Authentification multi facteurs avec Windows Azure Multi-Factor Authentication – partie 1

Microsoft a racheté il y a quelques mois la société PhoneFactor, et son service d’authentification a été intégré au sein de nos solutions en tant que Windows Azure Multi-Factor Authentication (pour les plus assidus, il s’est aussi appelé Windows Azure Active Authentication durant quelques semaines).

Restons simples : Il s’agit ici d’offrir à nos clients un service d’authentification multi facteur utilisant un système dont nous disposons normalement tous : le téléphone. Lorsqu’un utilisateur va s’authentifier sur des ressources de l’entreprise hébergées sur site ou même dans un cloud, en plus des credentials du domaine, l’utilisateur sera authentifié avec son téléphone.

L’objectif de cette série d’articles est de vous montrer comment mettre en œuvre pas à pas la solution pour protéger l’accès à différents types de ressources.

Nous aurons plusieurs articles dans cette série :

  1. Introduction à Windows Azure Multi-Factor Authentication (vous êtes ici)
  2. Installation et paramétrage du serveur Windows Azure Multi Factor Authentication
  3. Installation et paramétrage de Remote Desktop Gateway
  4. Installation et paramétrage du portail utilisateur
  5. Installation et paramétrage pour l’application mobile
  6. Installation et paramétrage pour ADFS

Méthodes d’authentification utilisables

A l’heure actuelle, les méthodes supportées pour s’authentifier sont :

  • Appel téléphonique automatisé : l’utilisateur doit répondre à l’appel et presser une touche ou un code PIN.
  • Echange de SMS : l’utilisateur reçoit un SMS avec code OTP (one-time password) avec ou sans envoi de code PIN préalable
  • Application sur téléphone ou tablette : une fois le périphérique associé à l’utilisateur, il génèrera un code d’authentification toujours avec la possibilité de saisie d’un code PIN préalable. L’application est présente sur les platerformes principales du marché :

WindowsStore_badge_black_en_small_40x125 google_pla_store_android itunes_en

Lien

Lien

Lien

Applications supportées

MFA permet de sécuriser l’accès à des applications directement dans un service de cloud comme Windows Azure, Office 365 et Dynamics CRM Online ou tout autre service qui s’intègre avec Windows Azure Active Directory.

Pour sécuriser des services dans vos datacenter, c’est aussi un composant serveur qui s’installe dans votre sur Windows Server et permet d’authentifier :

  • connexion Terminal Server
  • accès VPN
  • accès à la messagerie OWA
  • accès à ADFS
  • accès à une application IIS

Enfin c’est également un Software Development Kit pour intégrer la solution à un projet plus personnalisé.

En attendant la suite pour mettre en œuvre la technologie dans un environnement de test, quelques lectures :

Technical Scenarios for Windows Azure Multi-Factor Authentication – http://technet.microsoft.com/en-us/library/dn394279.aspx 

Windows Azure Multi-Factor Authentication Release Notes – http://technet.microsoft.com/en-us/library/dn465794.aspx 

Quelques exemples de mise en œuvre de la technologie chez Fredrikson & Byron, http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?casestudyid=710000003252

Pour tester Windows Azure Multi-Factor Authentication, vous pouvez évaluer Azure par ici : https://aka.ms/Azure0Euro

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Nouveautés de Windows 8.1 pour l’entreprise en un clin d’œil !

Windows 8.1 apporte beaucoup de nouveautés intéressantes, en voici une liste non exhaustive avec quelques liens sur des articles écrits récemment par les architectes de mon équipe : Pascal et Stanislas. Cette liste sera mise à jour au fur et à mesure que nous publions de nouveaux articles !

Bring Your Own Device

Mobilité

  • VPN : support de nouveaux protocoles EAP pour la majorité des serveurs VPN du marché
  • Mobile Broaband
  • Windows To Go (activation par défaut du store)
  • Broadband Tethering (partage de connexion 3G)
  • Auto-triggered VPN – VPN Connect

Sécurité

  • Remote Business Data Removal – Selective Wipe
  • Amélioration de biométrie
  • Device Encryption pour toutes les éditions de Windows
  • Support de FIPS dans Bitlocker
  • IE 11
  • Protection anti malware
  • Device lockdown

Modern UI

Autres

  • Support des proxy authentifiants
  • Intégration de SkyDrive
  • Assigned Access Mode (mode kiosque)

Inspiré de cet article : What’s New in Windows 8.1 – http://technet.microsoft.com/en-US/windows/dn140266.aspx 

Windows 8.1 sera disponible le 18 octobre et sera diffusé (entre autres) par mise à jour via la Store. En attendant vous pouvez télécharger la version Preview à cette adresse : http://windows.microsoft.com/fr-fr/windows-8/preview-iso 

Si  vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride par Microsoft, vous pouvez vous inscrire gratuitement à un de nos IT Camp : https://aka.ms/itCampFr.

Arnaud – les bons tuyaux

Windows 8.1 VPN Connect

Parmi les nouveautés de Windows 8.1, on compte quelques évolutions concernant les accès distants, dans ce blog nous en couvrirons un certain nombre, regardons aujourd’hui VPN Connect.

