Quand on parle de gestion du poste de travail, on pense souvent à une infrastructure lourde, difficile à mettre en œuvre et nécessitant des personnes expertes pour en faire l’administration.

Cette croyance est dépassée et aujourd’hui, même si la solution de gestion du poste de travail System Center Configuration Manager s’est extrêmement simplifiée et ne nécessite qu’une infrastructure réduite, il est possible de gérer les postes ainsi que les périphériques mobiles via une solution ne nécessitant aucune infrastructure serveur particulière « on premise » (chez le client).

Windows Intune, une solution basée sur le cloud

Cette solution basée sur le cloud s’appelle Windows Intune. Elle existe maintenant depuis deux ans et évolue de façon régulière et rapide en intégrant de nouvelles fonctionnalités de façon transparente pour les utilisateurs.

Concrètement, que puis-je gérer avec Windows Intune et comment le mettre en œuvre ?

Windows Intune va me permettre de gérer mes postes de travail Windows (de Windows XP à Windows 8.1) ainsi que mes périphériques mobiles (Windows RT, Windows Phone 8, Apple iOS et Android).

Les fonctionnalités implémentées dans Windows Intune sont accessibles via une console web :

  • Administration simplifiée via une console web,
  • Portail libre-service pour les utilisateurs,
  • Solution de MDM (Mobile Device Management),
  • Contrôle proactif et alertes paramétrables,
  • Stratégies de sécurité,
  • Déploiement des logiciels et des mises à jour,
  • Suivi des licences Microsoft et autres,
  • Protection contre les logiciels malveillants,
  • Inventaires logiciels et matériels,
  • Rapports détaillés,
  • Assistance à distance,
  • Intégration possible avec Active Directory /Azure,
  • Intégration possible avec Exchange / Office 365,
  • Intégration possible avec System Center Configuration 2012 SP1 / R2.

Un utilisateur Windows Intune a le droit d’avoir 5 appareils différents enregistrés et 3 méthodes sont à ma disposition pour créer mes utilisateurs pouvant utiliser Windows Intune :

  1. Les créer une par un dans la console web de gestion des comptes,
  2. Les importer en masse via script,
  3. Synchroniser tout ou partie des comptes de mon active directory.

Aujourd’hui, les services cloud de Microsoft, tels que Windows Intune et Office 365, sont basés sur les fonctionnalités de Windows Azure Active Directory. Il s’agit notamment du stockage sur le cloud pour les données d’annuaires et d’un ensemble de services d’identification offrant des processus d’ouverture de session utilisateur, d’authentification et de fédération. Pour synchroniser tout ou partie des utilisateurs de mon active directory, je vais donc installer l’outil de synchronisation DirSync dans mon infrastructure et je n’ai pas besoin d’un serveur dédié pour cela. DirSync s’occupera de faire la première synchronisation avec Windows Azure Active Directory et de maintenir celle-ci à jour. Si j’ai déjà procédé à la synchronisation pour Office 365, je n’ai bien sûr pas à recommencer pour Windows Intune.

microsoft-office365
La console web de gestion de Windows Intune fournit à l’administrateur l’agent à télécharger et qu’il faudra déployer sur les postes. Cet agent intègre un certificat qui permettra au client Windows Intune de s’enregistrer automatiquement sur le bon tenant Windows Intune. Peu après, le device enregistré sera visible dans la console web et pourra ainsi être géré. Cet agent n’est pas nécessaire pour les périphériques mobiles (Windows RT, IOS, Android, Windows Phone 8) ni, comme nous le verrons ensuite, si l’on souhaite gérer les postes Windows 8.1 comme des périphériques mobiles.

J’ai maintenant la possibilité de regrouper des périphériques ou des utilisateurs au sein d’un groupe afin de pouvoir les cibler facilement par une stratégie de sécurité particulière ou leur affecter des logiciels pour le déploiement par exemple.

Je peux facilement ajouter un nouveau logiciel aux formats .exe, .msi, .ipa, .apk, .xap, .appx afin de le rendre disponible pour les plateformes associées. Les sources sont alors copiées sur Windows Azure dans l’espace de stockage réservé à mon tenant Windows Intune. J’ai à ma disposition 20 Go, mais je peux très bien acheter du stockage supplémentaire afin d’étendre cette valeur. Je pourrais aussi intégrer des deep links vers des applications des différents store.

Un portail d’entreprise est disponible pour les différents périphériques (Windows 8, 8.1, Windows Phone 8, IOS, Android) et on peut l’installer à partir des stores associés. Ce portail va permettre à l’IT de rendre disponible des applications internes à l’entreprise. Une fois son périphériques enregistré l’utilisateur pourra ainsi consommer les applications qui sont mises à sa disposition sur les différentes plate-formes.

Comme je l’évoquais précédemment, les périphériques sous Windows 8.1 peuvent aussi être gérés sans avoir à installer l’agent Windows Intune. Windows 8.1 intègre, en effet, un agent OMA DM (Open Mobile Alliance Device Management). OMA DM est un protocole standard de gestion des appareils mobiles. On peut donc aussi enregistrer des périphériques Windows 8.1 d’une façon similaire aux périphériques mobiles.

Je peux donc, sans connaissances poussées, facilement mettre en place une gestion simple et efficace des postes de travail ainsi que des périphériques mobiles. A partir du moment ou mes périphériques ont un accès Internet ils sont gérés.

Configuration Manager 2012 et Windows Intune better together

microsoft-system-center-configuration-managerUne seconde option est possible avec Windows Intune. J’ai cette fois dans mon infrastructure une gestion des postes de travail (et peut-être serveurs) déjà en place avec System Center Configuration Manager 2012 SP1 (ou plus récemment R2). Je peux y ajouter la gestion MDM (Mobile Device Management) en intégrant Windows Intune à mon infrastructure Configuration Manager “On premise”.

Un nouveau rôle est disponible dans Configuration Manager, le rôle de connecteur Windows Intune. Dans ma console Configuration Manager, je peux ainsi déclarer ma souscription Windows Intune afin qu’elle soit gérée complètement par mon infrastructure dans mon entreprise. Le connecteur Windows Intune s’occupera de faire le lien entre les informations poussées vers les périphériques mobiles par Configuration Manager (Applications, Baselines…) et les informations remontées via le cloud par Windows Intune (Inventaire, enregistrement des périphériques…). Ainsi à partir d’une console unique je vais pouvoir continuer à gérer mon parc comme je le faisais déjà mais aussi les appareils mobiles ou les périphériques BYOD. Cette gestion unifiée (UDM pour Unified Device Management) permet donc aux entreprises d’étendre Configuration Manager sans changer les processus ni les outils de gestion. Les possibilités de configuration sont aussi décuplées grâce à Configuration Manager.

jean-philippe-lesage

 

Pour résumer, Windows Intune est une solutions simple à mettre en oeuvre qui permet aux entreprises de gérer leurs ordinateurs et ceux de leurs employés, d’administrer les applications et les mises à jour, de renforcer la conformité et ainsi réduire les coûts d’exploitation. Windows Intune permet de répondre aux employés qui veulent pouvoir travailler sur leurs propres appareils (scenario BYOD) tout en donnant aux administrateurs les moyens d’en assurer la sécurité et la conformité.

Article rédigé par :

Jean-Philippe Lesage, Partner Technical Strategist chez Microsoft France.