Sécuriser l’accès aux services d’Office 365

Filtrage basé sur clients et adresses IP

Vous ne souhaitez pas que vos utilisateurs puissent accéder aux services Office 365 depuis un poste de travail utilisant Outlook, connecté en dehors de votre réseau d’entreprise. Pour cela, il est possible de configurer au niveau d’ADFS, une règle de filtrage qui permettra de limiter l’accès à ADFS, pour les clients Outlook, aux adresses IP de l’entreprise. En effet, nous avons vu que lorsqu’un utilisateur utilise Outlook pour se connecter, il envoie ses informations de connexion à Office 365 qui se charge de récupérer le jeton d’accès. Mais, quand Office 365 fait la demande de jeton, il ne se contente pas d’envoyer l’UPN et le mot de passe de l’utilisateur, il envoie également l’adresse IP qui a fait la demande de connexion.

Ainsi, quand un utilisateur se connecte de chez lui, il envoie l’adresse IP de sa connexion ADSL par exemple et quand il se connecte depuis le réseau de l’entreprise, c’est l’adresse IP publique d’accès à internet de l’entreprise qui est envoyée à Office 365. Si une règle de filtrage IP a été configurée au niveau d’ADFS, et que seules les adresses IP publiques de l’entreprise y sont configurées, quand un client arrivera depuis le réseau interne de l’entreprise, un jeton sera délivré à Office 365, alors que si le client arrive depuis sa connexion ADFS personnelle, la demande de jeton sera rejetée car l’adresse IP ne sera pas dans la liste ou la plage autorisée.

Ceci peut aussi fonctionner avec les téléphones utilisant ActiveSync, mais c’est plus compliqué à réaliser. La complexité ne vient pas de la configuration car elle est identique à celle pour Outlook, mais elle réside dans le fait qu’il faut connaître l’adresse IP affectée au téléphone mobile. Certaines entreprises disposent un APN dédié ou d’un contrat qui permet de connaître la plage d’adresses IP réservée au téléphone mobile de l’entreprise. Pour réaliser ce filtrage sur adresses IP, il faut être capable de distinguer si la requête ADFS vient d’internet ou du réseau interne. Pour cela, on installe un rôle spécial d’ADFS : l’ADFS Proxy.

Comment sécuriser l’accès aux services d’Office 365 ?

Ce serveur se place dans la DMZ de l’entreprise et a pour rôle d’être le point d’entrée ADFS pour les requêtes internet. A chaque fois qu’une demande de jeton provient d’internet, le serveur ADFS Proxy ajoute dans la trame de la requête ADFS, la valeur x-ms-proxy. Dans la règle de filtrage qui sera configurée sur le serveur ADFS, il sera ainsi possible d’applique une règle que pour les demandes provenant de l’externe. Par exemple, la règle suivante permet de bloquer toutes les demandes d’authentification provenant d’internet sauf celles faites avec un client Active Sync donc la plage d’adresse est

exists([Type == « http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy »]) &&
NOT exists([Type == « http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application »,
Value== »Microsoft.Exchange.ActiveSync »]) &&
NOT exists([Type == « http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip »,
Value=~ »\b10\.15\.10\.([1-9]|1[0-9]|2[0-5])\b »])
=> issue(Type = « http://schemas.microsoft.com/authorization/claims/deny », Value = « true »);

Les adresses IP doivent être représentées par des expressions régulières. Dans l’exemple ci-dessus, l’authentification sera autorisée pour les adresses allant de 10.15.10.1 à 10.15.10.25.

Vous pourrez trouver plus d’information sur la configuration de ces filtrages dans la fiche Technet 526961.

Intégration d’un système 2FA (2 Factor Authentication ou Token)

our les utilisateurs qui se connectent en OWA, il est possible d’intégrer une authentification forte dans la chaîne d’authentification Office 365. Vous connaissez certainement ces solutions qui sont basées sur des petits boîtiers électroniques qui donnent un numéro changeant régulièrement telles que Gemalto ou RSA SecureID. Ce numéro doit être entré dans une interface de connexion afin de pouvoir accéder à un service publié sur internet par l’entreprise. Cette intégration peut se faire à deux niveaux.

Le premier consiste à intercepter la requête à destination du serveur ADFS pour demander l’accès par token. Si le numéro entré est valide, la requête est alors transférée au serveur ADFS. Si le numéro d’accès est invalide, la requête est rejetée. La seconde solution consiste à utiliser la page web d’authentification présentée pour les clients OWA au niveau du serveur ADFS proxy. Il est possible par un développement assez simple, d’intégrer la demande de token dans cette page.

L’utilisation de l’authentification 2FA n’est possible que pour OWA car les clients ActiveSync et Outlook ne supportent pas dans leur interface, une telle intégration.