Search This Blog

lundi 12 novembre 2018

Mon livre sur Azure Active Directory

Bonjour à tous,

j'ai l'immense joie de vous présenter mon nouveau livre sur Azure Active Directory. Livre préfacé par Pascal Saulière, Cloud Solutions Architect chez Microsoft.

Ce livre traite toutes les problématiques liées aux enjeux des identités cloud ( hybrides ou non ) et sera la base de tout projet cloud Microsoft.



Description du livre :

Avec l'arrivée du cloud, la gestion des identités se complexifie pour les entreprises. Ce livre s'adresse à toute personne (expert cloud, architecte système ou infrastructure…) qui souhaite disposer des informations nécessaires pour réussir la mise en œuvre des identités hybrides en réalisant une extension d'Active Directory vers Azure Active Directory.

Dans ce livre, l'auteur choisit une approche du sujet qui allie la théorie à la pratique afin de mettre le lecteur en situation. Il s'appuie notamment sur des projets de mise en œuvre d'identités hybrides dans des déploiements cloud tels que Office 365 et Microsoft Azure.

Après une présentation d'Azure Active Directory, l'auteur détaille la gestion des utilisateurs et des groupes. Le lecteur découvre ensuite la gestion d'appareils Windows 10 dans Azure Active Directory avec l'utilisation des fonctionnalités Azure AD Registration et Azure AD Join, ainsi que la gestion des applications

La suite du livre plonge le lecteur dans le cœur de la gestion des identités hybrides et présente notamment tout l'intérêt de l'outil de synchronisation d'identité AAD Connect. Pour finir, l'auteur présente les aspects liés à la sécurité au travers de fonctionnalités telles que Conditional accessAzure Active Directory Identity Protection ou encore Azure Active Directory Smart Lock. La collaboration et l'échange sécurisé de données ou d'applications avec d'autres sociétés sont également étudiés.


Il est disponible sur :


J'attend votre feedback :)

Cordialement,
ST
Microsoft MVP

mercredi 17 octobre 2018

Speaker au MWCP 2018

Hello à tous,

J'ai le plaisir de vous informer que je serais speaker lors du MWCP 2018, il s'agit du plus grand événement communautaire organisé par mes amis Gokan, Patrick et Sébastien.


Pour plus d’informations, merci de visiter le site suivant : https://modern-workplace.pro

Lors de cet event, je vais donner une session sur Azure Ad ( le jeudi 18 -10 -2018)  , plus précisément sur comment sécuriser son identité hybride et cloud avec Azure AD.




Voici le descriptif de ma session :

"L’identité est le point le plus sensible dans un système d’information, qu’elle soit on prem , hybride ou Cloud, cette identité a besoin d’être sécurisée, gérée et contrôlée. Microsoft met l’accent sur la sécurité au niveau des identités Cloud et hybrides. Que ça soit l’Azure MFA , le smart lockout password, Azure Ad identity protection ou encore l’accès conditionnel, vous allez tout savoir sur la sécurité autour de vos identités hybrides. Cette session est basée sur des retours d’expérience terrain autour de plusieurs projets que Seyfallah Tagrerout , Cloud Architect a pu mener, avec plusieurs clients divers et variés (bancaire , voyage , secteur public )"




Au plaisir de vous voir demain sur Paris, pour parler d'Azure Ad et de sécurité autour d'azure AD

Cdt,
ST
Microsoft MVP

mercredi 3 octobre 2018

Windows 10 1809 et Windows Server 2019 disponibles

Hello,

Enfin, Windows Server 2019 est disponible , vous pouvez le télécharger au niveau de votre abonnement MSDN comme ceci :


Ou encore depuis Azure directement à la création d'une machine virtuelle (Azure Marketplace ) :



Vous pouvez retrouver mon article qui traite la première partie de Windows Server 2019 : 


Même chose pour Windows 10 avec la 1809 en version LTSC  :


La mise à jours peut être effectuée depuis ici aussi : https://www.microsoft.com/fr-fr/software-download/windows10

Enjoy !

