> Tech > Windows Intune : LA solution de MDM

Windows Intune : LA solution de MDM

Tech - Par iTPro - Publié le 16 juillet 2014
email

Historiquement, System Center Configuration Manager 2012 et Windows Intune pouvaient gérer des « appareils connectés », autrement dit des périphériques mobiles : des tablettes, des téléphones portables…

Windows Intune : LA solution de MDM

Cette gestion était possible grâce au protocole EAS (Exchange ActiveSync), pour détecter et gérer les périphériques mobiles au sein de l’entreprise. Le fait d’utiliser le protocole EAS impliquait l’utilisation et potentiellement l’implémentation d’une infrastructure « On-Premises » d’Exchange Server (solution de messagerie Microsoft). Malheureusement, à l’heure où de nombreuses sociétés envisagent d’utiliser une solution « Online » comme solution messagerie, le fait de se baser uniquement sur le protocole EAS semble caduc et difficile. D’autant plus que ce dernier n’offre pas toutes les capacités d’une solution de gestion des périphériques mobiles (MDM – Mobile Device Management).

Maintenant et depuis sa quatrième version, Windows Intune est la solution Microsoft de gestion des périphériques mobiles, c’est-à-dire la solution MDM – Mobile Device Management ; car contrairement aux précédentes versions et à la version actuelle de System Center Configuration Manager, Windows Intune passe directement par la couche MDM des périphériques cibles, ce qui amène des fonctionnalités supplémentaires, d’autres périmètres potentiels à gérer et des améliorations notables.

Le premier intérêt à définir Windows Intune comme la solution MDM concerne le périmètre couvert par ce dernier car la version actuelle prend entre autres en charge les « appareils connecté » suivants : Windows Phone 7, Android, iOS, Windows RT et Windows Phone 8. D’autant plus que Windows Intune propose des fonctionnalités en accord avec le périmètre cible (par exemple : gestion des paramètres icloud pour de l’iOS). A noter qu’afin d’établir une communication sécurisée entre le service Windows Intune et les « appareils connectés », il y a des prérequis différents chaque type de périphériques listés précédemment. Par exemple pour la gestion d’iOS, un certificat de type APN – Apple Push Notification est nécessaire, afin d’autoriser la communication entre la solution de MDM et un appareil de type iOS.

Le deuxième gain à utiliser Windows Intune comme la solution de MDM, concerne les nouvelles fonctionnalités et les améliorations proposées nativement. Car ce repositionnement en tant que solution MDM, permet à Windows Intune de couvrir la palette fonctionnelle suivante.

Optimisation et nouveaux paramètres de gestion

• De manière générale, la première optimisation concernantles stratégies de gestion est qu’auparavant cette dernière était appliquée sur l’objet utilisateur et non sur l’objet ordinateur. Ce qui permet de contrôler l’application des paramétrages sur la bonne cible et ainsi éviter tous les conflits et dérives non souhaités lorsque par exemple un utilisateur était propriétaire de plusieurs périphériques mobiles. De plus et même si les paramètres applicables ou non à un type d’appareil sont déjà distingués, l’administrateur sera alerté en cas de ciblage de paramétrage non applicable à un appareil.

• Sans tous les détailler, les options suivantes peuvent être appliquées et ainsi contrôlées :

−Stratégie de mot de passe : exiger un mot de passe pour déverrouiller les périphériques, type de mots de passe requis, nombre minimum de caractères, longueur minimale…
−Stratégie de chiffrement : nécessité de crypter le périphérique…
−Stratégie de téléchargement des messages électroniques : taille maximum d’un email…
−Stratégie de capacité du périphérique : autoriser la caméra/l’appareil photo, autoriser le navigateur web…

• Exemple de paramètres en fonction d’un type d’appareil (liste non exhaustive) :

−Paramètres spécifiques à l’iOS : autoriser la sauvegarde dans icloud, autoriser la synchronisation des documents dans icloud…
−Paramètres spécifiques à Windows RT : l’iOS : autoriser un mot de passe image et un code confidentiel

• Enfin, il est à noter que l’application des stratégies de gestion est déployée et appliquée à des intervalles variables et personnalisables en fonction du type de périphériques listés précédemment. Par exemple : pour les équipements de type « Windows Phone 8 », par défaut la mise à jour s’effectue tous les jours. Mais un paramètre central permet de forcer le rafraichissement des stratégies en question.

Le déploiement d’applications diversifié, pour l’ensemble de la flotte mobile

Les capacités de déploiement d’applications envers les appareils connectés ont évolué car il est possible de déployer des applications en mode pull (en « libre-service » à travers le portail d’entreprise) selon différents scénarios. Les capacités ont également évolué car l’ensemble des plateformes mobiles listées précédemment peuvent être adressées.

• Pour les applications en « libre-service », chaque plateforme possède son propre format natif de déploiement : Windows 8: format APPX »

−WP8: format « XAP »
−Iphone: format « IPA »
−Android: format « APK »

• Toujours pour les applications en libre-service et pour pratiquement l’ensemble des périmètres (sauf pour Windows Phone 7), il possible maintenant de réaliser des publications d’applications selon les principes de « Deep links » et de « Web Apps ».

Le principe de « Deep links » consiste en une redirection vers le même Store public mais à travers le portail d’entreprise apporté nativement par Windows Intune.

Le principe de « Web Apps » est équivalent au « Deep links » sauf que dans ce cas, la redirection est effectuée vers une application mise à disposition un site internet spécifique.

Un inventaire matériel enrichi et étendu

Le fait de ne plus utiliser le protocole EAS pour gérer les appareils mobiles, permet de fournir un inventaire avec plus riche grâce à la couche locale MDM. Évidemment, Windows Intune permet toujours d’enrôler « over the air » des périphériques mobiles. Enfin, le troisième avantage à déclarer Windows Intune comme la solution MDM est l’intégration décrite précédemment avec SCCM 2012 SP1. A titre d’exemple, il sera possible de réaliser des actions de type « Remote Wipe » et de type « Remote retire » directement depuis la console SCCM 2012 SP1. Les principes d’infrastructure et de segmentation des « appareils connectés » entre System Center Configuration Manager et Windows Intune sont résumés ainsi :

(((IMG7012)))

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 16 juillet 2014