• Article

Protection contre les menaces envers les conférences sur site

Dernière rubrique modifiée : 2009-03-10

Office Communications Server 2007 R2 propose une fonctionnalité permettant aux utilisateurs d'une entreprise, tant à l'intérieur qu'à l'extérieur du pare-feu, de créer et de joindre des conférences Web en temps réel, hébergées sur des serveurs Office Communications Server 2007 R2 internes. Les utilisateurs de l'entreprise peuvent également inviter des utilisateurs externes ne disposant pas d'un compte des services de domaine Active Directory à participer à la session. Les employés de partenaires fédérés disposant d'une identité sûre et authentifiée peuvent également participer aux conférences et, s'ils sont promus, assumer le rôle de présentateurs. Les utilisateurs anonymes ne peuvent pas créer une réunion ou y participer en tant que présentateurs, mais ce rôle peut leur être conféré une fois qu'ils ont joint la réunion.

La fonctionnalité de conférence Web sur site repose sur l'infrastructure de sécurité de base d'Office Communications Server :

  • tous les serveurs sont approuvés ;
  • toutes les connexions serveur utilisent MTLS ;
  • toutes les communications sont chiffrées ;
  • tous les utilisateurs sont authentifiés.

Les serveurs de conférence A/V internes d'une configuration de pool étendue se connectent aux serveurs frontaux et serveurs de médiation via MTLS. Les serveurs de conférence Web internes se connectent aux serveurs frontaux et au service Edge de conférence Web via MTLS. Sur un serveur Standard Edition ou dans une configuration de pool consolidée, les serveurs de conférence sont colocalisés sur les serveurs frontaux, mais MTLS est néanmoins requis pour les communications entre les composants colocalisés.

Permettre aux utilisateurs externes de participer à des conférences Web sur site accroît considérablement la valeur de cette fonctionnalité, mais cela engendre également quelques risques liés à la sécurité. Pour parer à ces risques, Office Communications Server fournit les protections supplémentaires suivantes :

  • Les rôles de participant déterminent les privilèges pour le contrôle des conférences.
  • Les types de participants permettent de restreindre l'accès à des réunions spécifiques.
  • Les types de réunions définis déterminent les types de participants pouvant y prendre part.
  • Les conférences peuvent uniquement être planifiées par les utilisateurs disposant d'informations d'identification Active Directory dans le réseau interne et activés pour Office Communications Server 2007 R2.
  • Les utilisateurs anonymes, autrement dit non authentifiés, doivent fournir des mots de passe de conférence uniques et être authentifiés à l'aide de la méthode Digest pour participer à une réunion. Les mots de passe sont uniques pour chaque conférence.

Rôles de participant

Les participants aux réunions peuvent appartenir à trois groupes, chacun doté de privilèges et restrictions spécifiques :

  • Organisateur. Utilisateur qui crée une réunion, qu'elle soit planifiée ou improvisée. Un organisateur doit être un utilisateur d'entreprise authentifié. En outre, il doit contrôler tous les aspects d'une réunion du point de vue de l'utilisateur final.
  • Présentateur. Utilisateur autorisé à présenter des informations au cours d'une réunion, à l'aide d'un des supports pris en charge. Par définition, un organisateur de réunion est également présentateur et désigne les autres présentateurs. Un organisateur peut choisir les présentateurs lors de la planification d'une réunion ou lorsque celle-ci est déjà en cours.
  • Participant. Utilisateur qui a été invité à participer à une réunion, mais qui n'est pas autorisé à assumer le rôle de présentateur.

Un présentateur peut également désigner un participant en tant que présentateur au cours de la réunion.

Types de participants

Les participants aux réunions sont également répartis dans diverses catégories, en fonction de l'emplacement où ils se trouvent et de leurs informations d'identification. Vous pouvez utiliser ces deux caractéristiques pour déterminer les personnes autorisées à accéder à des réunions spécifiques. Globalement, il s'agit d'utilisateurs internes et externes :

