Découvrez la solution dans le nuage proposée par Microsoft afin d'assurer l'administration et la sécurité de vos postes de travail et périphériques mobiles. Cette session permettra, après un rapide rappel des fonctionnalités de Windows Intune, de découvrir les nouveautés de la nouvelle version, le tout avec un maximum de démonstrations.
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. Les nouveautés de
Windows Intune Wave D
Maelle Glemarec
Consultante technique pour les partenaires (PTC)
Microsoft
Entreprise / IT / Serveurs / Réseaux / Sécurité
Aurélien Bonnin, Mark Cochrane
MVP ConfigMgr
vNext
3. Consumérisation de l’IT
des employés utilisent
au moins un appareil
personnel au travail.des sociétés ont déployé
au moins un outil logiciel
collaboratif.
Les employés utilisent
en moyenne 4 appareils
grand public
et plusieurs
applications tierces,
telles que les réseaux
sociaux, au cours de
leur journée.
du monde numérique est créé par des individus,
mais les entreprises sont responsables de la
sécurité et fiabilité de 85%.
des entreprises du
Fortune 100
testent ou déploient
actuellement une
tablette.
4. Mobilité des employés
Les télétravailleurs vont augmenter et représenter
des salariés aux USA en 2016.
3 employés sur 5
pensent qu’ils n’ont
pas besoin d’être
au bureau pour
être productifs.
des entreprises ont
des employés
travaillant à distance.
Le nombre de
télétravailleurs dans le
monde augmentera
jusqu’à presque
1,2 milliards.
Soit plus de 1/3
des travailleurs
en 2013.
87% des utilisateurs ont travaillé de
chez eux pendant le dernier mois.
Les autres lieux principaux étaient :
5. Cycle d’upgrade de Windows Intune
Fournir aux clients des ameliorations continues et de nouvelles fonctionnalités
sans déploiement coûteux
V1
Avril
2011
V2
Oct.
2011
V3
Wave C
Juin
2012
V4
Wave D
Déc.
2012
6. Fonctionnalités existantes
Stratégies de sécurité
Stratégies de sécurité et contrôle
d'Exchange ActiveSync (EAS)
Publication des logiciels vers les utilisateurs
Inventaire des matériels
Suivi du déploiement des logiciels métier
Intégration avec Active Directory
Contrôle proactif des PC
Stratégies de sécurité
Déploiement des logiciels et des mises à jour sur les PC
Suivi des licences Microsoft et autres
Rapports détaillés sur le matériel
Seuils d'alertes paramétrables
Protection des PC contre les logiciels malveillants
Inventaires logiciels et matériels
7. Ce qui se faisait avant la wave D
Clients gérés
Expérience de
l'administration
Infrastructure
Administration
Serveurs & PC
Gestion des appareils
mobiles
Silo d'infrastructure MDMSolution d'administration
pour entreprises
13. Fonctionnalités du portail
Windows 8
Ent/Pro
Windows
RT
WP8 iOS Android
Enroll (local device) √ √ √ √ EAS
Rename devices √ √ X X X
Retire (un-enroll local device) √ √ √ X X
Wipe (remotely other devices) √ √ X X X
Install enterprise LOB applications √ √ √ √ √
Install publicly available applications √ √ √ √ √
Browse to web links √ √ √ √ √
Install apps (remotely on other devices) √ (only
msi/exe)
√ (only
msi/exe) X X X
Contact IT √ √ X √ √
20. Stratégie de sécurité pour mobiles
Mot de passe
Restrictions du mobile
Email
Chiffrement
Setting name EAS (Activesync) WinRT/ WinPh8 iOS
Require a password to unlock mobile devices √ √ √
Required password type √ √ √
Minimum password length √ √ √
Allow simple passwords √ √ √
Number of repeated sign-in failures before device is wiped √ √ √
Minutes of inactivity before device screen is locked √ √ √
Password expiration (days)
√ √ √
Remember password history √ √ √
Allow convenience logon (WindowsRT only) X √ X
Allow camera
√ X √
Allow web browser
√ X √
Allow backup to iCloud (iOS only) X X √
Allow documents sync to iCloud (iOS only) X X √
Allow photostream sync to icloud (iOS only) X X √
Maximum size of e-mail attachments
√ X X
E-mail synchronization for last (days)
√ X X