Cdt,
ST
Microsoft MVP

mardi 2 octobre 2018

Advanced Threat Protection for Azure Storage

Hello,

C'est tout chaud, aujourd’hui, Microsoft annonce la sortie en Preview d'Advanced Threat Protection pour les comptes de stockage dans Azure , pour les services Blob.

Advanced Threat Protection for Azure Storage, va vous aider à sécuriser vos comptes de stockage en détectant  les activités suspectes, les anomalies ou encore  les activités anormales et dangereuses.

L'option de l'activation d'ATP for Azure Storage est disponible directement au niveau du compte de stockage... Dans la catégorie SettingsAdvanced Threat Protection :


Threat detection est disponible pour le service Blob au niveau du compte de stockage, la partie alerte est intégrée dans Azure Security Center, ce qui permet de rassembler les alertes dans un seul dashboard et surtout d’être alerté par email en cas de souci sur le compte de stockage (Activités anormales,anomalies etc ..)

Ses avantages :

  • Activation facile 
  • Intégration avec Azure Security Center 
  • Alerté par email en cas d'activités dangereuses ou anormales
  • Détection d'anomalies, activités suspectes, ou encore les comportements anormaux au niveau du compte de stockage 

Comment activer ATP for Azure Storage :

C'est simple; il suffit de se rendre comme indiqué plus haut, dans la catégorie  Settings - Advanced Threat Protection  comme ceci :



Cliquez ensuite sur "ON" afin d'activer ATP sur le compte de stockage et cliquez sur "Save"


Plutôt simple hein ? maintenant ATP est activé et va récolter plusieurs informations concernant votre compte de stockage et vous alertera en fonction des activités remontées dans Azure Security Center.


@ bientôt

ST
Microsoft MVP

lundi 1 octobre 2018

Windows Server 2019 ! Part 1


Hello,

Nous allons aborder aujourd’hui un nouveau sujet, Windows Server 2019, beaucoup d’entre vous l’attendent et moi également 😊, j’ai reçu beaucoup de messages me disant de faire un article de type Overview afin de voir les nouveautés et la roadmap annoncées par Microsoft sur ses technologies On-prem.

Alors, j’ai une bonne nouvelle, l’on prem n’est pas encore mort chez Microsoft, donc pour ceux qui résistent encore et font que de l’on prem, sachez qu’il a encore de belles années devant lui chez Microsoft, car avec l’arrivée de Windows Server 2019, Exchange 2019, SharePoint 2019, SQL 2019 ça laisse  croire que Microsoft abandonne pas encore cette couche et continu à investir dessus, notamment avec Windows Server 2019, sujet de cet article avec pas mal de nouveautés.

Cela dit, il embarque beaucoup de fonctionnalités qui permettent la connexion avec Azure et donc l’hybridation, ce qui a pour but de facile la migration vers Azure, car un jour, il faudra le faire …

Windows Server 2019 ? vraiment ?

Comme vous le savez surement, Windows server sortira en GA en octobre, cette bonne nouvelle  était annoncée lors des Microsoft Ignite à Orlando ( j’y étais , je vous ferais un compte rendu d’ailleurs).


La stratégie de pousser ses clients vers le cloud Microsoft Azure, n’a jamais était aussi forte pour Microsoft. En effet, avec l’arrivée de Windows Server 2019, la direction cloud est donnée, car il contient de plus en plus de fonctionnalités et services qui vous permettent d’hybrider votre infrastructure avec Microsoft Azure. Notamment avec un passage intermédiaire avec Azure Stack.

Je suis en ce moment aux Ignite aux USA à Orlando, et Microsoft vient de publier sa vision d'un monde intelligent qui est en frontière avec la partie On-Premise et Cloud :


Les nouveautés Windows Server 2019 peuvent catégorisées comme ceci :
  • Hybrid
  • Sécurity
  • Application Platform 
  • Hyper-coverged Infrastructure 


Hybrid :

Windows Server 2019 est fait pour être connecté au cloud Microsoft Azure, avec la nouvelle version de Windows Admin Center, on peut connecter Windows Serve(r 2019 à plusieurs services Azure comme la connexion réseau aux virtual network Azure, Azure Backup, SMS (Storage Migration Service), ASR (Azure Site Recovery) et plein d'autres, bien entendu, nous avons également l'intégration avec Azure Active Directory. 

