Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. EMS
  3. Mise en place d’Intune en mode hybride
Extrait - EMS Gestion et sécurité des ressources de l'entreprise dans le cloud
Extraits du livre
EMS Gestion et sécurité des ressources de l'entreprise dans le cloud Revenir à la page d'achat du livre

Mise en place d’Intune en mode hybride

Réinitialisation de l’autorité MDM

L’autorité MDM est configurée pour une utilisation en mode autonome depuis la plateforme Microsoft Intune ou lors de l’ajout du connecteur Intune dans SCCM. Dans les versions précédentes de SCCM et de la plateforme Intune, il était nécessaire de contacter Microsoft pour passer d’un mode à l’autre. L’opération était délicate, car elle nécessitait de supprimer les équipements, les certificats APN (nécessaire pour l’ajout d’équipements IOS)… Avec la version 1706 de SCCM, il est maintenant plus aisé de passer d’un mode à l’autre. En effet, l’opération peut être effectuée sans contacter Microsoft.

Suite au changement de l’autorité MDM, quelques heures peuvent être nécessaires avant que l’équipement se synchronise avec le service. Après avoir procédé au changement, il est nécessaire de recréer la configuration (stratégie, application…) dans la console Intune ou SCCM en fonction du changement. Les équipements sont conservés pendant sept jours sur l’ancienne plateforme suite au changement. Il faut parfois compter sept jours pour que les données de conformité apparaissent correctement dans la console. Les données...

Gestion des équipements

L’association de la plateforme Microsoft Intune et de SCCM s’opère directement depuis la console SCCM. Pour cela, il est nécessaire d’ajouter un nouvel abonnement. Avant toute chose, vous devez effectuer quelques opérations.

1. Attribution des licences

Pour qu’un utilisateur puisse utiliser Microsoft Intune (ajouter un équipement, accéder aux applications…), il faut lui accorder une licence.

 Dans la plateforme Azure, cliquez sur Azure Active Directory, puis sur Licences.

images/08RI02.png

 Cliquez sur Tous les produits, puis sur Enterprise Mobility Suite. Cliquez sur Utilisateurs sous licence, puis sur Attribuer. Si l’utilisateur est déjà présent, cliquez sur ce dernier.

images/08RI03.png

 Accordez à l’utilisateur une licence Intune, puis cliquez sur Enregistrer.

images/08RI05.png

L’utilisateur peut maintenant utiliser les services Intune et autres en fonction des licences accordées.

2. Synchronisation de l’annuaire Active Directory

La synchronisation de l’annuaire Active Directory est très importante, car elle permet à un compte local Active Directory d’être utilisé dans les services cloud. Avec SCCM, il est important d’effectuer la modification de l’attribut UPN. L’UPN doit être configuré avec le nom de domaine configuré dans la plateforme Intune. L’utilisation de l’alternante Attributes (adresse e-mail) n’est pas supportée et provoque de nombreux dysfonctionnements (les équipements ajoutés dans Intune ne sont pas présents dans SCCM).

La synchronisation d’un annuaire Active Directory est traitée dans le chapitre Azure Active Directory, section Mise en place de la synchronisation. Pour rappel, la synchronisation d’un annuaire Active Directory permet à tous les services raccordés au "tenant" (Intune, Office 365, Azure AD…) d’avoir une base de compte unique utilisable par tous.

3. Création d’un regroupement d’utilisateurs

La création d’un regroupement d’utilisateurs est très importante. Seuls les membres du regroupement sont autorisés à ajouter des équipements dans Microsoft Intune. Contrairement au mode autonome, qui ne nécessite que l’ajout d’une licence, le mode hybride...

Inscription des équipements

Après avoir configuré SCCM pour la prise en charge des différentes plateformes, il est nécessaire de procéder à l’inscription des équipements. À la suite de l’inscription, les équipements apparaissent dans SCCM.