Allow mobile devices that don’t fully support these settings to
synchronize with Exchange √ X X
Require encryption on mobile device
√ X X
Require encryption on storage cards
√ X X
25. Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner
gratuitement
Essayer gratuitement nos
solutions IT
Retrouver nos experts
Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.comhttp://aka.ms/generation-app
http://aka.ms/evenements-
developpeurs
http://aka.ms/itcamps-france
Les accélérateurs
Windows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDN
http://aka.ms/devteam
L’IT Team sur TechNet
http://aka.ms/itteam
Editor's Notes
Notation
Intro Serveurs / Entreprise / Reseaux / IT
Consumérisation de l'informatique (diapo optionnelle) La « Consumérisation de l'informatique » fait référence à l'influence grandissante des équipements grand public et des réseaux sociaux sur les attentes des employés envers l'informatique qu'ils utilisent dans l'entreprise. En termes simples, les employés souhaitent utiliser leurs propres équipements pour travailler. Ils veulent donc accéder au réseau de l'entreprise et exploiter les applications de l'entreprise sur leurs propres appareils. 95 % des employés indiquent qu'ils utilisent leurs propres appareils pour travailler et en moyenne, ils utilisent 4 appareils grand public pour accéder tout au long de la journée à Facebook, Twitter, des applications tierces et des sites de réseaux sociaux. Cela met la pression sur le département informatique qui doit garantir l'intégrité des données et assurer leur sécurité. La protection des informations devient vite un travail à temps plein quand on constate que les entreprises sont responsables du respect de la vie privée, de la fiabilité et de la conformité de 85% de l'univers numérique, notamment depuis que les employés souhaitent accéder aux applications à partir de n'importe quel appareil. En effet, beaucoup d'employés apportent leurs appareils grand public au travail et accèdent à des applications tierces. Les entreprises doivent donc s'adapter à cette tendance. Ainsi, 65 % des entreprises du classement Fortune 100 déploient ou testent des ardoises et des tablettes, et 65 % de toutes les entreprises déploient des logiciels sociaux. Cela complique singulièrement l'informatique. Comment l'informatique peut-elle fournir aux employés un accès de n'importe où aux applications favorites tout en assurant la sécurité et l'intégrité des données ? Diapo Statistiques et Sources 95 % des employés indiquent qu'ils utilisent au moins un de leurs propres appareils pour travailler. (IDC, juin 2010)Les employés utilisent en moyenne 4 appareils grand public et plusieurs applications tierces, comme des sites de réseaux sociaux, au cours de la journée. (IDC, juin 2010)70 % de l'univers numérique est créé par des personnes mais les entreprises sont responsables de la sécurité, du respect de la vie privée, de la fiabilité et de conformité de 85 % de l'univers numérique. (IDC, mars 2008) Plus de 65 % des entreprises Fortune 100 déploient déjà ou testent des ardoises et des tablettes. (Gartner, octobre 2010)65 % des entreprises interrogées ont déployé au moins un logiciel social. (Forrester, 2010)
Employés mobiles (diapo optionnelle) Les employés deviennent de plus en plus mobiles et leur nombre augmente rapidement. Dans le monde, en 2013, un tiers des employés, soit environ 1,2 milliard de personnes, sera mobile. Cette évolution ne se limite pas à certaines industries ou à certains rôles, c'est une tendance générale. 84 % des entreprises indiquent avoir des employés mobiles. Notre culture accepte de plus en plus l'attitude d'être connecté en permanence, ce qui change la définition de la mobilité. Cette mobilité ne fait pas nécessairement partie de la description du poste, elle peut être due à la préférence des employés. 