Le principe est simple : monter automatiquement une connexion VPN au réseau d’entreprise lorsque :

  • Une application (moderne ou classique) est lancée
  • La machine/application utilise un suffixe DNS particulier

      

Bref, une technologie qui permet un accès au réseau d’entreprise quasi transparent, cela devrait vous faire penser à DirectAccess !

Et bien pas du tout ! VPN Connect c’est une technologie d’accès facile et sécurisé au réseau d’entreprise dans le cadre du BYOD (Bring Your Own Device). On est assez loin du spectre de fonctionnalités offertes par DirectAccess comme l’accès transparent au réseau y compris avant le logon d’un utilisateur.  

 

Point à noter TRES important qui devrait confirmer que cette technologie est vraiment faite pour le BYOD, la connexion automatique d’un VPN ne fonctionne PAS sur une machine jointe au domaine.

 

Prérequis :

Cette fonctionnalité peut être mise en œuvre avec tout type de VPN supporté dans Windows 8.1 (nous traiterons dans un article ultérieur les évolutions du client VPN). Dans cet article nous ne donnons pas les détails de la plateforme serveur VPN, car ils s’agit d’une plateforme standard configurée avec l’assistant par défaut de Windows Server 2012 R2.

La machine cliente doit être une machine Windows 8.1 NON jointe à un domaine, et PAS d’édition Entreprise.

Le type de VPN est obligatoirement Split Tunneling, ceci permet de ne pas modifier la connectivité des autres applications lorsque l’on établit la liaison pour une application particulière.

 

Tests :

Mettons en place cette fonctionnalité pour différents scenarios.

Dans ces rubriques, j’ai au préalable créé sur la machine cliente un profile VPN nommé “VpnArnaud”.

J’ai modifié le type de tunneling avec la commande PowerShell:

Set-VpnConnection –name VpnArnaud –SplitTunneling $true

 

Connexion automatique pour une application moderne

La première chose à faire est de trouver l’application que l’on veut utiliser, dans notre exemple, nous connectons automatiquement le VPN lors du lancement de l’application Video :

zunevideo

 

Pour chercher l’identifiant de cette application, nous utilisons la commande PowerShell :

Get-AppxPackage

get-appxpackage

Le champ utilisé ici est le PackageFamilyName, nous pouvons alors ajouter la configuration :

Add-VpnConnectionTriggerApplication –name <vpnConnectionName> –ApplicationID <PackageFamilyName>

add-vpnconnectiontriggerapp1

 

Au lancement de l’application vidéo, nous avons alors l’avertissement :

CaptureDialup

Je dois ensuite saisir mes informations de connexion si elles ne sont pas stockées.

 vpncreds

 

J’obtiens alors bien la machine connectée :

zunevideoconnect

 

 

Lorsque toutes les applications qui ont besoin de la connexion sont fermées, alors la connexion est automatiquement tombée.

 

Connexion automatique pour une application classique

Il est possible d’établir une connexion de la même manière pour les applications Windows classiques. On utilisera toujours l’argument –ApplicationID, mais cette fois on précisera la chemin vers l’application :

 

Add-VpnConnectionTriggerApplication –name <vpnConnectionName> –ApplicationID “c:\windows\system32\notepad.exe”

A noter, on peut utiliser les variables d’environnement avec la forme “$env:windir\…”

On peut ensuite vérifier la configuration avec la commande Get-VpnConnectionTrigger –name <vpnConnectionName>

triggernotepad

  

 

Connexion automatique pour un suffixe DNS

De la même manière, on peut déclencher une connexion lorsqu’un suffixe DNS particulier est utilisé :

Add-VpnConnectionTriggerDnsConfiguration –name <vpnConnectionName> –DnsSuffix “.itcamp.contoso.com” –DnsIPAddress <AdressIPduServeurDNS>

add-vpnconnectiontriggerdns

N’oubliez surtout pas le point avant le suffixe DNS !

Remarquons au passage que pour chaque suffixe, on doit mentionner l’adresse IP d’un serveur DNS qui sera utilisé. Nous allons mettre en œuvre un composant de Windows apparu avec Windows 7, la NRPT (Name Resolution Policy Table) qui permet de faire de la résolution de nom conditionnelle sur le poste client.

 

add-vpnconnectiontriggerdns2

 

On peut également profiter de cette ligne de commande pour ajouter automatiquement une liste de suffixes de recherche DNS lorsque le VPN est monté, cela permet de résoudre des noms courts sur le réseau d’entreprise, on utilise alors l’argument –DnsSuffixSearchList <listeDeSuffixesàAjouter>.

 

On a alors une notification lorsque l’on utilise le contexte de noms :

add-vpnconnectiontriggerdns3

 

Voilà pour cette petite intro à VPN Connect, a noter, lorsque les credentials sont stockés, on a automatiquement la connexion qui est montée !

 

Si  vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride par Microsoft, vous pouvez vous inscrire gratuitement à un de nos IT Camp : https://aka.ms/itCampFr.

 

Références :

http://technet.microsoft.com/en-us/library/jj554820(v=wps.630).aspx – VPN Client Cmdlets in Windows PowerShell

 

 

Arnaud – les bons tuyaux