"Windows Server 2019 peut être exécuté partout, que ça soit on-permise, dans un cloud hybride ou totalement dans Azure."

Cette partie hybride est très importante pour Microsoft et les clients, car elle permettra de faciliter la transition vers Azure, de plus, l’intérêt est d'essayer l’adoption d' Azure pour les entreprises de façon "step by step" ce qui permet de garder toujours le contrôle sur son infrastructure et de maîtriser sa migration le jour J.

La sécurité :

Et oui, point très important pour nous tous et surtout pour Microsoft, qui ne cesse de faire évoluer ses systèmes au niveau sécurité,  afin de proposer des services sécurisés et optimales pour la production. 

l'approche de Microsoft au niveau de la sécurité :



Des nouveautés intéressantes cotés infrastructure et hardware, notamment avec plusieurs améliorations apportées aux Shielded VMs, ce qui permet de protéger les machines virtuelles Linux et Windows qui sont hébergées sous Hyper-V. des protections supplémentaires ont étaient ajoutées afin de protéger le Kernel avec CFG (Kernel Control Flow). La partie Virtual Network au niveau du SDN devient chiffrée de manière transparente pour les machines virtuelles, de plus, sans oublier l’intégration par défaut de l'agent Windows Defender ATP, il sera capable de détecter les attaques et les "zero day exploits". Pour finir; Microsoft inclus également Défender Exploit Guard qui permet aux entreprise d'élever leur niveau de sécurité et de se protéger contre les ransomware.

Une plateforme applicative:

Microsoft revient dans cette nouvelle version avec des améliorations apportées aux containers et l’intégration de docker avec Windows Server
Microsoft intègre Kubernetes et service fabric dans cette nouvelle version afin de faciler la gestion des Containers, de plus, il sera possible de faire exécuter ses containers Linux sur avec les Windows Container sur Windows Server 2019. une forte intégration et amélioration de ce cotés la afin de permettre aux utilisateurs Linux d’importer leur environnement et leur scripts avec Open SSH, Curl etc 


L'hyper-convergence :

Sortie avec Windows Server 2016, cette partie ne cesse de s’améliorer de version en version avec Windows Server 2019; l'accent est posé sur la performances et la haute disponibilité, il sera possible d'avoir un environnement avec plus de 100 serveurs grâce aux clusters Set. De plus, plusieurs partenaires (fabricant de hardware) se sont ajoutés à la liste afin de certifier leur matériel pour du Storage Space direct (S2D):


la partie déduplication à était également ajoutée dans cette partie Storage Space Directe, ce qui permet de faire des économies sur le stockage (une démo aux Ignite, avec plus de 82 % de gain sur le stockage ) comme on peut le voir :



De plus, avec le partenariat Intel - Microsoft; Microsoft affiche un record de plus de 13 millions d'IOPS sur sa plateforme d'hyper convergence Storage Space Direct:


Ceci est grâce aux nouveau disque Intel PMEM, qui sont des disques de très très grande rapidité car ils fonctionnent comme une RAM, mais sont non volatiles, ce qui permet de garder les données même hors tension du serveur.

Voici un ordre de grandeur donné par Microsoft lors des Ignite, cette semaine (donné par Cosmos le PM Storage Space Direct ):




Conclusion:

Windows Server 2019 arrive en GA en octobre, avec plusieurs nouveautés sur la partie sécurité, Plateforme, hybridation et infrastructure hyper convergée, ces 4 piliers, sont importants pour Microsoft dans sa roadmap Windows Server. 

La partie hybride avec Azure permettra de nous faciliter la transition vers le cloud et aussi de gérer notre Plateforme cloud depuis l'on-premise, par exemple, avec la gestion des machines virtuelles Azure via Admin center depuis un serveur On-prem. 

Comme demandé par plusieurs followers, j'ai fais un article qui résume la roadmap et nouveautés de Windows Server annoncé aux Ignite. dans un second article, j'annoncerais toutes les nouveauté au niveau technique, ce qui permet d'avoir deux articles complets qui pourront faire le récap de ce que Microsoft à annoncé aux Ignite cette semaine.

