Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for janvier 2020

Les nouvelles conditions de Microsoft pour Office 365 : Nous n’utiliserons pas vos données à des fins de publicité ou de profilage

Posted by Teruin laurent sur janvier 17, 2020


Traduit de l’anglais : https://www.zdnet.com/article/microsofts-new-office-365-terms-we-wont-use-your-data-for-advertising-or-profiling/²

Microsoft a déployé une nouvelle version de ses conditions de services en ligne en réponse aux griefs soulevés par le ministère néerlandais de la Justice concernant les données de télémétrie que Microsoft a recueillies auprès des utilisateurs d’Office 365 Plus et d’Office 365.

Le ministère de la justice néerlandais a accusé Microsoft de violer le Règlement général sur la protection des données de l’UE (GDPR), déclenchant une enquête du Contrôleur européen de la protection des données (CEPD), qui a déclaré avoir de « sérieuses préoccupations » concernant les contrats de Microsoft.

Microsoft a annoncé en novembre qu’il mettrait à jour ses contrats de cloud computing au niveau mondial pour les entreprises et les petites entreprises clientes afin de tenir compte des changements demandés par le CEPD et le MoJ néerlandais.

Les clients sont maintenant libres de parcourir deux documents de conditions Microsoft : les conditions de 159 pages sur les produits de licences en volume Microsoft et les conditions de 40 pages sur les services en ligne Microsoft (OST). Microsoft fournit un lien vers ces documents dans un nouveau billet de blog.

Les nouvelles OST intègrent les modifications contractuelles que Microsoft a développées avec le ministère néerlandais de la Justice, a déclaré en novembre Julie Brill, responsable de la protection de la vie privée chez Microsoft et vice-présidente de l’entreprise chargée de la protection de la vie privée et des affaires réglementaires au niveau mondial.

Microsoft décrit plusieurs changements apportés à l’OST dans ses  » clarifications et résumé des changements  » dans le nouveau document. Aucun changement important n’est mentionné dans le document sur les modalités du produit.

Selon Microsoft, les termes de protection des données, les clauses contractuelles standard et les détails du GDPR de l’UE ont été supprimés du document OST. Ils figurent désormais dans un document séparé appelé Online Services Data Protection Addendum (DPA), qui est disponible en ligne.

La mise à jour de l’OST/DPA remplace le langage précédent de l’OST autorisant Microsoft à traiter les données des clients  » uniquement pour fournir aux clients les services en ligne, y compris à des fins compatibles avec la fourniture de ces services  » avec des instructions et des limitations plus spécifiques « , indique Microsoft dans le nouvel OST.

L’un des principaux changements apportés à la mise à jour de l’OST est qu’il n’autorise pas Microsoft à traiter les données des clients ou les données personnelles à des fins de  » profilage, de publicité ou à des fins commerciales similaires, ou d’étude de marché « , à moins que le client ne l’autorise explicitement.

Les quatre changements  » de haut niveau  » que Microsoft note sont que le document :

Autorise Microsoft à traiter les données clients et les données personnelles en tant que sous-traitant pour trois objectifs autorisés : la fourniture des services, le dépannage et l’amélioration continue.


Exclut le traitement des Données clients et des Données personnelles à des fins de profilage, de publicité ou à des fins commerciales similaires, ou d’études de marché, sauf si cela est fait conformément aux instructions documentées du client.

Précise que Microsoft a les responsabilités d’un contrôleur de données s’il traite les Données clients et les Données personnelles pour certaines autres  » opérations commerciales légitimes  » énumérées, avec des limitations spécifiques.

Ajoute de la clarté et des détails supplémentaires basés sur les commentaires des clients (par exemple, sur la manière dont les clients peuvent s’engager avec Microsoft pour auditer le traitement des données de Microsoft conformément à la GDPR).

Au moment de l’annonce des changements de l’OST, M. Brill a déclaré que Microsoft  » augmentera ses responsabilités en matière de protection des données pour un sous-ensemble de traitement dans lequel Microsoft s’engage lorsque nous fournissons des services d’entreprise « .

La mise à jour de l’OST  » préciserait que Microsoft assume le rôle de contrôleur des données lorsque nous traitons des données à des fins administratives et opérationnelles spécifiques liées à la fourniture des services en nuage couverts par ce cadre contractuel, tels que Azure, Office 365, Dynamics et Intune « .

 » Ce sous-ensemble de traitement de données sert à des fins administratives ou opérationnelles telles que la gestion des comptes, l’établissement de rapports financiers, la lutte contre les cyberattaques visant tout produit ou service Microsoft et le respect de nos obligations légales « , a-t-elle ajouté.

Le DPA sur les conditions des services en ligne couvre les questions de propriété liées aux données traitées, le traitement des données personnelles selon les règles GDPR, les notifications d’infraction, les questions juridiques relatives au transfert de données entre pays, la conservation des données, la divulgation et la conformité aux demandes de données des forces de l’ordre, les réglementations HIPAA et le nouveau California Consumer Privacy Act (CCPA). Microsoft applique les règles de la CCPA à tous les utilisateurs américains.

