Office 365 og MobileIron ved Jørn Erik Hornseth

Office 365 og MobileIron
Syscom brukerforum 2015
Sikre virksomhetens informasjon uansett hvor den
befinner seg.
Bygger grunnmuren for sikkerhet i fremtidsrettede
virksomheter.
platform og arkitektur
Enablement
Enforcement
Policy and Identity
Office 365
integrasjon
Cloud Security
Access Control
Integration
Identitet
Datakapasitet
Felles platform for enhetlig sikkerhet og policystyring på
tvers av alle mobile apper
MobileIron sikkerhetsmodell for apper - Office 365
Distribuere apper på en sikker måte
•
•
•
•
1.
Office apper distribuert
som andre apper
2.
Native email/PIM
konfigurert som andre
ActiveSync emailtjenester
3.
MobileIron gir konsistent
håndtering av alle apper
både for Office 365 og
annet bruk
Beskytte App-data som lagres – «containerization»
•
•
•
•
•
•
1.
«Native containerization»
brukes av MobileIron både
for email/PIM og Office
apper
2.
MobileIron gir forutsigbar
sikkerhet for data ved
lagring og policystyring på
tvers av Office og andre
applikasjoner
Proprietære APIer for MS Office appene
• Kopier/Lim inn
– Støtter ikke det primære brukerscenariet – innebygd email
– Android: Ikke nødvendig da Office appapper er innebygd i Android for Work
container og kontrolleres av MobileIron
• Kontroll med lagring
– Bruk MobileIron Sentry ruting for å blokkere eller inspisere trafikk til områder med
lavere sikkerhetsnivå
I motsetning til andre skytjenester som Salesforce og Box, har Office 365 ikke
mulighet til å konfigurere appene via “iOS Managed App Config”
Beskytte App-data i bevegelse
•
•
•
•
•
•
•
•
1.
Sentry infrastruktur
beskytter data i bevegelse
2.
Sentry er gateway for
tilgang til ressurser
3.
MobileIron tilbyr
konsistent sikring av data i
bevegelse og felles policies
for Office- apper og andre
apper
Eksempel: Sikre Office 365 ActiveSync trafikk
Check device certificate
1
4
Office
365
Sentry
(Mail)
Office 365 provides source
IP info on ActiveSync
authentication
ActiveSync
Unauthorized
device
1. Connect via Sentry to authenticate device
2. Authenticate to AD FS via AD FS Proxy
w/ source IP info of the Sentry
3. Reply OK w/ source IP check
4. Access granted – data can be used only inside
secure container
Cloud IDs
3
AD FS
PROXY
Check if
X-MS-Forwarded-Client-IP
header is set to Sentry’s IP
See also:
http://technet.microsoft.com/enus/library/hh526961(v=ws.10).aspx
2
AD FS
Authenticate
with ID/PW
Active
Directory
Corporate
IDs
Users can use Office 365 with their corporate ID only with trusted device and inside secure container
Eksempel: Sikre Office 365 app-trafikk
Office
365
1
4
Device
authentication
with certificate
App
1. Connect to Office 365 by “Per-App VPN enabled”
app. All traffic for the app is forwarded thru Sentry.
2. Authentication redirected to AD FS; AD FS sees it as
accessed from internal network.
3. Login succeeds; redirects to O365 w/ Access Token
4. Access granted; data can be used only inside secure
container
Authenticate
with ID/PW
Sentry
(App)
3
Unauthorized
Device
AD FS
PROXY
Cloud IDs
2
AD FS
Authentication
via AD FS
PROXY is
disallowed
Active
Directory
Corporate
IDs
Users can use Office 365 with their corporate ID only with trusted device and inside secure container
*Note: Due to iOS limitation of Per App VPN, apps that use UDP traffic are not supported in this configuration.
Takk for meg!