Je vous dis à très vite pour le second article plus technique sur les nouveautés de Windows Server 2019.

Cdt:
ST
Microsoft MVP

Modern Management Part 2 - comment faire ? et quelle méthodologie ?

Bonjour à tous,

Nous avons vu dans la partie 1 l’introduction au modern management, que vous pouvez trouver ici :


Nous avons vu ses apports, sa composition technologique et sa place dans un futur proche dans nos systèmes d’informations. 

De plus, je suis en ce moment aux Microsoft Ignite à Orlando , et on peut voir que Microsoft axe beaucoup sur ce thème avec beaucoup de sessions et de Workshop.

Dans cette seconde partie, nous allons aborder plus en détail le processus qui vous permettra de franchir le cap et d’aller vers ce modèle.

En résumé avec le modern management je peux :

  •         M’affranchir de plusieurs briques on-premise
  •         D’avoir un annuaire IDaaS basé sur le cloud de Microsoft - Le fameux AzureAD
  •         D’avoir des postes de travail sécurisés et managés
  •         D’avoir le contrôle sur mes données, les classifier et les chiffrer ( avec Azure Information Protection)
  •         De permettre à mes utilisateurs de s’authentifier avec une seule identité sur plusieurs services et cloud de l’entreprise
  •         D’avoir le contrôle sur le flux et le Traffic des utilisateurs en ce qui concerne les applications et services cloud
  •         De sécuriser l’accès aux données de l’entreprise grâce à des règles et stratégies sur Azure Active Directory
  •         De protéger les mots de passe de mes utilisateurs avec le Smart Lockout
  •         De protéger mes utilisateurs contre les activités malveillantes avec Identity Protection
  •         D’offrir à mes utilisateurs un espace de collaboration ( partage de fichier stockage de données, partage de fichier de manière sécurisée et surtout contrôlée)
  •         D’offrir à mes utilisateurs une messagerie basée sur Exchange Online , système complètement sécurisée et gérée par Microsoft
  •         De donner à mes utilisateurs un espace collaboratif dans le quel ils pourront échanger des informations, échanger de manière instantanée grâce à Skype For business et le tout dans un outil convergé è  Microsoft Teams
    

Comment ?

Deux scénarios pour moi qui sont les plus visibles chez les clients :

·        Full Modern Modern Management : toutes les briques on-premise n’existent plus au profit des briques M 365 ( rappelez-vous : Office365, EMS et Windows 10), ce cas reste encore rare, mais de plus en plus de clients ( PME , etc )  adoptent ce modèle et voient un réel intérêt ( par rapport aux apports et avantages cités plus haut)
     
      Ce modèle ressemble à ça : le système d'information repose uniquement sur le poste de travail de l'utilisateur finale, toutes la gestion du poste, de la sécurité se fait depuis le cloud de Microsoft à savoir Microsoft 365 :

         Modern Management hybride : Dans ce monde, nous avons les deux pieds sur les deux mondes, à savoir le monde on-prem avec l’Active Directory, les serveurs Exchange, SharePoint etc, et d’un autre coté nous sommes dans le Cloud avec ces mêmes briques, ceci est possible grâce à l’hybridation de ces services, qui permettent aux entreprises de passer le cloud et modern management en douceur.

Dans cette partie nous allons traiter le modern management avec l’hybridation. Qui est la partie la plus complexe et la plus intéressante pour moi lors des projets chez mes clients.

Par quoi commencer ?


Identification des besoins :
Avant tout projet, et surtout pour ce type de projet, il faut définir les besoins IT et les besoins utilisateurs. Car le but est de permettre à l’humain d’être plus productif dans son travail, et ceci est valable aussi bien pour les IT que les utilisateurs standards ( qui sont au centre des débats dans ce type de projet), car il faudra accompagner ces utilisateurs afin qu’ils puissent adopter ces nouveaux technologies et ces nouveaux usages.