Pour les demandes d’application de la loi concernant les données stockées sur les serveurs Microsoft, la société promet de ne pas divulguer les données traitées, sauf si la loi l’exige.

 » Si les forces de l’ordre contactent Microsoft avec une demande de données traitées, Microsoft tentera de rediriger l’organisme chargé de l’application de la loi pour demander ces données directement au client. Si elle est obligée de divulguer des Données traitées aux forces de l’ordre, Microsoft en informera rapidement le Client et lui fournira une copie de la demande, sauf si la loi l’interdit « , déclare Microsoft.

Posted in Non classé | Leave a Comment »

TEAMS DEVICE AND THE PROXY

Posted by Teruin laurent sur janvier 15, 2020


As mentioned in a previous article, Teams devices should be able to go out over the Internet through the company’s security policy. Policy that more and more forces the exits on the Internet through proxy services. Proxy services in Saas as Websense or Zscaler or traditionally hosted on site.

These proxy services can be set up in 3 types of configuration

– Transparent: On the IP route to the Internet between the device and the service connection point

– Declared and authenticated : Authenticated in Basic mode or others

– Declared and anonymous:

In addition to these 3 types, there are two types of proxy. Either Saas or On premise.

In the case of a Saas service like Zscaler or Websense, one of the interests of the solution is to send all the https flows to the Proxy service which goes according to the urls (0365 or not) to carry out treatments such as inspection for example. In this type of configuration, the company no longer has to manage the numerous Office 365 URLs because they are directly managed by the proxy service provider.

Otherwise the company can use a proxy.pac that will describe whether or not the device should use proxy services. In this case it is the company that updates its configuration files according to the changes in the Office 365 URLs. The routing decision is made in this case or at the device level.

To set up a proxy in a Teams phone, the phone must still allow it. The illustration below shows the Proxy service configuration interface within a Yealink T55 phone with a very recent firmware version.



This configuration, if manageable by auto configuration, would make it possible to make this type of device plug and play within the company network. It remains to be seen whether all the Skype devices you are going to migrate to teams will have the same possibilities.

The other issue you’ll have to manage is that most Saas services like Zscaler or Websense do SSL decryption. In other words,

1 – the https stream of a site like https://www.google.com is sent to websense services that pretend to be it,

2 -Decrypts the stream, inspects it, then re-transmits it to the final site. A bit like a « man in the middle » but one you trust.

This solution is effective but implies that your devices « trust » the websense service. Without this, your workstation will report an SSL error because the certificate presented by Websense is not the one expected. Below is an extract from the documentation of websense



 

To date we have not been able to configure Teams devices that take this mode of operation into account and we are working with the various parties involved to find a « plug and play » solution if possible.

Laurent TERUIN

 

Posted in Non classé | Leave a Comment »

Migration Teams Téléphonie et accès internet des périphériques

Posted by Teruin laurent sur janvier 10, 2020


Un des aspects particuliers touchant la migration de la téléphonie vers teams est lié à la migration des périphériques anciennement Skype vers le client Teams. Comme vous le savez peut-être certains périphériques embarquant le clients Teams sont « migrables » vers un client Teams, D’autre ne fonctionneront pas ou fonctionneront de façon dégradée. D’autre encore seront capable de fonctionner à la fois en Skype et Teams, ou d’autre ne seront gérer que le client Teams

Ces contraintes liées à vos périphériques sont bien à prendre en compte dans votre stratégie de migration et plus particulièrement lorsque que vous allez basculer la fonction Meeting vers Teams.

Si vous envisager une migration progressive des fonctionnalités de réunion un des risques identifiés est qu’une partie de l’entreprise utilise depuis des salles de réunions Teams avec des conférences qui ne pourront pas être joignable sur des équipements Skype et inversement.

D’autre part, et c’est un peu nouveau pour les entreprises qui ont un environnement de téléphonie On-premise, il faudra désormais que l’ensemble de ses périphériques bien souvent cantonnés dans un VLAN voix puisse accéder aux services Internet de Microsoft. Si en théorie cela parait simple, dans la pratique cela s’avère un peu plus compliqué notamment en raison de la présence de plus en prégnante de services de proxy. (Zscaler, WebSense etc..)

La sécurité et le contrôle des accès externes des entreprises s’étant renforcer depuis plusieurs années, la présence quasi systématique de proxy anonymes, ou authentifiés ne vont pas simplifier les choses. En effet l’absence de configuration proxy dans certains téléphone Teams font que ces derniers ne seront pas capables de s’authentifier auprès des services Microsoft s’ils doivent ne serais ce que traverser un proxy non transparent (Proxy déclaré). En effet contrairement au client Skype, le client Teams utilise les services https pour la signalisation et donc tentera de sortir via ce protocole vers les services Microsoft. Extrait de la documentation Microsoft (https://docs.microsoft.com/fr-fr/microsoftteams/upgrade-prepare-environment-prepare-network)

« Pour que teams fonctionne correctement, vous devez ouvrir les ports TCP 80 et 443 des clients vers Internet, ainsi que les ports UDP 3478 à 3481 des clients vers Internet. Les ports TCP sont utilisés pour se connecter à du contenu Web tel que SharePoint Online, Exchange Online et les services de chat d’équipe. Les plug-ins et connecteurs se connectent également via ces ports TCP. Les quatre ports UDP sont utilisés pour les contenus multimédias tels que les fichiers audio et vidéo, afin de s’assurer que le flux fonctionne correctement. »

Il est bien évident qu’en plus d’accéder aux ressources Microsoft les périphériques Teams devront être ne mesure de résoudre leurs noms via les services DNS de l’entreprise

Face à cette problématique d’accès 443 TCP, plusieurs solutions sont possibles.