3 employés sur 5 affirment ne pas avoir besoin d'être à leur bureau pour être efficaces. Aux États-Unis, le télétravail représentera 43 % des employés sur les 5 prochaines années. Comme la frontière entre la vie professionnelle et la vie personnelle s'estompe de plus en plus, les employés souhaitent pouvoir être connectés et opérationnels à n'importe quel moment, n'importe où. Les emplacements les plus souvent utilisés pour travailler sont : au domicile, à l'hôtel et dans la voiture. De plus en plus de personnes indiquent avoir travaillé au cours du dernier mois de leur domicile. Comment l'informatique peut-elle donner les moyens aux employés pour qu'ils soient efficaces et productifs en tout lieu, à toute heure ? Diapo Statistiques et Sources Dans le monde, le nombre d'employés mobiles croîtra jusqu'à près de 1,2 milliard de personnes en 2013, ce qui représentera un tiers du nombre d'employés dans le monde. (IDC, Février 2010)84 % des entreprises ont des employés mobiles (Gartner, 2010)3 employés sur 5 pensent qu'ils n'ont pas besoin d'être au bureau pour être efficaces. Cisco, décembre 2010Aux États-Unis, le pourcentage des employés qui travaillent à distance augmentera, et passera à 43 % des employés en 2016. (Forrester, décembre 2009) 87 % des employés américains ont travaillé depuis leur domicile au cours du dernier mois. Les employés ont travaillé à leur bureau (51 %), dans leur voiture (37 %) et à l'hôtel (26 %) (DieringerResearch Group, février 2009)
CYCLES DE LANCEMENT RAPIDES: environ 6 moisFournir aux clients des améliorations continues et de nouvelles fonctionnalités sans déploiements coûteux.
Avant de passer en revue les nouvelles fonctionnalités, examinons les fonctionnalités de base telles qu'elles existent actuellement dans le service Windows Intune puis nous verrons ce qu'apporte la nouvelle version.
Dans de nombreuses organisations, l'administration des équipements mobiles s'effectue via une infrastructure dédiée et isolée. Les administrateurs doivent utiliser des solutions spécialisées à petite échelle pour permettre aux utilisateurs de travailler sur leurs propres appareils et pour gérer ces appareils de façon réactive. Cette approche limitée et inefficace ne permet pas de répondre au problème de l'administration des appareils mobiles sur le long terme. Avec cette version de Windows Intune et avec Configuration manager, Microsoft résout ce problème de façon stratégique en apportant une solution pour le long terme, efficace et évolutive.
Examinons maintenant les nouvelles fonctionnalités de cette version.La solution Microsoft d'administration unifiée adresse les problèmes gravitant autour de la prolifération des appareils et de l'efficacité des utilisateurs, tout en permettant une nouvelle façon de travailler, plus flexible. Windows Intune aide les utilisateurs à être productifs, à partir des appareils de leur choix et quel que soit le lieu. Windows Intune fournit à chacun les applications dont il a besoin, sur l'appareil de son choix. Notre nouveau modèle de licence est basé sur l'utilisateur et permet à chacun de posséder jusqu'à 5 appareils.Windows 8 a été conçu pour faciliter l'administration des systèmes. Cette version de Windows Intune ajoute la prise en charge de Windows 8 sur les notebooks, les tablettes, les PC de bureau, les convertibles.Elle permet aussi d'administrer les appareils Windows RT et Windows Phone 8. Configuration Manager 2012 et Windows Intune fournissent aux administrateurs une infrastructure efficace et unifiée pour faciliter l'administration des postes clients à une échelle qui n'avait encore jamais été atteinte pour une solution uniquement dans le Cloud. Cette nouvelle configuration qui allie le service Intune du Cloud et Configuration Manager, présente une seule console Configuration Manager à l'administrateur pour gérer tous les types d'appareils.