Identification des briques techniques :
Dans cette phase, il faudra définir ce que vous souhaitez faire avec les briques cloud que vous avez à disposition, vous avez de la chance en générale, si on l’on étudie bien les besoins de son entreprise et ses utilisateurs, cette partie devrait pas prendre beaucoup de temps aux IT.

Car ici, il s’agit de traiter les décisions à prendre à propos des briques que l’on souhaite hybrider avec le cloud de Microsoft.

Une brique qui devra être obligatoirement hybridée ( ou presque, ceci dépendra de la philosophie de l’entreprise) , et vous l’aurez compris, la partie identité à savoir l’Active Directory. Car pour la simple bonne raison, l’utilisateurs à besoin d’une identité dans le cloud pour s’authentifier et consommer les services Cloud.

Mais quand je mentionne le «  ou presque » je fais référence à un annuaire IDaaS From cloud, c’est-à-dire que l’entreprise peut très bien décider d’utiliser uniquement l’Azure Active Directory comme source d’identité dans le cloud. Mais ce modèle présente une limite.La multiplication des identités pour les utilisateurs, car ces derniers, devront avoir deux comptes, leur compte Active Directory interne pour consommer les ressources on-prem et un autre cloud Azure Active Directory afin de consommer les services et ressources cloud.  

Avec l’hybridation de la brique identité ( Active Directory) nous allons répondre à cette problématique, en offrant aux utilisateurs une identité communs ( ressources cloud & ressources on-prem).

Avec Azure Active Directory, l’équation « une application  = une identité », devient obsolète et devient : « Une identité commune pour toutes les applications. »

Résumé - Pour l’extension de l’Active Directory vers Azure AD il y plusieurs choses à prendre en compte :

-        L’architecture AD :
o   Mono foret – mono domaine
o   Mono Foret – Multi domaines
o   Multi foret – Multi domaine
o   Etc

-        Service de fédération présents ( exemple ADFS, Ping Federate etc )
-       
      La structure des objets et attributs AD  ( correction des erreurs avec Idfix par exemple .. )

-        Moyen d’authentification :
o   Hash de hash de password
o   Federatie
o   Pass Through

-        Stratégie de synchronisation:
o   Quelles OUs, utilisateurs, population etc ..
o   Etc

Vous  pouvez consulter tous mes articles qui traitent cette partie ( étude avant d’aller vers Azure AD )  de manière technique ici :


Une fois l’identité validée, il faudra se pencher sur les autres briques que vous pouvez hybrider dans ce cas à savoir :

  •         La messagerie avec Exchange
  •         Le service SharePoint
  •         SCCM avec Intune ( qui sera bientôt plus possible)

Les postes de travail :
Partie très est importante, les postes de travail, il est nécessaire de bien réfléchir à comment vous allez les manager, les sécuriser et surtout au travers de quel moyen. Alors ici, comme pour l’identité, nous allons pouvoir hybrider les postes de travail et le joindre dans Azure Active Directory au même temps qu’il sont joint à l’Active Directory interne.



L’intérêt ? c’est de permettre la gestion et le contrôle du poste de travail au travers des deux mondes, on sera capable de pousser des stratégies de groupes ( GPO) et des policies Intune.  

Cette décision est importante, car elle modifiera le fonctionnement des postes d travail.

Bien entendu dans cette étape, il faudra étudier de manière granulaire les GPOs qui seront poussées et les policies Intune et éviter l’incohérence ou alors le fait d’avoir une GPO qui dit la même chose qu’une policie Intune. 

Les deux mondes doivent être complémentaires afin de vous apporter encore plus de sécurité et de la mobilité.  

Cette partie peut prendre en compte la partie Mobile, la force d’intune, c’est qu’il permet de traiter un poste de travail comme un appareil mobile, donc si vous avez envie d’ajouter la partie device ( Iphone, android, etc ) , pourquoi pas. Microsoft se veut cross Platform

Any Dev – Any App – Any Platform
La Sécurité :
Et oui, la Sécurité, la sécurité j’en parlerais toujours, car c’est l’un des points malheureusement le plus négligé dans tout projet, et ici nous sommes dans un contexte cloud, les enjeux de sécurité deviennent de plus en plus importants pour les entreprises, DSI et RSSI.

