Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. EMS
  3. Mise en place d’Intune en mode autonome
Extrait - EMS Gestion et sécurité des ressources de l'entreprise dans le cloud
Extraits du livre
EMS Gestion et sécurité des ressources de l'entreprise dans le cloud Revenir à la page d'achat du livre

Mise en place d’Intune en mode autonome

Microsoft Intune autonome ou hybride

Avant toute mise en place de Microsoft Intune, il convient de choisir entre une plateforme Microsoft Intune en mode autonome ou en mode hybride avec SCCM. Il est nécessaire pour cela de connaître les deux solutions, leurs avantages et leurs inconvénients. Le passage d’un mode à l’autre a été simplifié depuis SCCM 1610. Il n’est plus nécessaire de contacter le support Microsoft pour cela. Ce point est traité dans le prochain chapitre.

1. Mode autonome

Le mode autonome est la solution cloud du MDM de Microsoft. Il permet d’effectuer la gestion des périphériques mobiles depuis un portail web accessible depuis n’importe quel endroit sur la planète. Les plateformes Intune sont hébergées en Amérique du Nord, en Europe ou en Asie. Les clients français sont hébergés en Europe. Il est possible de voir où sont stockées les données depuis la plateforme Intune.

images/07RI146.png

Le mode autonome permet une mise en place rapide et beaucoup plus simple qu’un mode hybride. En effet, ce mode ne possède aucune interaction avec le système d’information de l’entreprise. Seule une synchronisation Active Directory est envisageable. Concernant cette dernière opération, bien que recommandée, elle n’est en aucun cas obligatoire. Cela permet...

Présentation de la solution

Microsoft Intune est une des fonctionnalités de la suite EMS. Il offre aux IT la possibilité de gérer toutes leurs flottes mobiles (tablette, smartphone ou ordinateur portable). Il est possible de gérer l’équipement, mais également certaines de ses fonctionnalités. Les applications ainsi que les différentes ressources de l’entreprise peuvent également être déployées. L’administration s’opère désormais depuis la console Azure. Cela permet d’effectuer l’administration des ressources cloud (Azure et EMS) depuis une seule et même console. L’ancienne plateforme utilisait Silverlight, ce qui limitait le nombre de navigateurs compatibles. La nouvelle plateforme est plus respectueuse des standards du Web. Les navigateurs suivants peuvent maintenant être utilisés :

  • Microsoft Edge

  • Microsoft Internet Explorer 11

  • Dernière version de Safari sur Mac uniquement

  • Chrome

  • Firefox

1. Appareils mobiles pris en charge

La plateforme Microsoft Intune permet la prise en charge de l’ensemble des OS mobiles et PC du marché. Concernant les équipements sous Apple, il est nécessaire d’avoir au minimum IOS 8.0 (ou une version supérieure) ou Mac OS X 10.9 (ou une version supérieure).

Les systèmes d’exploitation Windows 8.1 (Windows 8.1 et Windows 8.1 RT), ainsi que Windows 10 (Windows 10, Windows 10 Mobile, Windows 10 IOT) sont pris en charge. Enfin, les plateformes Android (Android 4.0 ou une version ultérieure) peuvent également être gérées avec Microsoft Intune.

2. Vues d’ensemble des différents...

Gestion des appareils mobiles avec Intune

Cette section traite de la gestion des mobiles à l’aide d’Intune autonome. La gestion de ces mobiles avec Intune et SCCM est traitée plus loin dans le livre. Après avoir configuré l’autorité MDM, il est nécessaire de configurer la plateforme Intune pour la prise en charge des différentes plateformes.

 Dans Intune, cliquez sur Inscription de l’appareil.

images/07RI16.png

Les différentes plateformes mobiles (Windows, Android, IOS et Mac OS) peuvent maintenant être activées.

1. Prise en charge d’équipements Windows

La prise en charge d’équipements sous Windows 10 nécessite l’ajout d’un enregistrement dans le DNS public. Pour assurer l’autodécouverte du serveur d’enregistrement, il est nécessaire d’ajouter l’enregistrement suivant :

  • Type : CNAME

  • Nom de l’enregistrement : EnterpriseEnrollment.company_domain.com

  • Cible : EnterpriseEnrollment-s.manage.microsoft.com

  • TTL : 1 h

images/07RI17.png

 La console Intune permet de vérifier que l’ajout a été correctement opéré. Dans Intune, cliquez sur Testeur de CNAME.

images/07RI18.png

 Après avoir testé le nom de domaine, cliquez sur le bouton Tester pour vous assurer de la bonne configuration du DNS.

Images/07RI114.png

Par la suite, il est possible d’ajouter des postes de travail sous Windows 8, 8.1 ou Windows 10.

L’ajout s’opère par le biais de la fonctionnalité Workplace Join présente dans les systèmes d’exploitation Microsoft depuis Windows 8. Cette fonctionnalité a pour but de contrôler les accès aux ressources de l’entreprise depuis le poste personnel ou professionnel de l’utilisateur. Le poste n’est pas joint au domaine Active Directory de l’entreprise. Les utilisateurs ont la possibilité d’utiliser le SSO dans les applications. Ainsi, le service IT permet de réduire le nombre d’authentifications nécessaires pour accéder aux ressources de l’entreprise.

 Depuis le poste Windows 10, accédez au panneau de configuration.

Images/07RI115.png

 Cliquez sur Comptes, puis sur Accès Professionnel ou Scolaire.

