Office 365 permet plusieurs gestions de l’identité pour les utilisateurs. Les évolutions étant régulières, il est intéressant de faire un point sur ces méthodes et leurs mécanismes. Cet article a pour objectif de décrire brièvement les trois méthodes disponibles, de rappeler les concepts de l’authentification multi-facteurs et présenter les deux solutions de Microsoft : Windows Azure MFA et MFA for Office 365.

1° Quelles sont les méthodes de gestion des identités avec Office 365 ?

Il existe plusieurs moyens de gérer les identités dans Office 365 :

Les trois modèles de gestion de l’identité dans Office 365 peuvent être décris comme suit :

• Identité Cloud : Compte dédié et spécifique avec mot de passe géré dans Windows Azure Active Directory (WAAD). Note : le service WAAD est inclus avec les licences Office 365 mais son utilisation reste dans ce cas limitée à Office 365.
• Identité Cloud + Synchronisation d’annuaire : Utilisation de DirSync pour synchroniser les identités. La fonctionnalité de PasswordSync permet de synchroniser les mots de passe des comptes depuis l’Active Directory on-premises vers le WAAD.
• Identité Fédérée : utilisation d’un système de fédération et de la synchronisation de l’annuaire : les comptes sont synchronisés dans le cloud et l’authentification est réalisée par le système de fédération on-premises (à demeure)

2° L’authentification multi-facteurs, kézako ?

Une description très académique de l’authentification multi-facteurs (MFA en anglais) peut être faite par : l’utilisation d’au-moins deux des éléments suivants :

• Quelque chose que l’on connait : un mot de passe ou un code PIN
• Quelque chose qui nous appartient : un téléphone, une carte de crédit ou un token
• Quelque chose que l’on “est” : empreinte digitale, rétinienne …

La MFA est dite renforcée quand on utilise deux modes différents :

3° L’offre MFA de Microsoft

Microsoft fournit un service d’authentification multi-facteurs à travers deux offres différentes :

• MFA for Office 365
• Windows Azure multi-factor Authentication

Les deux services utilisent PhoneFactor, société acquise par Microsoft en 2012

MFA for Office 365:

• Authentification d’entreprise à l’aide de tout téléphone/smartphone
• Disponible gratuitement pour les administrateurs Office 365 et pour tous les utilisateurs Office 365 depuis février
• Fonctionne avec tous les services Office 365 de type Web
  • Outlook Web App, SharePoint Online
• Requiert des mots de passe applicatifs pour les clients riches
  • Non disponibles pour les administrateurs
  • 16 caractères générés

Il faut noter que MFA for Office 365 est disponible dans tous les plans de licences Office 365 et ne permet de sécuriser que les ressources Office 365.

Windows Azure MFA:

• Utilisé par des milliers d’entreprises pour authentifier les employés, clients et les partenaires
• Utilisé pour sécuriser les applications et les identités dans le Cloud et On Premise

4° Eléments de comparaison entre Windows Azure MFA et MFA pour Office 365

Globalement on peut noter que MFA for Office 365 est fourni gratuitement dans le cadre d’un plan de licence Office 365 et Windows Azure MFA est un service payant offrant un panel plus étendu de fonctionnalités. Voici un tableau comparatif des deux services :

La différence majeure entre les deux solutions est que Windows Azure MFA permet de fournir un service de multi-authentification pour les applications on-premises, qu’elles soient développées en interne ou commerciale (sous réserve de compatibilité bien-sûr). Alors que MFA for Office 365 est cantonné au cadre d’Office 365.

Voici quelques éléments de décision quant à la solution à adopter :

Cet article vous a présenté les méthodes de gestion de l’identité dans Office 365 et les solutions possibles pour implémenter une authentification multi-facteurs. Pour aller plus loin, je vous encourage à monter votre plateforme de tests et consulter la documentation disponible en ligne :

Windows Azure MFA :

http://technet.microsoft.com/en-us/library/dn249471.aspx

MFA for Office 365 :

http://technet.microsoft.com/en-us/library/7a9c56cf-72f1-4797-8e86-a9a2d9569ef6#whatareapp

Dans ce second article, je vous présente la mise en place et l'utilisation de "MFA for Office 365" :

Office 365 & Identités – Partie 2 – MFA pour Office 365

Jérôme BRUNELET, Consultant Communication Universelles, Microsoft Consulting Service France Un début de carrière dans l’écosystème des partenaires Microsoft m’a naturellement conduit à intégrer MCS en 2012. Depuis j’interviens en tant que Consultant Communications Universelles, plus spécifiquement sur les solutions de messagerie on-premises et Cloud de Microsoft.

