Bonjour tout le monde,
Nous allons commencer une série d’articles
autour du modern management avec EMS (Entreprise Mobility + Security). J’ai
déjà réalisé un article qui traite de manière High level l’importance d’EMS au
sein des systèmes d’information, vous pouvez le consulter ici :
Nous allons aujourd’hui parler d’un service
qui devient de plus en plus important, qui est Microsoft Intune.
Intune est l’un des services clés qui offre
aux entreprises le concept de Modern Management que Microsoft pousse de plus en
plus. Bien entendu, vous l’aurez compris, le Modern management ne se résume pas
à un seul service ou outil mais à suite de service nommé Microsoft365.
Microsoft offre à ses clients la suite Microsoft 365 qui comprend les services
suivants :
- Office 365 : que l’on connait depuis longtemps avec ses services tel qu’exchange Online, ou encore ses outils collaboratifs tel que SharePoint Online, OneDrive , Teams et bien d’autres
- EMS : que l’on connait bien aussi avec Azure AD, la pièce maitresse du modern management au niveau identité et authentification, Intune pour la gestion des devices, et des briques de sécurité tel que Microsoft ATA, AATP , cloud app securiy ou encore AIP pour la classification et contraintes GDPR
- Windows 10 : avec des versions entreprise E3 , E5 ou alors éducation
Pour en savoir plus sur Microsoft 365 : https://www.microsoft.com/en-us/licensing/product-licensing/microsoft-365-enterprise.aspx
Ces 3 briques, composent et socle du modern
management des postes de travail et devices mobile de demain. Telle est la
vision de Microsoft (Cloud First –
Mobile first) c’est la possibilité d’offrir un monde mobile aux entreprises,
tout en protégeant et en gardant le contrôle sur ses ressources.
Mais , c’est quoi le Modern Management ?
C’est ça :
oui, mais encore ?
Le modern management pour moi commence par une
étape clé, qui est l’extension de l’active Directory vers Azure Active
Directory, ce qui a pour but d’hybrider les utilisateurs et avoir une identité
communes pour tous les services et applications cloud de l’entreprise.
Bien entendu, il est possible d’avoir des cas
où l’entreprise ne dispose pas d’Active Directory et donc son seul fournisseur
d’identité est Azure Active Directory, et c’est là que tout prend un sens , car
comme on peut le voir sur une infrastructure traditionnelle que l’on la connait
depuis toujours :
- Un annuaire Active Directory local qui fournit les identité et stocke les informations de nos utilisateurs, ordinateurs
- Des stratégies de groupe (GPO) afin de pousser des paramètres au niveau des postes de travail et utilisateurs
- SCCM pour la gestion des Workstation, ; serveurs, patch management, reporting etc
- Un ADRMS , pourquoi pas ? qui fournit à l’entreprise un système de chiffrement de fichier et de classification interne
Avec le modern management, tout change et se
transforme:
- l’Azure Active Directory devient le fournisseur des identité (hybride ou non)
- Au lieu d’appliquer des GPOs, ; nous appliquons des Policy via Intune
- Pour les aspectes de sécurité nous allons utiliser des services qui sont déjà disponibles dans le cloud à savoir :
o
AIP pour le chiffrement de mail,
fichier et classification
o
Cloud App Security comm CASB
o
ATA et AATP pour la sécurité des
identités
On passe directement à un mode qui est orienté
consommation avec des services cloud maintenus et opérés par Microsoft, nous n’avons
plus qu’a consommer.
Bien entendu les entreprises ne vont pas aller
dans le cloud du jour au lendemain, c’est pour cela que nous avons la
possibilité d’hybrider certaines briques tel que l’Active Directory, (incluant
les utilisateurs et postes de travail) afin d’offrir aux entreprise la possibilité
de garder leur infrastructure d’identité interne et de profiter au même temps
des possibilités et puissance d’Azure AD.
Introduction Intune
Intune est un service basé sur le cloud de
Microsoft qui permet de gérer les mobiles et poste de travail d’une entreprise
de manière centralisée et totalement sécurisée.