Connexion à la console de gestion des utilisateurs- account.manage.microsoft.comConnexion à la console d'administration de Windows Intune - Admin.manage.microsoft.com- Passage en revue des différentes sections de la console d’administrationPlus création d’un regroupement utilisateur avec mon compte et celui de MaelleCréation d’un regroupement avec un poste windows 7+ revue des propriétés de ce poste
Windows Azure Active Directory (Windows Azure AD) est un service fournissant des fonctionnalités de gestion d'identité et de contrôle d'accès pour vos applications Cloud.Vous disposez ainsi d'un service d'identité pour Windows Azure, Microsoft Office 365, Dynamics CRM Online, et Windows Intune.
Par rapport à la Wave C, s’enrichie d’un portail au format app WinRT Win8 et WP8Donc un portail sous 3 formes: app, site web, et site web pour mobileL’utilisation de l’appestrecommandée pour Win8 WP8 et WinRT (l’accès au portail web estbloqué et lance l’app)L’utilisation du site web estrecommandée pour Windows XP, Vista, Win7L’utilisation du site web pour mobile recommandée pour tout mobile autreque WP8Le portailestmaintenantpersonnalisable, possiblitéd’ajouter le logo de l’entreprise et le mettre au couleurs de l’entreprise.Regardons lesfonctionnalités du portail en détails…
Utilisation du portail d’entrepriseEnrollment de la tablette RTInstallation de l’application Modern Application d’EntrepriseConnexion au portail d’entreprise pour visualisation de mes devices et des informations du support
Etant donné qu’on ne passe plus par EAS (car quid du prérequis d’un Exchange on premise), et qu’il n’y a pas d’agent Intune à déployer sur les mobiles, on aura de ce fait quelques prérequis et actions à suivre afin d’établir une communication sécurisée entre les devices et Intune.Par défaut pas de gestion des mobiles activéedans Intune, c’est à vous de dire explicitementquevoussouhaitezutiliser Intune pour le MDM (à configurerdans les paramétres admin d’Intune). Attention ceparamétren’est plus modifiable par la suite (on en reparlera tout a l’heure en abordant la partie SCCM).Configuration de la prise en charge de chaqueplateforme, selonvosbesoins. Android: aucuniOS: nécessite un certificat APN (Apple Push Notification). Cecertificatautorise la communication entre un device iOS et un outil de gestion de mobiles telque Intune ou SCCM. Cecertificatcontient un numéro qui permet de rattacherchaque mobile iOS au bon portail Intune. Le certificat APN doitêtrerenouvellé 1fois par an auprésd’Apple.WinRT: sideloading key + code signing certificateWP8: company publisher ID (à récuperersur le site WP Dev Center) + code signing certificate + AET token + sideloading SSPLa sideloading key permetd’installer des applications sur RT qui ne sont pas dans le Store. Cettecléest à acheterséparemment de Windows Intune, 1 key valable pour 100 activations.
Configuration du MDM dans Windows IntuneDémonstration de la configuration du MDM avec les certificats/ clé de sideloading and coCréation d’une règle de configuration mobile pour l’assigner à l’utilisateur de la RT et d’un iphone ?
