Scénario de partenaire régulé avec TLS forcé

  • Article

 

Concerne : Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Dernière modification de la rubrique : 2011-10-20

Les organisations peuvent configurer un canal de flux de messagerie sécurisé avec des partenaires approuvés en configurant leur transfert de messagerie à l'aide des connecteurs Forefront Online Protection for Exchange (FOPE). Certains partenaires commerciaux peuvent demander à une organisation de communiquer sur TLS (Transport Layer Security) ou de se connecter à l'aide d'un certificat validé par une tierce partie. Les connecteurs FOPE vous permettent de configurer le protocole TSL forcé, entrant et sortant, à l'aide de certificats autosignés ou de certificats validés par une autorité de certification. TLS est un protocole de chiffrement qui assure la sécurité des communications sur Internet. Pour plus d’informations sur le protocole TLS, consultez la rubrique correspondante dans FOPEComprendre la sécurité de la couche de transport (TLS) dans FOPE.

Dans ce scénario, contoso.com est doté d’une messagerie sécurisée par fabrikambank.com. Contoso utilise une messagerie Microsoft Exchange Online hébergée sur le cloud. Lors des échanges de courrier avec Fabrikam Bank avec FOPE, les messages électroniques sont sécurisés dans les deux sens par le biais du chiffrement TLS.

Astuce : Pour visualiser une vidéo décrivant ce scénario et détaillant les étapes de configuration des connecteurs FOPE, consultez la rubrique Scénario de partenaire régulé avec TLS forcé.

Flux de messagerie bidirectionnel

Lors de la réception de courrier entrant ou sortant dans le cloud, l'architecture du partenaire régulé est la suivante :

Scénario de partenaire commercial régulé

Dans ce scénario, le flux de messagerie entre l’organisation Exchange Online de Contoso et Fabrikam est transféré via une connexion par câble sécurisée à l’aide du TLS forcé entrant et sortant. Par ailleurs, l'ensemble du courrier échangé entre les deux organisations est validé par un certificat d'Autorité de certification.

Configuration d'un partenaire régulé

Pour configurer une relation avec un partenaire régulé, vous devez créer des connecteurs FOPE entrants et sortants.

Configurer un connecteur FOPE entrant pour un partenaire régulé

  1. Dans le Centre d’administration de FOPE, cliquez sur l’onglet Administration, puis sur l’onglet Société.

  2. Dans la section Connecteurs, pour Connecteurs entrants, cliquez sur Ajouter. La boîte de dialogue Ajouter un connecteur entrant s'ouvre.

    L'illustration suivante montre les paramètres du connecteur entrant pour l'exemple de scénario de partenaire régulé avec TLS forcé.

    Connecteur entrant - partenaire régulé

  3. Dans le champ Nom, entrez un nom descriptif pour le connecteur entrant.

  4. Dans le champ Description, entrez d'autres informations qui décrivent le connecteur entrant.

  5. Dans la zone de texte Domaines d'expéditeurs, entrez le nom du domaine de l'organisation avec laquelle vous souhaitez établir un canal sécurisé, par exemple fabrikambank.com.

  6. Dans le champ Adresses IP d'expéditeurs, entrez la ou les adresses IP du partenaire. Les adresses IP doivent avoir le format approprié. nnn.nnn.nnn.nnn; nnn est un nombre compris entre 1 et 255. Vous avez également la possibilité de définir des plages CIDR au format suivant : nnn.nnn.nnn.nnn/rr; rr correspond à un nombre compris entre 24 et 31. Lorsque vous employez plusieurs adresses IP, vous devez les séparer avec une virgule. Bien qu’il soit recommandé d’indiquer les adresses IP dans ce champ, vous pouvez ne rien inscrire si vous ne connaissez pas la ou les adresses IP spécifiques associées au domaine ou que vous souhaitez créer un connecteur d’une portée plus étendue.

  7. Sélectionnez Ajouter ces adresses IP à la liste fiable et n'accepter que le courrier provenant de ces adresses IP pour les domaines spécifiés précédemment. Ceci garantit que les messages issus du domaine spécifié proviendront uniquement des adresses IP d'expéditeur spécifiés. Si vous n’avez pas indiqué les adresses IP de l’expéditeur à l’étape précédente, sélectionnez Ajouter ces adresses IP à la liste fiable et n’accepter que le courrier provenant de ces adresses IP pour les domaines spécifiés précédemment.