Intune est service qui offre :
- La gestion des applications au niveau des devices personnel (BYOD) et professionnel
- La gestion d’appareil des devices et poste de travail de manière centralisée
- Le patch management des devices et postes de travail
"Intune est bien plus qu'un MDM, car il va au delà d'une simple gestion de smartphone, il s’étend vers les postes de travail Windows..." c'est l'une des partie du Modern Management
Intune peut aller encore plus loin en protégeant
les informations de l’entreprise au niveau des device qu’il gère et de plus, il
permet d’offrir une vérification stricte et granulaire de la conformité des
devices et applications.
La force d’Intune est son intégration avec
Azure AD pour la partie identité , et couche de sécurité (comme l’accès
conditionnel) et AIP le chiffrement et classification des données de l’entreprise.
Avec Intune, je peux donner l’accès aux
services cloud de mon entreprise à mes utilisateurs de manière complètement contrôlée
et sécurisée. Qu’ils soient connecté avec un appareil personnel ou professionnel, qu'il soit à l’intérieur de l'entreprise, ou à l’extérieur, le niveau de sécurité sera le même. Tel est l'enjeu pour les DSI dans les années à venir.
Il se passe quoi dans Intune ?
Avec Intune il est possible de faire plusieurs opérations :
- Enrollement : Enregistrement des devices et postes de travail dans Intune
- Profils de configuration: Création de profil de configuration afin de faire appliquer des policie Intune (Restriction, ou configuration d'un profil V¨PN, messagerie etc )
- Politique de Compliance : Définition d'une politique de conformité des appareils en fonction de l'existant de l'entreprise, ce qui permet de maîtriser les appareils ajoutés
- Client app : installation d'application sur les device et postes de travail (exemple : installation centralisée d'Office 365 ProPlus sur toutes les machines Windows 10 ..
- Accès Conditionnel : donner ou restreindre l’accès aux ressources de l'entreprise en fonction des conditions configurées ( ces conditions peuvent être basées sur la conformité du device, son emplacement,son état de santé, etc ...)
Apports Intune
Intune propose également la partie update /
patch management des appareils et postes de travail, une fonctionnalité très intéressante
et qui va complètement dans le sens du modern management et la mobilité(, ce
qui nous permet de nous débarrasser de notre serveur WSUS en interne par exemple. cette partie de patch management est encore un peu limitée à mon
goût, mais Microsoft ne cesse de l’améliorer).
Exemple de patch management de Windows 10 :
Les appareils mobiles et postes de travail qu’Intune
peut gérer:
- Apple (iOS)
- Android Entreprise
- Android
- Mac Os
- Windows Phone
- Windows 8.1 et Windows 10
Exemple de configuration Compliance Windows 10 :
Remarques qu’il est possible de définir la conformité
d’un poste de travail Windows 10 au
niveau des paramètres suivants :
- Etat de santé du poste de travail
- Ses propriétés
- Sécurité
- ATP
Exemple de profil de configuration de Windows 10 :
Conclusion
Comme évoqué à plusieurs reprises, Intune fait
partie de la suite EMS. Il est l’une des briques maitresse pour bâtir ce monde
mobile et sécurité que l’on espère tous un jour, avec moins de contraintes,
plus de souplesse, il permet de gérer un poste de travail comme un appareil
mobile, c’est une plateforme de management cross Platform qui permet de gérer
plusieurs
Le modern management c’est avant tout la
sécurité pour moi, c’est pour cela qu’Intune embarque plusieurs fonctionnalités
et possibilités qui permettent de sécuriser les devices, les postes de travail
et les applications, bien plus qu’un MDM traditionnel, son intégration avec Azure
AD lui permet de bénéficier de toutes les briques de sécurité apportées par ce
dernier, tel que l’Accès conditionnel par exemple, qui va permettre de faire restrictions
au niveau des accès en fonction des conditions configurés par les administrateurs
de l’entreprise.
à très vite pour la partie 2 😉
Cdt,
ST
Microsoft MVP