Avec comme EMS, comme nous l’avons vu, nous avons plusieurs couches de sécurité, qui vont permettre de sécuriser vos données, vos utilisateurs et vos appareils.

Une chose importante à faire avant de commencer est le Hardening des tenants ( Office 365, Azure ) à savoir les paramétrer avec les bons paramètres de sécurité.

Pour le tenant Office 365, vous pourrez aussi vous baser sur le secure score, : afin qu’il puisse vous donner le niveau de sécurité de votre tenant et vous donner quelques conseils afin de renforcer sa sécurité.

Exemple :


Ensuite en fonction de ce que vous avez définis, vous devez configure les features de sécurités suivantes :

-        Azure AD :
o   Access Conditionnel
o   Identity Protection
o   Smart Password
o   Azure MFA et AATP


Comme pour Office365, Azure AD dispose également de son secure score, qui vous permettra de voir le niveau de votre sécurité et d’apporter les modifications nécessaires pour le rendre encore plus sécurisé.




AIP :
o   Définition des Templates
o   Définition des classifications et des stratégies d’application – automatique ou pas
o   BYOK ou pas BYOK ?

Pour info, ce service peut également être hybridé avec des services on-prem comme Exchange, file serveur et SharePoint.
-       
    Cloud App Sécurité
o   Gouvernance
o   Création de policies et stratégies

Je ne parle pas encore de Microsoft ATA ou AATP, car ce n’est pas le sujet.

  
Gouvernance :
Une fois toutes ces étapes traités, il faudra penser à la gouvernance de tout cet Eco système à savoir Office 365, et EMS. Définir les bonnes personnes, les bons droits en fonction de la responsabilité de chaqu’un etc.

Et maintenant ? il reste plus qu’a déployer et commencer votre projet 😊 comme pour la partie 1, je vais introduire une brique qui nous permet la construction de ce rêve d’un monde mobile et sécurisé.
Je vais aborder dès à présent AIP ( Azure Information Protection).

Azure Information Protection 


AIP Azure Information Protection , est une solution intégrée dans la suite EMS qui permet de faire de la data classification et chiffrement des données ( fichiers et emails de l’entreprise) pour la petite histoire, ce service se nommait Azure RMS dans l’ancien portail Azure, et il traitait que la partie Right management à savoir le chiffrement et déchirement des données. Microsoft par la suite a acheté Secure Island afin d’apporter la couche classification.

Et le produit à était migré vers le nouveau portail Azure (V2 ) avec donc comme nouveau nom :
Azure Information Protection.

Les apports d’AIP :
       Classifier et chiffrer les documents – E-mails:
       Classification manuelle ou automatique des documents et E-Mails         
       Hello GDPR !
       Chiffrement des documents et E-Mails:
       Droit sur les fichiers
       Lecture
       Modification
       Full droit
       Mobilité:
       Access Offline
       Access offline limité dans le temps

       Partage de document :
       Partage sécurisé et contrôlé
       Limité dans le temps

       Départ collaborateur :
       Plus rien J une fois que le compte utilisateur est désactivé, l’utilisateur ne sera plus en mesure d’accéder aux données de l’entreprise
       AIP Scnner :
AIP scanner, permet de classifier les fichiers et documents de manière automatique en effectuant un scan au niveau des serveurs de fichiers ou encore sur les SharePoint servers.


       BYOK :
       Il sera possible de stocker la clé privé de chiffrement chez vous dans un boitier HSM par exemple, ce qui permettra d’avoir le contrôle sur votre clé privé.


Voici un exemple de création : classification :






Voici un exemple de création de Template  (je donne un accès qu'en lecture ) :



 Voici un exemple de classification et chiffrement automatique avec un pattern : 



Conclusion:

Vous l'aurez compris, le but de ces articles n'est pas vraiment technique mais pour donner une vision et un plan d'ensemble sur ce que l'on peut s'attendre du monder Workplace by Microsoft avec M365.

A la prochaine :) pour d'autres articles plus techniques , nous avons déjà effectué la partie identité avec Azure AD, nous attaquerons dans un prochain article la partie sécurité avec Azure AD, et AIP et ça sera occasion de vous présenter les nouveautés annoncés lors des Ignite 2018.