  • Les utilisateurs internes disposent d'informations d'identification Active Directory au sein de l'entreprise et se connectent à partir d'emplacements situés à l'intérieur du pare-feu de l'entreprise.
  • Les utilisateurs externes sont les personnes qui se connectent à titre temporaire ou permanent à une entreprise à partir d'emplacements situés à l'extérieur du pare-feu de l'entreprise. Ils disposent parfois d'informations d'identification Active Directory. Office Communications Server 2007 R2 offre une prise en charge des conférences pour les types d'utilisateurs externes suivants :
    • Les utilisateurs distants disposent d'une identité Active Directory persistante au sein de l'entreprise. Il s'agit d'employés travaillant à domicile ou en déplacement, ainsi que d'autres utilisateurs, tels que les employés de fournisseurs approuvés, auxquels des informations d'identification d'entreprise ont été accordées pour leurs conditions d'utilisation. Les utilisateurs distants peuvent créer des conférences, y participer ainsi qu'en être présentateurs.
    • Les utilisateurs fédérés possèdent des informations d'identification valides auprès des partenaires fédérés et sont par conséquent considérés comme étant authentifiés par Office Communications Server 2007 R2. Les utilisateurs fédérés peuvent se joindre aux conférences et être désignés en tant que présentateurs après s'être joints à la réunion, mais ils ne peuvent pas créer de conférences dans les entreprises avec lesquelles ils sont fédérés.
    • Les utilisateurs anonymes ne possèdent pas d'identité Active Directory et ne sont pas fédérés avec l'entreprise. Lors des conférences, les utilisateurs d'un nuage public sont considérés comme des utilisateurs anonymes.

Les données des clients indiquent que les utilisateurs externes participent à un grand nombre de conférences. Ces mêmes clients veulent vérifier l'identité des utilisateurs externes avant de les autoriser à se joindre à une conférence. Comme décrit dans la section suivante, Office Communications Server 2007 R2 limite l'accès aux réunions aux seuls types d'utilisateurs autorisés de manière explicite. En outre, tous les types d'utilisateurs doivent fournir les informations d'identification appropriées lorsqu'ils se joignent à une réunion.

Types de réunions

Vous pouvez configurer Office Communications Server 2007 R2 de manière à prendre en charge les réunions autorisant les types d'utilisateurs suivants :

  • Utilisateurs internes uniquement. Si vous ne déployez pas de serveurs de périphérie, tous les participants disposent d'identités Active Directory persistantes au sein de l'entreprise et ils peuvent uniquement se connecter depuis l'intérieur du pare-feu.
  • Utilisateurs authentifiés uniquement. Tous les participants disposent d'identités Active Directory au sein de l'entreprise ou d'une entreprise fédérée et ils peuvent se connecter, qu'ils se trouvent à l'intérieur ou au-delà du pare-feu de l'entreprise.

Les réunions ouvertes aux utilisateurs authentifiés uniquement peuvent être des types suivants :

  • Inviter au sein du réseau. Tous les utilisateurs de l'entreprise peuvent joindre la réunion. Ils sont alors participants, sauf si l'organisateur de la réunion les a désignés en tant que présentateurs. Les utilisateurs fédérés peuvent se joindre à une réunion en tant que participants, s'ils y sont invités par l'organisateur. Les utilisateurs fédérés ne peuvent pas participer à une réunion en tant que présentateurs, mais ce rôle peut leur être conféré au cours de la réunion.
  • Inviter au sein du réseau (restreint). Seuls les utilisateurs disposant d'informations d'identification Active Directory valides au sein de l'entreprise et figurant dans les listes de participants et de présentateurs de l'organisateur de la réunion sont autorisés à participer à une réunion fermée et authentifiée. Par exemple, un groupe de travail ou une division peut utiliser cette désignation pour la réunion planifiée qu'il organise régulièrement. Les utilisateurs fédérés et anonymes ne peuvent pas participer à ce type de réunion.
  • Inviter quiconque. Réunion à laquelle les utilisateurs anonymes peuvent être invités à participer. L'organisateur de la réunion doit être autorisé à inviter des utilisateurs anonymes pour créer une réunion de ce type. Les utilisateurs d'entreprise sont alors participants, sauf si l'organisateur de la réunion les a désignés en tant que présentateurs. Les utilisateurs anonymes sont participants uniquement. Toutefois, l'organisateur de la réunion peut les désigner en tant que présentateurs une fois qu'ils se sont joints à la réunion. Pour accéder à une réunion, les utilisateurs anonymes doivent présenter la clé de conférence reçue dans l'invitation électronique. Ils doivent également être authentifiés à l'aide de la méthode Digest. Pour plus d'informations sur la méthode d'authentification Digest, consultez Authentification pour Office Communications Server 2007 R2.