Le client Lync pour Mac vient d’être mis à jour et passe désormais en 14.0.9. Il apporte de nombreuses corrections de Bug mais également des nouveautés fonctionnelles telles que :

• Les politiques clients ne bloquent les URLs envoyées à des clients MAC
• Amélioration du partage d’écran (jusqu’à 10 fois plus rapide)
• Le service de localisation (LIS)
• le support du E-911
• La possibilité de changer de camera pendant un appel (cas d’utilisation de round table par exemple )
• Présentation d’un avertissement quand UCS est activé expliquant que la liste est en lecture seule
• Transfert de fichier dans tous les cas d’usage
• Amélioration de l’expérience audio Conferencing
• Joindre un meeting en anonyme avec un domaine non-fédéré

Vous trouverez ce correctif à cette adresse :

http://support.microsoft.com/kb/2963369

Thomas BIDAULT, Consultant Universal Communication, Microsoft Consulting Service France  Après plusieurs années passées chez un partenaire, j'ais rejoins Microsoft Consulting Services en septembre 2011. J’interviens en mission de conseil auprès de multiples clients sur des projets de communication Universelle.

Le client Lync 2013 vous demande une authentification au réseau ? Dans ce cas, vous avez surement un problème de votre client Lync au niveau d’un proxy.

Cet article s’adresse aux utilisateurs Lync 2013 Office 365 et On Premise.

1. Mise à jour

Deux mises à jour corrigeant ce type de problème sur le client Lync 2013 sont sorties en septembre 2013.
La première corrige une demande d’authentification lorsque le client Lync télécharge les photos des contacts externes à l’entreprise. Ce problème s’applique à tous types d’entreprises, qu’elles aient un proxy ou non. La demande d’authentification est en réalité liée au proxy de l’entreprise du contact dont vous téléchargé la photo. Cette mise à jour est décrite ici.
La deuxième corrige aussi une demande d’authentification, mais cette fois-ci lorsque le client Lync télécharge une présentation Power Point. Cette mise à jour est décrite ici.
Donc la règle d’or est d’avoir la dernière version du client Lync, qui est disponible sur le Lync Update Center.

2. Proxy et exception

La plupart des proxys requièrent une authentification. Cela génère une fenêtre d’authentification ou parfois bloque le client Lync.

1. Pour un environnement On Premise
Pour répondre à cet incident, ajoutez dans vos exceptions proxy les URLs suivantes :

•  Les Simples URLs
•  Les domaines SIP
•  Les web services des pools Front-Ends et Directors
•  Les web services Exchange (EWS)
•  Les web services du serveur Office Web Apps
•  Les URLs de découverte automatique : 

• •  lyncdiscoverinternal.<domaineSIP>
  •  lyncdiscover.<domaineSIP>
  •  autodiscover.<domaineSMTP> pour la découverte automatique Exchange

2. Pour un environnement Lync Online
Si vous ne voulez pas que votre client Lync passe par un proxy, vous devez ajouter dans les exceptions de votre proxy les URLs décrites sur ce lien http://onlinehelp.microsoft.com/en-us/office365-enterprises/hh373144.aspx

3. Le proxy PAC
Vous avez un proxy PAC renseigné dans Internet Explorer et une demande d’authentification au réseau du client Lync 2013 ?
Il est possible que votre client Lync 2013 ignore les règles sur le fichier proxy PAC. Certains enregistrements sont respectés par Internet Explorer mais ne le sont pas par Lync 2013. Dans ce cas, Lync 2013 continue de passer par le proxy alors qu’il devrait aller directement sur l’adresse spécifiée. Si le proxy requiert une authentification, le client Lync reçoit alors une demande d’authentification au réseau.
La solution de contournement dans ce cas, est de rajouter les lignes suivantes au début de votre script PAC. Cela permet de se connecter directement aux services web de découverte automatique Lync, sans utiliser de proxy.

if (url.substring(0, 28) == "http://lyncdiscoverinternal.") {                 return "DIRECT";                 }     if (url.substring(0, 29) == "https://lyncdiscoverinternal.") {                 return "DIRECT";                 }     if (url.substring(0, 21) == "https://lyncdiscover.") {                 return "DIRECT"; }

Suite à cet ajout, le problème devrait être résolu.
Pour vérifier que vous utilisez un proxy PAC, allez dans les options d’Internet Explorer, puis dans connexion et enfin dans les propriétés du LAN. Vous devriez avoir un adresse dans la configuration automatique d’un script comme ci-dessous.

