Search This Blog

mercredi 19 septembre 2018

Modern Management Part 1 - Je rêve d'une monde mobile et sécurisé


Bonjour tout le monde,

Nous allons commencer une série d’articles autour du modern management avec EMS (Entreprise Mobility + Security). J’ai déjà réalisé un article qui traite de manière High level l’importance d’EMS au sein des systèmes d’information, vous pouvez le consulter ici :


Nous allons aujourd’hui parler d’un service qui devient de plus en plus important, qui est Microsoft Intune.

Intune est l’un des services clés qui offre aux entreprises le concept de Modern Management que Microsoft pousse de plus en plus. Bien entendu, vous l’aurez compris, le Modern management ne se résume pas à un seul service ou outil mais à suite de service nommé Microsoft365.

Microsoft offre à ses clients la suite Microsoft 365 qui comprend les services suivants :

  •         Office 365 : que l’on connait depuis longtemps avec ses services tel qu’exchange Online, ou encore ses outils collaboratifs tel que SharePoint Online, OneDrive , Teams et bien d’autres

  •          EMS : que l’on connait bien aussi avec Azure AD, la pièce maitresse du modern management au niveau identité et authentification, Intune pour la gestion des devices, et des briques de sécurité tel que Microsoft ATA, AATP , cloud app securiy ou encore AIP pour la classification et contraintes GDPR

  •      Windows 10 : avec des versions entreprise E3 , E5 ou alors éducation 



Ces 3 briques, composent et socle du modern management des postes de travail et devices mobile de demain. Telle est la vision de Microsoft (Cloud First – Mobile first) c’est la possibilité d’offrir un monde mobile aux entreprises, tout en protégeant et en gardant le contrôle sur ses ressources.

Mais , c’est quoi le Modern Management ?

C’est ça : 


oui, mais encore ?

Le modern management pour moi commence par une étape clé, qui est l’extension de l’active Directory vers Azure Active Directory, ce qui a pour but d’hybrider les utilisateurs et avoir une identité communes pour tous les services et applications cloud de l’entreprise.

Bien entendu, il est possible d’avoir des cas où l’entreprise ne dispose pas d’Active Directory et donc son seul fournisseur d’identité est Azure Active Directory, et c’est là que tout prend un sens , car comme on peut le voir sur une infrastructure traditionnelle que l’on la connait depuis toujours :

  •           Un annuaire Active Directory local qui fournit les identité et stocke les informations de nos utilisateurs, ordinateurs
  •           Des stratégies de groupe (GPO) afin de pousser des paramètres au niveau des postes de travail et utilisateurs
  •           SCCM pour la gestion des Workstation, ; serveurs, patch management, reporting etc
  •           Un ADRMS , pourquoi pas ? qui fournit à l’entreprise un système de chiffrement de fichier et de classification interne 
      
     Avec le modern management, tout change et se transforme:


  •           l’Azure Active Directory devient le fournisseur des identité (hybride ou non)
  •           Au lieu d’appliquer des GPOs, ; nous appliquons des Policy via Intune
  •           Pour les aspectes de sécurité nous allons utiliser des services qui sont déjà disponibles dans le cloud à savoir :

o   AIP pour le chiffrement de mail, fichier et classification
o   Cloud App Security comm CASB
o   ATA et AATP pour la sécurité des identités

On passe directement à un mode qui est orienté consommation avec des services cloud maintenus et opérés par Microsoft, nous n’avons plus qu’a consommer.

Bien entendu les entreprises ne vont pas aller dans le cloud du jour au lendemain, c’est pour cela que nous avons la possibilité d’hybrider certaines briques tel que l’Active Directory, (incluant les utilisateurs et postes de travail) afin d’offrir aux entreprise la possibilité de garder leur infrastructure d’identité interne et de profiter au même temps des possibilités et puissance d’Azure AD.

Introduction Intune 

Intune est un service basé sur le cloud de Microsoft qui permet de gérer les mobiles et poste de travail d’une entreprise de manière centralisée et totalement sécurisée.

