Les stratégies et les groupes d’ordinateurs

Le workspace « Ordinateur » également appelé « groupe d’ordinateurs » ne propose pas de réelles fonctionnalités. En fait, les groupes d’ordinateurs permettent de classifier et de différencier plusieurs ordinateurs en fonction des besoins d’une l’organisation et/ou de caractéristiques précis (lieux géographiques, service, capacité matérielle et logicielle…) car pour chaque groupe ou sous-groupe d’ordinateurs, il est possible de :

•    Réaliser du reporting vers un sous ensemble d’ordinateurs
•    Distribuer des correctifs vers un sous ensemble d’ordinateurs
•    Télédistribuer des logiciels vers un sous ensemble d’ordinateurs
•    Organiser des groupes d’ordinateurs par statut, niveau d’alerte ou niveau de mise à jour
•    Appliquer des stratégies vers des groupes d’ordinateurs
•    …
Les stratégies représentent la configuration des composants gérés par Windows Intune :
•    Windows Update et l’antivirus Endpoint Protection (détaillés plus loin dans cet article)
•    L’interface du client Windows Intune – Possibilité de configurer un numéro de téléphone et une adresse mail, un lien web et un contact ; afin de faciliter de potentielles actions et interactions pour l’utilisateur (se référer à la figure Windows Intune Center).
•    Le firewall Windows – permet comme son nom l’indique, la configuration du Firewall Windows, des exceptions de ce dernier (en fonction de son profil réseau : Domaine, privé et public)
•    La bande passante autorisée lors de déploiement d’application via la technologie BITS – Background Intelligent Transfer Service (limitation du taux de transfert pour une période horaire).

Protection Malware

Comme expliqué plus haut, Windows Intune apporte la possibilité d’utiliser l’antivirus « Intune Endpoint Protection », le mot « possibilité » est employé car rien n’empêche une entreprise de garder son antivirus, sa politique de sécurité et ces processus associés. Pour information, ce dernier s’appuie notamment sur le moteur Microsoft Malware Protection, utilisé par Forefront Endpoint Protection et Microsoft Security Essentials.

Si le choix d’implémenter « Intune Endpoint Protection » est acté, alors Windows Intune permettra à travers des stratégies de contrôler son installation et ces configurations.
En effet, l’installation du logiciel Endpoint Protection peut être forcée sur les ordinateurs du tenant ayant déjà une solution antivirus ou non (si un antivirus déjà présent sur l’ordinateur cible, Endpoint Protection cherchera à désinstaller ce dernier). Ensuite, Windows Intune contrôlera l’application des paramètres souhaités : stratégie de protection en temps réel, planification d’analyses et les options d’analyse, les exclusions souhaitées, …

A terme, tout incident de sécurité : détection d’antivirus, absence d’analyse… seront remontés à la console.