiquer à notre serveur "Scanner AIP" quels répertoires de serveurs de fichiers ou SharePoint sera à analyser.

Add-AIPScannerRepository -Path “\\AD2019\partage”

La commande Remove-AIPScannerRepository permet de supprimer le répertoire.

La commande Get-AIPScannerRepository permet de voir les répertoires analysés.     

Nous pouvons voir que notre "Scanner AIP" remonte bien la console "Azure Information Protection"

La commande ci-dessous permet de forcer la planification de l'analyse:

Set-AIPScannerConfiguration -Enforce On -Schedule Always

Nous pouvons maintenant vérifier que les étiquettes s'appliquent correctement sur nos serveurs de fichiers. 

Dans cet article, nous avons pu voir la sécurisation de nos fichiers On-Premises avec "Azure Information Protection".

A bientôt. 😏