Images/08RI43.png

1. Équipements de type IOS

 Accédez à l’App Store afin de télécharger l’application Portail d’entreprise Microsoft Intune.

images/07RI29.png

 Lancez l’application, puis saisissez les identifiants de l’utilisateur.

images/07RI30.png

 Saisissez le mot de passe de l’utilisateur. Les ressources sont en cours de chargement.

images/07RI32.png

 La fenêtre Configuration de l’accès à l’entreprise apparaît. Cliquez sur Commencer.

images/07RI34.png

 Validez les fenêtres suivantes en cliquant sur Continuer. Dans la fenêtre À suivre, cliquez sur Inscrire.

images/07RI35.png

L’inscription de l’appareil dans Microsoft Intune est initiée.

images/07RI36.png

Lors de l’inscription, un Management Profile est ajouté.

 Pour procéder à son installation, cliquez sur Installer, puis une nouvelle fois sur Installer dans le message qui apparaît.

images/07RI37.png

 Une pop-up apparaît. Cliquez sur Se fier. L’installation est en cours. Cliquez sur OK après avoir installé le Management Profile.

images/07RI38.png

 Cliquez sur Continuer, puis sur OK.

images/07RI39.png

L’inscription est maintenant terminée....

Utilisation d’Intune et de SCCM

1. Accès à l’inventaire

Après avoir ajouté l’équipement dans Microsoft Intune, ce dernier transmet à SCCM, au travers d’Intune, son inventaire. Comme pour des postes de travail connectés au réseau local, il est possible d’avoir l’adresse MAC de la carte Wi-Fi ainsi que d’autres éléments propres aux équipements mobiles (IMEI…).

 Depuis la console SCCM, cliquez sur Actifs et Conformité, Vue d’ensemble puis sur Périphériques.

Images/08RI43.png

 Sélectionnez le périphérique souhaité, puis cliquez sur Périphérique sous l’onglet Accueil. Un menu s’affiche. Cliquez sur Démarrer, puis sur Explorateur de ressources.

Images/08RI44.png

La console donne accès à un inventaire. Il est possible de créer des collections en fonction de cet inventaire. Il est pratique de créer des collections dynamiques en fonction du système d’exploitation.

2. Création des collections

L’exemple ci-après montre la création d’un regroupement pour Windows Phone. Il est possible d’effectuer les mêmes opérations pour IOS, Android… Il est également possible d’utiliser d’autres attributs renvoyés par l’inventaire pour créer un regroupement dynamique....

Configuration des stratégies pour les équipements

Après avoir inscrit des équipements sur Microsoft Intune, il est possible de déployer des stratégies. Ces dernières reposent sur des paramètres de sécurité (mot de passe, chiffrement…), des paramètres de configuration (activation/désactivation de fonctionnalité) ou des ressources de l’entreprise (profil e-mail, Wi-Fi…).

1. Mise en place d’une stratégie de sécurité et de configuration

La mise en place de paramètres de sécurité est un point important, car cela permet d’imposer à l’utilisateur des paramètres de mot de passe, de verrouillage…

 Dans SCCM, cliquez sur Actifs et Conformité, Vue d’ensemble puis sur Éléments de configuration.

Images/08RI58.png

 Sous l’onglet Accueil, cliquez sur Créer un élément de configuration.

 Un assistant se lance. Saisissez le nom de la stratégie, puis cochez le système d’exploitation dans Paramètres des appareils gérés sans le client Configuration Manager. Cliquez sur le bouton Catégories et sélectionnez ou créez une catégorie. Cliquez sur Suivant pour valider le choix.

Images/08RI59.png

 Dans la fenêtre Spécifier les plateformes prises en charge pour cet élément de configuration, sélectionnez le système d’exploitation, puis cliquez sur Suivant.

