La mise en place de la suite collaborative Microsoft 365 débute en général par la messagerie (ce qui induit la gestion de l’identité) puis les solutions collaboratives sont activées et les données de l’entreprise sont copiées / déplacées / créées sur le cloud.
La bonne utilisation des nouveaux outils ne suffit pas, le véritable enjeu consiste à faire évoluer les usages informatiques des utilisateurs afin de faciliter les échanges d’informations et le travail collaboratif tout en respectant les politiques de sécurité.
Plusieurs approches de déploiement des solutions Microsoft 365 sont possibles
DÉTERMINER LA PORTÉE DE CHAQUE OUTIL ET LES USAGES ASSOCIÉS ET OPTER POUR UN DÉPLOIEMENT PROGRESSIF
Messagerie -> OneDrive -> Teams et donc SharePoint -> Automatisation & Reporting…
Cette approche est idéale mais implique le référencement des solutions actuellement en fonction et des usages métiers associés, la montée en compétence des équipes techniques, la mise à jour des process de formation, des actions de gouvernance et l’accompagnement des utilisateurs dans la prise en main des solutions (conduite du changement)…
La DSI propose, supporte et accompagne l’évolution progressive du catalogue de services du SI (en fonction des aléas, plusieurs organisations ont « subies » l’ouverture massive de Teams lors du COVID)
OUVRIR L’INTÉGRALITÉ DES SERVICES M365 DISPONIBLES
Cette approche délègue auprès des utilisateurs finaux la mise à jour des méthodes de travail et induit certains compromis car certains usages pourraient être en désaccord avec la politique de sécurité du SI (il est toujours plus simple de définir et d’appliquer des règles en amont de l’utilisation des solutions)
OPTER POUR UN COMPROMIS
En l’occurrence la mise à disposition des services actés comme pertinents auprès des utilisateurs et l’accompagnement d’un panel d’utilisateurs référents qui vont permettre la diffusion des bonnes pratiques et des règles du jeu
La revue régulière des configurations Microsoft 365 est induite car cette suite collaborative évolue en continue et les paramètres par défaut sont très permissifs (invitation des invités par des invités, partage anonyme, création de tenant…).
Microsoft 365 dispose de plusieurs solutions qui permettent
de faciliter et sécuriser au maximum ces nouvelles méthodes de travail :
Solution cloud de gestion des identités et des accès, qui permet de gérer les conditions d’accès au SI (SSO, accès conditionnel …)
Solution cloud de gestion de parc qui permet le contrôle et la gestion à distance des appareils (patch mangement, déploiement d’application, gestion de la sécurité…)
https://learn.microsoft.com/en-us/mem/intune/fundamentals/what-is-intune
Solution cloud de protection documentaire qui permet de découvrir, classifier et protéger des informations sensibles où qu’elles soient positionnées
https://learn.microsoft.com/en-us/purview/information-protection
Qui est dédié à la protection de l’environnement numérique de travail des utilisateurs (messagerie, poste de travail, identité, …), son objectif étant de centraliser au sein d’une même interface tous les indicateurs de sécurité collectés par les solutions de sécurité Microsoft afin de déterminer l’historique de l’attaque et en faciliter la remédiation.
Defender for Office 365 pour la protection de la messagerie et des espaces collaboratifs (Teams / SharePoint)
Defender for Endpoint pour la protection des postes de travails
Defender for Cloud Apps pour la protection de l’activité cloud des utilisateurs et l’identification du utilisation de solutions tierces non maitrisées, donc non sécurisées, par la DSI
Defender for Identity pour la protection des identités au sein d’Active Directory
https://learn.microsoft.com/en-us/defender-cloud-apps/what-is-defender-for-cloud-apps
Defender for Identity pour la protection des identités au sein d’Active Directory
https://learn.microsoft.com/en-us/defender-for-identity/what-is
Entra ID Identity Protection pour la protection des identités au sein d’Entra ID
Exemple de démarches techniques de mise en place
d’une gestion moderne et sécurisée
PHASE 1
Mise en fonction d’Office 365
et applications des best practices de configuration
PHASE 2
Mise en place / optimisation de la protection messagerie
EOP
Defender for Office
SPF / DKIM / DMARC
PHASE 3
Mise en place d’une identité managée par Entra ID (avec SSPR)
Entra ID Connect / Cloud Sync
Cross tenant synchronization
Décommissionnement ADFS
PHASE 4
Mise en place du MFA
pour les comptes à priviléges
PHASE 5
Interfaçage des Web Apps avec Entra ID
Nativement
Azure App Proxy
PHASE 6
Publication des Desktop Apps
avec Azure Virtual Desktop
PHASE 7
Migration des données personnelles
des utilisateurs dans OneDrive
PHASE 8
Migration des données communes des utilisateursdans des collections de site SharePoint Online et/ou Azure File / Blob…
PHASE 9
Mise en place du SSO
pour toutes les applications interfacées avec Entra ID
PHASE 10
Protection des identités
Entra ID et Password Protection
(Entra et AD)
PHASE 11
Mise en place d’Intunecomme solution de MDM + EDR
PHASE 12
Mise en place de l’accès conditionnel
PHASE 13
Mise en place du MFA pour tous les utilisateurs
(avec accès conditionnel et compliance du device)
PHASE 14
Activation Defender for Cloud Apps
(protection des applications cloud)
PHASE 15
Mise en place de la protection des données
(Purview)
PHASE 16
Mise en place de la gouvernance
Des identités
Des données
Des périphériques
Des espaces collaboratifs
Notre expertise technique et nos retours d’expériences sur les solutions Microsoft nous permettent d’adresser toutes les actions liées à la mise en place de ces solutions techniques, tout en permettant la montée en compétence de vos équipes informatiques afin qu’elles soient autonomes dans l’administration quotidienne de ces services.
Microsoft 365 représente une part importante de notre activité, que ce soit sur la mise en place, la migration (fusion, cession…), l’optimisation (automatisation par exemple), la sécurisation ou la gouvernance (et la sortie récente de Copilot devrait augmenter les besoins de nos clients en termes de protection des données).
Par où commencer ?
Nous intervenons régulièrement sur l’audit et la sécurisation de tenant Microsoft, les objectifs étant :
Solutions annexes capitalisées
BitTitan
Pour la migration des contenus
Barracuda / Cloud To Cloud Backup
Pour la sauvegarde des contenus Microsoft 365
LetSignIT
Pour unifier les signatures des messages électroniques et produire des campagnes marketing