Seuls les périphériques Android et WP7 nécessitent EASPour les autres mobiles plus besoind’EAS, saufsil’admin le souhaiteInventairematériel pour les mobiles (infoscollectées par le Device Management Authority ou EAS, environ dansl’heuresuivantl’enrollment, par la suite unefois par semaine) nouveauté: gestion du stockage vu quec’estdevenu un paramétre importantMais pas d’inventairelogiciel (respect des lois de privacy vu quepotentiellementutilisation des périphériques perso)Remote Wipe: effacement complet et restauration de la confd’usine pour WP8 et iOS (?)En gestion via EAS on supprimerauniquement la BAL, quelquesoit le devicePas de remote wipe pour WP7 et antérieur
Stratégies de sécuritéapplicablesmaintenant par périphériqueAuparavant on appliquait la policy au niveau de l’utilisateur, ce qui n’était pas forcementpratiquesil’utilisateurpossédaitplusieurs périphériquesQuel’administration des mobiles se fassentou non via EAS, la meme stratégie de sécurités’appliquent (transparent pour l’admin)Quelquesoit le mobile on utilise le meme modèle de stratégie. Le modèlecontient des paramétrescommuns à tout les mobiles, et certainsspécifiquesselon la plateforme.Vousserezalertési un parametre ne s’applique pas surteloutel phoneLes stratégies pour mobiles sontpoussées :Via EAS: transférédans les 5min au serveur Exchange, par la suite çadépend du délai de synchro du mobile avec Exchange. Peut forcer cedélai via le forcing d’unesynchrolancée par l’utilisateur.WP8 : unefois par jour par défaut. Pour forcing utiliserl’option de rafraichissementdans le Company portalWinRT : unefois par jour par défaut. Pour forcing, relancermanuellement les tâchesplanifiéessur le deviceiOS: unefois par jour. Pas de moyen de forcer l’application.
Nous avonsétendu les plateformesprises en charge pour le déploiementd’appWindows 8: appxWP8: xapIphone: ipaAndroid: apkPossibilité de déployerapplidansl’Apple App store, le Google Play, Windows Store et Windows Phone StoreLe Deep links c’est la capacité à publierdans le portail Intune un lien qui pointe vers un store publicVia cette technique l’adminpeutindiquer aux users les applispubliquesdontilrecommandel’installationLe Deep links estune redirection, on ne gérera pas via Intune cette application installéedepuis le store public Dans le meme genre vousavez la Web App, qui est en fait un pointeurd’une app exposée via un site web.Déploiement des applis en pull (libre service) vers Windows RT, Windows Phone, iOS, Android Possible en push vers Windows 7/8Possibilité de déployer des applications à distance surd’autres périphériques. Cettefonctionnalitén’estdispoqu’avec les applis au format msi/exe.Si gestion via SCCM, possibilitéd’avoir un workflow d’approbationd’install des applis (?)Toutes les applisdéployées par Intune doiventêtresignées via l’utilisation d’un certificat.PlatformDesktop Apps(.msi,.exe)Modern App TypesSide loadingDeep Linksweb apps.appx.xap.ipa.apkWindows 8 Pro/EntXXXXWindows RT**iOS XXXAndroid XWP8 XXXWindows 7 and belowX X
- Accès aux applications – Installation de l’application ROUND car tu souhaites y accèder- On montre que la police de sécurité c'est bien appliquée en montrant un ou deux points importants de la conf de sécurité
Solution flexible d’administration:Si vousavezdeja SCCM, vouspouvezajouter Windows IntuneSi vousavezdeja Intune, bénéficiez de SCCM 2012. Libre à vousd’utiliserl’uneoul’autre des solutions, ou les 2 conjointement, par exemplesur la slide: 1ier scénario, gestion complete grâce à Windows Intune. Pour les clients qui ont des environnements informatiques relativement simples, ou qui souhaitent gérer des appareils à distance, ou qui recherchent une mise en œuvre très courte, par exemple. Cela permet à l'entreprise de choisir l'appareil adapté aux besoins des utilisateurs sans sacrifier l'administration et la sécurité.2ieme scénario, utilisation de SCCM pour les PC + Intune pour les mobiles3ieme scénario, utilisation de SCCM pour les postes de travail du site principal et Intune pour les sites distantsdifficiles à administrer, ou pc nomads, ou sous-traitance de l’administrationd’unepartie du parc, etc. Attention, la définitiond’uneautorité de management pour les mobiles estdéfinitive.
Connexion à la plateforme TSP avec affichage de la tablette RT de Yann Affichage rapide de la configuration du connecteur Windows Intune Je regarde si je peux ajouter ma propre tablette dans l’infra pour voir si je peux aller un peu plus loin.