Cdt,
ST
Microsoft MVP

mercredi 19 septembre 2018

Modern Management Part 1 - Je rêve d'une monde mobile et sécurisé


Bonjour tout le monde,

Nous allons commencer une série d’articles autour du modern management avec EMS (Entreprise Mobility + Security). J’ai déjà réalisé un article qui traite de manière High level l’importance d’EMS au sein des systèmes d’information, vous pouvez le consulter ici :


Nous allons aujourd’hui parler d’un service qui devient de plus en plus important, qui est Microsoft Intune.

Intune est l’un des services clés qui offre aux entreprises le concept de Modern Management que Microsoft pousse de plus en plus. Bien entendu, vous l’aurez compris, le Modern management ne se résume pas à un seul service ou outil mais à suite de service nommé Microsoft365.

Microsoft offre à ses clients la suite Microsoft 365 qui comprend les services suivants :

  •         Office 365 : que l’on connait depuis longtemps avec ses services tel qu’exchange Online, ou encore ses outils collaboratifs tel que SharePoint Online, OneDrive , Teams et bien d’autres

  •          EMS : que l’on connait bien aussi avec Azure AD, la pièce maitresse du modern management au niveau identité et authentification, Intune pour la gestion des devices, et des briques de sécurité tel que Microsoft ATA, AATP , cloud app securiy ou encore AIP pour la classification et contraintes GDPR

  •      Windows 10 : avec des versions entreprise E3 , E5 ou alors éducation 



Ces 3 briques, composent et socle du modern management des postes de travail et devices mobile de demain. Telle est la vision de Microsoft (Cloud First – Mobile first) c’est la possibilité d’offrir un monde mobile aux entreprises, tout en protégeant et en gardant le contrôle sur ses ressources.

Mais , c’est quoi le Modern Management ?

C’est ça : 


oui, mais encore ?

Le modern management pour moi commence par une étape clé, qui est l’extension de l’active Directory vers Azure Active Directory, ce qui a pour but d’hybrider les utilisateurs et avoir une identité communes pour tous les services et applications cloud de l’entreprise.

Bien entendu, il est possible d’avoir des cas où l’entreprise ne dispose pas d’Active Directory et donc son seul fournisseur d’identité est Azure Active Directory, et c’est là que tout prend un sens , car comme on peut le voir sur une infrastructure traditionnelle que l’on la connait depuis toujours :

  •           Un annuaire Active Directory local qui fournit les identité et stocke les informations de nos utilisateurs, ordinateurs
  •           Des stratégies de groupe (GPO) afin de pousser des paramètres au niveau des postes de travail et utilisateurs
  •           SCCM pour la gestion des Workstation, ; serveurs, patch management, reporting etc
  •           Un ADRMS , pourquoi pas ? qui fournit à l’entreprise un système de chiffrement de fichier et de classification interne 
      
     Avec le modern management, tout change et se transforme:


  •           l’Azure Active Directory devient le fournisseur des identité (hybride ou non)
  •           Au lieu d’appliquer des GPOs, ; nous appliquons des Policy via Intune
  •           Pour les aspectes de sécurité nous allons utiliser des services qui sont déjà disponibles dans le cloud à savoir :

o   AIP pour le chiffrement de mail, fichier et classification
o   Cloud App Security comm CASB
o   ATA et AATP pour la sécurité des identités

On passe directement à un mode qui est orienté consommation avec des services cloud maintenus et opérés par Microsoft, nous n’avons plus qu’a consommer.

Bien entendu les entreprises ne vont pas aller dans le cloud du jour au lendemain, c’est pour cela que nous avons la possibilité d’hybrider certaines briques tel que l’Active Directory, (incluant les utilisateurs et postes de travail) afin d’offrir aux entreprise la possibilité de garder leur infrastructure d’identité interne et de profiter au même temps des possibilités et puissance d’Azure AD.

Introduction Intune 

Intune est un service basé sur le cloud de Microsoft qui permet de gérer les mobiles et poste de travail d’une entreprise de manière centralisée et totalement sécurisée.