Images/07RI116.png

 Dans la fenêtre qui s’affiche, cliquez sur le lien S’inscrire uniquement à la gestion...

Configuration d’une politique

Comme pour les stratégies de groupe dans un domaine AD, il est possible d’appliquer dans Intune des paramètres de sécurité ou de configuration. Les différentes stratégies sont catégorisées de la manière suivante :

  • Stratégie de configuration : permet la mise en place de paramètre de sécurité et la configuration de certaines fonctionnalités de l’équipement (appareil photo, NFC…).

  • Stratégie de conformité : l’administrateur a la possibilité de définir les paramètres devant être respectés pour que l’équipement soit considéré comme conforme. Ainsi, un périphérique jailbreaké ou rooté peut être considéré comme non conforme.

  • Stratégie d’accès conditionnel : l’administrateur a la possibilité de couper l’accès à certaines ressources (messagerie…) si l’équipement est considéré comme non conforme.

  • Stratégie d’accès aux ressources : il est possible de déployer des ressources de l’entreprise telles que VPN, Wi-Fi…

1. Mise en place d’une règle de sécurité

Suite à l’ajout des équipements, il est nécessaire de procéder à la configuration d’un profil. Le nombre de paramètres configurables est plus ou moins important en fonction de la plateforme utilisée (IOS, Android for Work…).

 Depuis la plateforme Intune, cliquez sur Configuration de l’appareil, puis sur Profils.

 Cliquez sur Créer un profil dans la fenêtre qui s’affiche.

Images/07RI73.png

 Saisissez le nom du profil dans le champ Nom, puis choisissez la plateforme dans la liste déroulante.

Images/07RI74.png

La liste déroulante Type de profil permet de définir le type de profil à configurer (sécurité, déploiement profil Wi-Fi…).

 Sélectionnez Restrictions sur l’appareil afin d’afficher la liste des paramètres configurables.

Images/07RI75.png

Les paramètres s’affichent. Il est maintenant nécessaire de procéder à leur configuration. Vous allez configurer la partie mot de passe et chiffrement.

 Dans Mot de passe...

Accès conditionnel

Les services mis à disposition (Exchange, Skype…) peuvent donner accès à des données confidentielles. Il est donc très important de s’assurer que les périphériques mobiles (smartphone, tablette, ordinateur portable) utilisés par les utilisateurs respectent la politique de sécurité de l’entreprise.

Intune permet de configurer un accès conditionnel pour les services suivants :

  • Exchange on-premise

  • Exchange Online

  • SharePoint Online

  • Skype for Business Online

Il est également envisageable d’utiliser les accès conditionnels avec d’autres services de la suite EMS.

1. Fonctionnement des accès conditionnels

Pour utiliser les accès conditionnels, il est nécessaire d’avoir configuré dans un premier temps une stratégie de conformité. Cette dernière permet de définir la stratégie de sécurité de l’entreprise. Ainsi, les équipements pourront être considérés comme conformes ou non conformes à la stratégie d’entreprise. Par la suite, la stratégie d’accès conditionnel peut être activée et déployée pour tous les utilisateurs ou un groupe d’utilisateurs.

Les éléments évalués sont les suivants :

  • Paramètre de sécurité (mot de passe…)

  • Chiffrement de l’appareil

  • Jailbreak de l’appareil

Si l’équipement est considéré...

Déploiement d’applications

Le déploiement d’applications consiste à déployer sur des équipements inscrits dans Microsoft Intune des applications publiques (présentes dans les différents stores - Microsoft Store, Google Play App Store, ou Apple Store) ou développées en interne. Le déploiement peut être de deux types :

  • Disponible : l’utilisateur par l’intermédiaire du portail d’entreprise peut accéder aux applications mises à disposition.

  • Obligatoire : l’application est déployée directement sur l’équipement. Sur Android et IOS, il est nécessaire que l’utilisateur approuve l’installation.

Cette section traite du déploiement d’applications avec Intune en mode autonome. Le déploiement d’applications en mode hybride ou d’applications managées est traité dans le chapitre suivant.

1. Déploiement d’une application d’un store public

Dans cette section est traité l’ajout d’applications de type IOS. Il est nécessaire d’exécuter les mêmes opérations pour les plateformes Windows et Android.

 Depuis la console Intune, cliquez sur Applications mobiles, puis sur Applications.

Images/07RI156.PNG

 Cliquez sur le bouton Ajouter, puis dans la liste déroulante Type d’application, sélectionnez...

Suppression des équipements

Avec Intune, il est possible d’accéder à un inventaire ou de déployer des ressources. Malheureusement, il peut arriver que l’équipement soit volé ou perdu. Cet équipement peut également être changé (panne, remplacement). Il est donc nécessaire de procéder à la suppression de cet équipement dans Microsoft Intune.

Cette opération de suppression permet d’avoir une plateforme à jour et ne contenant que les équipements réellement en production. En outre, la suppression d’un équipement volé ou perdu provoque la suppression des données de l’entreprise.

1. Suppression complète

La suppression complète consiste à restaurer le téléphone en mode usine. Ainsi, toutes les données de l’entreprise sont supprimées. Attention, dans ce cas, les données de l’utilisateur sont également supprimées. Cette solution est difficilement envisageable avec du BYOD. L’équipement appartenant à l’utilisateur, il est délicat de procéder à sa suppression complète en cas de renouvellement de l’équipement. À l’heure où sont écrites ces lignes, il est impossible de procéder à ce type de suppression avec Android for Work.

Attention, l’opération de suppression nécessite que l’équipement soit connecté à...