Intune est service qui offre :
  •          La gestion des applications au niveau des devices personnel (BYOD) et professionnel
  •          La gestion d’appareil des devices et poste de travail de manière centralisée
  •       Le patch management des devices et postes de travail 

     "Intune est bien plus qu'un MDM, car il va au delà d'une simple gestion de smartphone, il s’étend vers les postes de travail Windows..." c'est l'une des partie du Modern Management


Intune peut aller encore plus loin en protégeant les informations de l’entreprise au niveau des device qu’il gère et de plus, il permet d’offrir une vérification stricte et granulaire de la conformité des devices et applications.

La force d’Intune est son intégration avec Azure AD pour la partie identité , et couche de sécurité (comme l’accès conditionnel) et AIP le chiffrement et classification des données de l’entreprise.

Avec Intune, je peux donner l’accès aux services cloud de mon entreprise à mes utilisateurs de manière complètement contrôlée et sécurisée. Qu’ils soient connecté avec un appareil personnel ou professionnel, qu'il soit à l’intérieur de l'entreprise, ou à l’extérieur, le niveau de sécurité sera le même. Tel est l'enjeu pour les DSI dans les années à venir.

Il se passe quoi dans Intune ? 

Avec Intune il est possible de faire plusieurs opérations :
  • Enrollement : Enregistrement des devices et postes de travail dans Intune
  • Profils de configuration: Création de profil de configuration afin de faire appliquer des policie Intune (Restriction, ou configuration d'un profil V¨PN, messagerie etc )
  • Politique de Compliance : Définition d'une politique de conformité des appareils en fonction de l'existant de l'entreprise, ce qui permet de maîtriser les appareils ajoutés 
  • Client app : installation d'application sur les device et postes de travail (exemple : installation centralisée d'Office 365 ProPlus sur toutes les machines Windows 10 ..
  • Accès Conditionnel : donner ou restreindre l’accès aux ressources de l'entreprise en fonction des conditions configurées ( ces conditions peuvent être basées sur la conformité du device, son emplacement,son état de santé, etc ...)



Apports Intune 

Intune propose également la partie update / patch management des appareils et postes de travail, une fonctionnalité très intéressante et qui va complètement dans le sens du modern management et la mobilité(, ce qui nous permet de nous débarrasser de notre serveur WSUS en interne par exemple. cette partie de patch management est encore un peu limitée à mon goût, mais Microsoft ne cesse de l’améliorer).

Exemple de patch management de Windows 10 :




 Exemple de patch management de iOS:


Les appareils mobiles et postes de travail qu’Intune peut gérer:
  •           Apple (iOS)
  •           Android Entreprise
  •           Android
  •           Mac Os
  •           Windows Phone
  •           Windows 8.1 et Windows 10

      Exemple de configuration Compliance Windows 10 :

      Remarques qu’il est possible de définir la conformité d’un poste de travail Windows  10 au niveau des paramètres suivants :

  •           Etat de santé du poste de travail
  •           Ses propriétés
  •           Sécurité
  •           ATP

 




     
Exemple de profil de configuration de Windows 10 :



     
Conclusion 

Comme évoqué à plusieurs reprises, Intune fait partie de la suite EMS. Il est l’une des briques maitresse pour bâtir ce monde mobile et sécurité que l’on espère tous un jour, avec moins de contraintes, plus de souplesse, il permet de gérer un poste de travail comme un appareil mobile, c’est une plateforme de management cross Platform qui permet de gérer plusieurs types d’appareils (IOS, Android ;Windows). 

Le modern management c’est avant tout la sécurité pour moi, c’est pour cela qu’Intune embarque plusieurs fonctionnalités et possibilités qui permettent de sécuriser les devices, les postes de travail et les applications, bien plus qu’un MDM traditionnel, son intégration avec Azure AD lui permet de bénéficier de toutes les briques de sécurité apportées par ce dernier, tel que l’Accès conditionnel par exemple, qui va permettre de faire restrictions au niveau des accès en fonction des conditions configurés par les administrateurs de l’entreprise.


à très vite pour la partie 2 😉

Cdt,
ST
Microsoft MVP




< >