Intune est service qui offre :
  •          La gestion des applications au niveau des devices personnel (BYOD) et professionnel
  •          La gestion d’appareil des devices et poste de travail de manière centralisée
  •       Le patch management des devices et postes de travail 

     "Intune est bien plus qu'un MDM, car il va au delà d'une simple gestion de smartphone, il s’étend vers les postes de travail Windows..." c'est l'une des partie du Modern Management


Intune peut aller encore plus loin en protégeant les informations de l’entreprise au niveau des device qu’il gère et de plus, il permet d’offrir une vérification stricte et granulaire de la conformité des devices et applications.

La force d’Intune est son intégration avec Azure AD pour la partie identité , et couche de sécurité (comme l’accès conditionnel) et AIP le chiffrement et classification des données de l’entreprise.

Avec Intune, je peux donner l’accès aux services cloud de mon entreprise à mes utilisateurs de manière complètement contrôlée et sécurisée. Qu’ils soient connecté avec un appareil personnel ou professionnel, qu'il soit à l’intérieur de l'entreprise, ou à l’extérieur, le niveau de sécurité sera le même. Tel est l'enjeu pour les DSI dans les années à venir.

Il se passe quoi dans Intune ? 

Avec Intune il est possible de faire plusieurs opérations :
  • Enrollement : Enregistrement des devices et postes de travail dans Intune
  • Profils de configuration: Création de profil de configuration afin de faire appliquer des policie Intune (Restriction, ou configuration d'un profil V¨PN, messagerie etc )
  • Politique de Compliance : Définition d'une politique de conformité des appareils en fonction de l'existant de l'entreprise, ce qui permet de maîtriser les appareils ajoutés 
  • Client app : installation d'application sur les device et postes de travail (exemple : installation centralisée d'Office 365 ProPlus sur toutes les machines Windows 10 ..
  • Accès Conditionnel : donner ou restreindre l’accès aux ressources de l'entreprise en fonction des conditions configurées ( ces conditions peuvent être basées sur la conformité du device, son emplacement,son état de santé, etc ...)



Apports Intune 

Intune propose également la partie update / patch management des appareils et postes de travail, une fonctionnalité très intéressante et qui va complètement dans le sens du modern management et la mobilité(, ce qui nous permet de nous débarrasser de notre serveur WSUS en interne par exemple. cette partie de patch management est encore un peu limitée à mon goût, mais Microsoft ne cesse de l’améliorer).

Exemple de patch management de Windows 10 :




 Exemple de patch management de iOS:


Les appareils mobiles et postes de travail qu’Intune peut gérer:
  •           Apple (iOS)
  •           Android Entreprise
  •           Android
  •           Mac Os
  •           Windows Phone
  •           Windows 8.1 et Windows 10

      Exemple de configuration Compliance Windows 10 :

      Remarques qu’il est possible de définir la conformité d’un poste de travail Windows  10 au niveau des paramètres suivants :

  •           Etat de santé du poste de travail
  •           Ses propriétés
  •           Sécurité
  •           ATP

 




     
Exemple de profil de configuration de Windows 10 :



     
Conclusion 

Comme évoqué à plusieurs reprises, Intune fait partie de la suite EMS. Il est l’une des briques maitresse pour bâtir ce monde mobile et sécurité que l’on espère tous un jour, avec moins de contraintes, plus de souplesse, il permet de gérer un poste de travail comme un appareil mobile, c’est une plateforme de management cross Platform qui permet de gérer plusieurs types d’appareils (IOS, Android ;Windows). 

Le modern management c’est avant tout la sécurité pour moi, c’est pour cela qu’Intune embarque plusieurs fonctionnalités et possibilités qui permettent de sécuriser les devices, les postes de travail et les applications, bien plus qu’un MDM traditionnel, son intégration avec Azure AD lui permet de bénéficier de toutes les briques de sécurité apportées par ce dernier, tel que l’Accès conditionnel par exemple, qui va permettre de faire restrictions au niveau des accès en fonction des conditions configurés par les administrateurs de l’entreprise.


à très vite pour la partie 2 😉

Cdt,
ST
Microsoft MVP




>