Images/08RI60.png

L’assistant donne accès à quelques catégories (Mot de passe, Store, Microsoft Edge…). Néanmoins, il est préférable de s’assurer que le paramètre est pris en charge par le système d’exploitation de l’équipement. L’URL ci-après peut être utilisée pour vérifier les systèmes d’exploitation prenant en charge les différents paramètres.

https://docs.microsoft.com/en-us/intune-classic/deploy-use/mobile-device-security-policy-settings-in-microsoft-intune

Images/08RI61.png

Après avoir sélectionné un ou plusieurs groupes de paramètres par défaut, il est possible de configurer les paramètres souhaités.

 Pour chaque groupe, configurez les paramètres qu’il contient, puis cliquez...

Déploiement d’applications

Il est possible de déployer sur les équipements mobiles des applications développées en interne (.ipa, .apk…) ou des applications des stores publics (Microsoft Store, Google Play App Store). Le déploiement peut être de deux types :

  • Disponible : par l’intermédiaire du portail d’entreprise, l’utilisateur peut accéder aux applications mises à disposition.

  • Obligatoire : l’application est déployée directement sur l’équipement. Sur Android et IOS, il est nécessaire que l’utilisateur approuve l’installation.

1. Déploiement d’une application d’un store public

Dans cette section sera traité l’ajout d’applications pour IOS. Les opérations pour les autres plateformes sont identiques.

 Depuis la console SCCM, cliquez sur Bibliothèque de logiciels, Vue d’ensemble puis développez le nœud Gestion des applications.

Images/08RI93.PNG

 Effectuez un clic droit sur Applications puis, dans le menu contextuel, sélectionnez Créer une application.

 Un assistant se lance. Sélectionnez Package d’application Windows Phone dans la liste déroulante Type.

  • Application publique Android : Package d’application pour Android sur Google Play.

  • Application publique IOS : Package d’application pour IOS depuis l’App Store.

  • Application publique Windows : Package d’application pour Windows.

  • Application publique Windows Phone : Package d’application Windows Phone.

Il est également possible d’importer les applications développées en interne en sélectionnant le type adéquat (ipa pour IOS, apk pour Android…).

Images/08RI94.PNG

 Cliquez sur Parcourir afin de sélectionner l’application. Il est également possible de copier le lien HTTP récupéré depuis le site web d’Apple ou de Google.

Images/08RI95.PNG

 Sélectionnez l’application, puis cliquez sur OK. Le lien s’affiche désormais dans la console. Cliquez sur Suivant pour valider la sélection.

Images/08RI96.PNG

 Dans la fenêtre Spécifiez les informations sur cette application, remplissez les champs à votre convenance.

Images/08RI97.PNG

 Validez les fenêtres suivantes sans apporter de modification.

L’application est maintenant présente dans...

Suppression des équipements

Comme dans Intune en mode autonome, il existe deux types de suppressions. La suppression complète (wipe complet) consiste à réinitialiser complètement l’équipement et la suppression sélective (wipe sélectif) consiste à ne supprimer que les données de l’entreprise (profils Wi-Fi et e-mail…). Cette suppression s’opère depuis SCCM.

1. Suppression complète

 Depuis la console SCCM, cliquez sur Actifs et Conformité, Vue d’ensemble puis sur Périphériques.

Images/08RI87.PNG

 Sélectionnez l’équipement à supprimer, puis sous l’onglet Accueil, cliquez sur Actions distantes sur l’appareil et cliquez sur l’option Mettre hors service/réinitialiser.

 Une fenêtre s’affiche. Activez le bouton radio Réinitialiser le périphérique mobile et le mettre hors service de Configuration Manager, puis cliquez sur OK.

Images/08RI88.PNG

 Une fenêtre d’avertissement s’affiche. Cliquez sur Oui.

Images/08RI89.PNG

La réinitialisation de l’équipement est opérée ainsi que sa suppression dans SCCM.

2. Suppression sélective

 Depuis la console SCCM, cliquez sur Actifs et Conformité, Vue d’ensemble puis sur Périphériques.

Images/08RI87.PNG

 Sélectionnez l’équipement à supprimer puis, sous l’onglet...