  8. Dans la section Paramètres des connecteurs, pour l'option TLS (Transport Layer Security), sélectionnez Forcer TLS. Cette option force les partenaires à utiliser une connexion TLS lorsque l'envoi du courrier électronique aux utilisateurs est hébergé dans le cloud. Si la connexion n'est pas basée sur TLS, FOPE refuse ce courrier électronique.

    Pour plus d’informations sur le protocole TLS, consultez la rubrique correspondante dans FOPEComprendre la sécurité de la couche de transport (TLS) dans FOPE.

  9. Dans la section Paramètres des connecteurs, à l'aide des cases à cocher, vous pouvez choisir d'appliquer ou d'ignorer les opérations Filtrage suivantes. Ces options de filtrage sont activées (appliquées) par défaut.

    Appliquer le filtrage de réputation IP — Indique s'il convient d'appliquer le filtrage de réputation IP aux messages électroniques entrants. Cette option n'est pas fonctionnelle pour ce scénario.

    Appliquer le filtrage anti-spam — Indique s'il convient d'appliquer le filtrage anti-spam sur les messages électroniques entrants.

    Appliquer les règles de stratégie — Indique s'il convient d'appliquer les règles de stratégie aux messages électroniques entrants.

  10. Cliquez sur Enregistrer.

Le connecteur est à présent répertorié sous Connecteurs entrants. Vous pouvez développer le connecteur pour afficher ses paramètres. Vous pouvez cliquer sur Modifier pour modifier les paramètres de configuration de ce connecteur.

Pour appliquer la configuration de ce connecteur à l’ensemble de votre société ou à des domaines spécifiques, ou pour supprimer ce connecteur, consultez la rubrique Mise en œuvre et suppression d'associations de connecteurs FOPE.

Configurer un connecteur FOPE sortant dans un scénario de partenaire régulé

  1. Dans le Centre d’administration de FOPE, cliquez sur l’onglet Administration, puis sur l’onglet Société.

  2. Dans la section Connecteurs, pour Connecteurs sortants, cliquez sur Ajouter. La boîte de dialogue Ajouter un connecteur sortant s'ouvre.

    L'illustration suivante montre les paramètres du connecteur sortant pour l'exemple de scénario de partenaire régulé avec TLS forcé.

    Connecteur sortant - partenaire régulé

  3. Dans le champ Nom, entrez un nom descriptif pour le connecteur sortant.

  4. Dans le champ Description, entrez d'autres informations qui décrivent le connecteur sortant.

  5. Dans la zone de texte Domaines de destinataires, entrez le nom de domaine de l'organisation avec laquelle vous souhaitez établir un canal sécurisé.

  6. Activez la case à cocher Remettre tous les messages à la destination suivante, puis spécifiez Nom de domaine qualifié complet. Dans ce champ, spécifiez le nom de domaine qualifié complet auquel FOPE doit envoyer le courrier électronique (par exemple, fabrikambank.com).

  7. Dans la section Paramètres TLS (Transport Layer Security), vous pouvez sélectionner l'une des options de certificat TLS :

    • Validation par rapport à un certificat auto-signé—Créé au sein d'une organisation, ce certificat permet de chiffrer le canal.

    • L'autorité de certification émettrice est approuvée par Microsoft — Confirme que le certificat du destinataire est émis par une autorité de certification autorisée. Par exemple, l'option valide que le certificat n'est pas arrivé à expiration et qu'il est authentique.

    • Le certificat de destinataire correspond au domaine de destination — Ce paramètre va plus loin que l'option L'autorité de certification émettrice est approuvée par Microsoft en validant également la correspondance de l'autre nom de l'objet par rapport au nom du domaine du destinataire.

    • Le certificat de destinataire correspond — Ce paramètre va plus loin que l'option L'autorité de certification émettrice est approuvée par Microsoft en validant également la correspondance de l'autre nom de l'objet par rapport à l'élément entré dans la zone de texte.

  8. Cliquez sur Enregistrer.

Le connecteur est à présent répertorié sous Connecteurs sortants. Vous pouvez développer le connecteur pour afficher ses paramètres. Vous pouvez cliquer sur Modifier pour modifier les paramètres de configuration de ce connecteur.

Pour appliquer la configuration de ce connecteur à l’ensemble de votre société ou à des domaines spécifiques, ou pour supprimer ce connecteur, consultez la rubrique Mise en œuvre et suppression d'associations de connecteurs FOPE.