  • La première étant que les constructeurs incluent dans leurs firmware la détection ou le paramétrage de service proxy
  • La seconde étant d’ouvrir les Vlan voix vers Internet sans proxy. Solution qui risque néanmoins de froisser le département sécurité.

La première solution permettra le plug and play notamment des téléphones sans configuration additionnelles.

 

 

 

 

 

 

Posted in Non classé | Leave a Comment »

EXO: Supprimer un Domaine SMTP en environnement Hybride Exchange

Posted by Teruin laurent sur janvier 6, 2020


Parfois, en informatique il est préférable de faire un peu de ménage . Dans le cadre d’Exchange Online, il peut être nécessaire de supprimer certains domaines SMTP qui ne sont plus utilisés ou ont été céder à d’autres entités.

Si en théorie l’opération peut simplement consister à supprimer le domaine accepté dans la configuration de votre tenant , vous vous apercevrez assez rapidement que l’interface d’administration d’Office 365 vous refusera la suppression de ce domaine SMTP si des boites aux lettres ou des listes de distribution utilisent des adresses Proxy avec ce domaine.

Note : Exchange 2016 On premise vous laisse supprimer le domaine accepté, mais ne supprime pas automatiquement les adresses proxy sur les boites aux lettres. .Dans Office 365, pour supprimer un domaine SMTP , vous ne pouvez pas le faire directement depuis l’interface Exchange / MailFlow / accepted Domain. C’est dans la gestion des domaines de votre tenant que vous devez le supprimer. Allez Dans Settings/ Domains pour ce faire ; mais avant il faut supprimer toute référence a ces domaines SMTP

La commence les problèmes. Identifier manuellement les boites aux lettres ou les listes de distribution qui possèdent une adresse de messagerie utilisant le ou les domaines SMTP que vous voulez supprimer, puis supprimer ces adresses manuellement peut s’avérer un peu fastidieux.

Heureusement, Microsoft fourni un script Powershell qu’il est assez simple d’adapter et qui va d’une part identifier les boites aux lettres concernées puis supprimer les adresses du domaine en question d’autre part.

Etape 1 : Avant toute chose il faut repérer si une stratégie d’adresse positionne automatiquement ces adresses SMTP sur toute nouvelles boites aux lettres. Pour voir tous les domaines utilisés dans les stratégies d’adresse de messagerie, exécutez la commande suivante dans l’Environnement de ligne de commande Exchange Management Shell

Get-EmailAddressPolicy | Format-List Name,*EmailAddressTemplate*

Supprimer ou modifier ensuite la stratégie d’adresse responsable de l’attribution de ce nom de domaine SMTP

Etape 2 : utilisation des deux scripts suivants pour le nettoyage des boites aux lettres et des listes de distribution.

Le script suivant supprime toutes les adresses proxy du domaine remove.com depuis l’unité organisationnelle OU=Users

 

$OUScope = « OU=USers,DC=eu,DC=myorg,DC=com »

$N = 0

Write-Host « Searching mailboxes in $OUScope…. »

foreach($Tmailbox in Get-Mailbox -organizationalunit $OUScope -ResultSize Unlimited)

{

$Tmailbox.EmailAddresses | ?{$_.AddressString -like ‘*remove.com’} | %{

Set-Mailbox $Tmailbox -EmailAddresses @{remove=$_}

Write-host « Removing $_ from $Tmailbox Mailbox »

$N++

}

}

 

Si vous voulez juste avoir un extract avant de d’exécuter la suppression de l’addresse proyx il suffit simplement de mettre en commentaire la ligne # Set-Mailbox
$Tmailbox
-EmailAddresses @{remove=$_}

Le script suivant fait la meme chose pour les listes de distribution

 

$OUScope = «  OU=USers,DC=eu,DC=myorg,DC=com »

$N = 0

Write-Host « Searching DL in $OUScope…. »

foreach($Tmailbox in Get-distributionGroup -organizationalunit $OUScope -ResultSize Unlimited)

{

$Tmailbox.EmailAddresses | ?{$_.AddressString -like ‘*remove.com’} | %{

Set-distributionGroup $Tmailbox -EmailAddresses @{remove=$_}

Write-host « Removing $_ from $Tmailbox Mailbox »

$N++

}

}

 

Une fois réalisé, il faut attendre une réplication d’azure AD connect pour que ces entrées disparaissent. Une fois la réplication terminée, l’interface d’administration devrait vous autoriser à supprimer le ou les domaines en question

Cordialement

Laurent TERUIN

Posted in Non classé | Leave a Comment »