Natacha MIKO, Premier Field Engineer, Microsoft France Ingénieur Conseil Grands Comptes chez Microsoft depuis 2011. Je suis spécialisée sur les technologies de Communication Universelle (Lync/OCS). J'interviens pour des missions réactives et proactives de courtes durées dans toute la France sur des sujets d’expertises techniques pour les clients Premier. Je fais du conseil, des formations, des installations, de la résolution d'incident, des audits... J'ai suis en charge d'une dizaine de clients différents par mois.

Le client Mobile Lync 2013 pour Android vient d'être mis à jour et offre désormais le support des tablettes Android. Cette version propose un ajustement de l'interface notamment au niveau de la taille des icônes, images et vidéos pour tirer avantage des plus grandes résolutions offertes par ces périphériques. Cette mise à jour ajoute également les nouvelles fonctionnalités suivantes :

- Inviter des utilisateurs supplémentaires lors d'une conférence Lync

- Créer une conversation à plusieurs à n'importe quel moment

Vous trouverez plus d'informations ainsi que des captures à cette adresse

http://blogs.office.com/2014/05/12/lync-mobile-update-for-android-tablet-support-and-conversation-enhancements/

La mise à jour du client Lync 2013 de mai 2014 vient également d'être publiée.

Cette mise à jour cumulative apporte la correction suivante :

- Correction de l'insertion de mauvais émoticône dans une conversation après avoir installé Office 2013 SP1 ou ultérieur

- Correction d'un bogue où l'utilisateur n'entendait pas la voix dans un appel audio/vidéo en Lync 2013

- Mise à jour des indices MOS dans les rapports de QoE pour les appels entre un client Lync 2013 et un client Lync mobile

A l'instar des autres mises à jour cumulatives, cette mise à jour inclus l'ensemble des correctifs et ajouts des précédentes versions. Elle est disponible à l'adresse ci-dessous :

http://support.microsoft.com/kb/2880980

Thomas BIDAULT, Consultant Universal Communication, Microsoft Consulting Service France  Après plusieurs années passées chez un partenaire, j'ais rejoins Microsoft Consulting Services en septembre 2011. J’interviens en mission de conseil auprès de multiples clients sur des projets de communication Universelle.

Le 8 mai prochain, la fédération avec les utilisateurs Lync de Microsoft change. En effet, l'adresse IP de notre cible de fédération sipfed.microsoft.com évoluera début mai pour accompagner les changements voulues par Microsoft. L'ajout de cette adresse sera achevé le 9 mai.

Que dois-je faire ?

Si vous avez réalisé une implémentation classique de la fédération, c'est à dire autoriser au niveau des pare-feu l'accès entrant et sortant de n'importe quelle adresse sur le port 5061 pour l'interface Access Edge, et, que vous définissez les partenaires de fédération avec un nom DNS, alors vous n'avez rien à faire ! Sinon lisez ce qui suit :

Tout d'abord il est nécessaire de mettre à jour les règles de pare-feu pour autoriser le flux entrant et sortant vers la nouvelle adresse de sipfed.microsoft.com (131.107.255.86)

Description	IP	PORT TCP	PORT UDP	Statuts
adresse SipFed courante	65.55.30.130	5061	N/A	Adresse existante
Future adresse SipFed	131.107.255.86	5061	N/A	adresse à ajouter

• Pour les entreprises ayant défini la fédération comme une fédération direct sur IP c'est à dire sans utiliser sipfed.microsoft.com, il est nécessaire de mettre à jour leurs configurations avec la nouvelle adresse IP
• Pour les autres entreprises seule la mise à jour des règles de pare-feu est nécessaire, puisque la cible de fédération étant un enregistrement DNS ce dernier sera mis à jour lors de la modification

Et si je veux être fédéré avec Microsoft ?

^{Vous pouvez faire une demande auprès de votre interlocuteur Microsoft (TAM, consultant, PAM...) qui réalisera la démarche nécessaire pour autoriser votre domaine SIP auprès de nos serveurs Edge. Néanmoins, avant de faire cette demande assurez-vous des points suivants :}

- Vous utilisez Live communication 2005 ou supérieur

- Un enregistrement SRV publique est créé sous la forme _sipfederationtls._tcp.sip_domain sur le port 5061 qui pointe vers un enregistrement A valide pour le service d'accès du serveur Edge.

- Le pare-feu de votre société autorise la communication avec les infrastructures Edge Microsoft

- Votre serveur Edge est activé pour la fédération

- Le certificat déployé sur votre interface externe est signé par une autorité publique et comporte les entrées requise pour le serveur Edge telles que définis dans le technet http://technet.microsoft.com/en-us/library/gg413010.aspx

- Votre serveur Edge fait confiance aux certificats émis par l'autorité publique Microsoft