Microsoft Intune en mode SaaS

L’administration s’effectue depuis la console web. Un compte de démonstration peut être créé à cette suivante. Ainsi, vous aurez 30 jours pour tester les nombreuses fonctionnalités du produit. Dès lors que ces opérations sont effectuées, la mise en place des règles peut débuter. La console d’administration (lien Admin Console en haut à droite) permet cela. La page d’accueil permet très rapidement d’avoir des informations importantes (nombre de périphériques, alertes, politiques en erreur,…).

(((IMG7983)))

Le bandeau de gauche permet lui l’accès aux différentes fonctionnalités de la plateforme. L’option Admin permet d’accéder à la configuration de la plateforme. Ainsi, on peut facilement visualiser les plateformes qui sont prises en charge par Intune et celles qui nécessitent une configuration supplémentaire.

Contrairement au mode hybride qui nécessite un certificat pour la gestion des Windows Phone 8.1, le mode SaaS prend nativement la prise en charge de cette plateforme. Attention néanmoins, la gestion des équipements sous Windows Phone 8.0 nécessitera obligatoirement la signature de l’application Company Portal et ce pour les deux modes. Cette opération s’effectuera avec un certificat acheté chez Symantec.

La gestion des iPad et iPhone nécessitera également un certificat numérique (en mode SaaS ou en mode Hybride). Contrairement à Symantec où le certificat doit être acheté, le certificat pour les iOS doit être demandé à Apple et nécessite uniquement un compte Apple ID. Aucun supplémentaire n’est à prévoir pour cette plateforme.

Les équipements sous Android ne nécessitent pas de prérequis particuliers. Contrairement à certains de ses concurrents, Intune donne la possibilité de gérer des équipements (tablettes, pc, portables) exécutant un système d’exploitation Windows 7, Windows 8 ou Windows 8.1.

Pour cela, il est nécessaire de télécharger depuis le menu Admin (Client Software Download), l’agent intune. Après avoir installé ce dernier, la console permettra d’accéder à deux nouvelles fonctionnalités :

• Déploiement de mise à jour Windows.

• Configuration de l’anti-virus.

En effet, l’installation de l’agent sur ces postes, installera également l’anti-virus EndPoint. Ainsi, le service IT aura la possibilité de configurer les règles de l’antivirus mais également les correctifs à installer. Cette fonctionnalité est très intéressante pour des équipements qui sont très rarement voire jamais connectés au réseau. Il est intéressant de noter que l’application Portail d’entreprise est maintenant présente sur les trois stores publics (Windows Store de Microsoft, App Store d’Apple ou Play Store pour Android). Ainsi, un utilisateur peut télécharger et enrôler un équipement sans intervention du service IT.

Attention néanmoins si cette opération est effectuée sur des postes de travail ou portables Windows 8/8.1, ces derniers seront considérés comme équipements mobiles. Cela aura pour conséquence la perte de la fonctionnalité déploiement de mises à jour Windows et installation et configuration de l’anti-virus.

Microsoft Intune permet également le déploiement de règles de configuration. Ces dernières ont le même rôle qu’une stratégie de groupe dans un domaine AD. Le service IT a ainsi la possibilité d’imposer des règles de sécurité (longueur minimale du mot de passe, complexité activée, historique des mots de passe,…) mais également des paramètres de configuration (interdire l’accès au Store, désactiver l’appareil photo,…). Les paramètres sont valables pour une ou plusieurs plateformes.

Vous pouvez retrouver ici le lien Technet présentant l’ensemble des paramètres ainsi que les plateformes sur lesquelles ils peuvent être appliqués. Une fois les règles créées, il sera nécessaire de les appliquer à un groupe d’utilisateurs ou d’ordinateurs. Ces groupes sont créés directement dans la console Intune. Par la suite il est nécessaire d’y ajouter les utilisateurs ou équipements souhaités.

Enfin, clôturons le mode SaaS par la fonctionnalité de déploiement d’une application. En effet, le service ITa la possibilité de mettre à disposition d’un groupe d’utilisateurs ou d’équipements une ou plusieurs applications.

Il est possible de mettre à disposition des applications de types msi, exécutable ou de type « mobile ». Pour le premier type d’applications, il est nécessaire de fournir au moment de l’importation la ligne d’installation silencieuse.

Pour les applications de type « mobile » l’IT a la possibilité de mettre à disposition une application du store, dans ce cas le client de l’application doit être donné lors de l’importation. Exemple pour une application Windows Phone ici.

Pour les entreprises disposant d’application mobile développée en interne (sous format IPA, APK,…), il est également possible de déployer ce type d’application. L’installation peut être de type « disponible » ou « obligatoire ». Dans le premier cas, l’application est proposée à l’utilisateur par l’intermédiaire de son portail applicatif.

(((IMG7982)))

Dans le second cas, l’installation s’opèrera automatiquement sur l’équipement sans intervention de l’utilisateur. Une exception néanmoins est présente pour l’installation d’une application du store sur un équipement Apple. En effet, l’utilisateur devra au préalable valider l’installation pour que celle-ci débute.