Post on 20-Nov-2014
description
Expert eninnovation
La gestion des périphériques modernes avec System Center 2012 R2 Configuration Manager
24/04/2014
Votre conférencierJean-Sébastien DuchêneExpert – System Center – EXAKISMVP Enterprise Client Managementjeansebastiend@exakis.comwww.windowstouch.fr
Agenda
La gestion des périphériques mobiles Comment l’implémenter ?
Introduction
Présentation
Discussion et questions
Présentation Exakis
Exakis, première Entreprise de Services du Numérique Microsoft
Notre positionnement Partenaire pure-player de Microsoft leader en France
Notre objectif
Vous apporterdes solutions technologiquesqui vous permettront d’améliorer vos performances
Notre métier
Intégration de solutions pour l'entreprise basée surla plateforme Microsoft
Une couverture large et cohérente des besoins de nos clients
Innovation et solutions logicielles
Social et collaboration
Datacenter et cloud
Environnement utilisateur et
mobilité
Communications unifiées
Sécurité et gestion des identités
Présentation MUG Lyon
Un objectif
Microsoft User Group lyonnais pour partager et débattre autour de technologies passionnantes et innovantes :)
Un collectif Clément BOUILLIER / DevLyon / @clem_bouillier Matthieu DUFOURNEAUD / Exakis / @mdufourneaud Grégory OTT / Tekigo / @gregory_ott Emilien PECOUL / DevLyon / @Ouarzy Florent PELLET / DevLyon / @florentpellet Yannick RINGAPIN / MCNEXT / @BlackBeard486 Vincent THAVONEKHAM / Viseo / @vThavo Benjamin WISNIEWSKI / Apollo SSC / @_b3w
Un sponsor annuel
www.viseo.com
Viseo est une société de conseil, de services et de formation, experte dans les architectures objet (Java, JEE, .Net) et web, les applications mobiles (Android, iPhone, HTML5...), les méthodes agiles, la modélisation (UML) et l'assistance à maitrise d'ouvrage (AMOA).
Des évènements
Chaque dernier jeudi du mois Idées de sessions Speakers
Prochains évènements Mix-IT (mix-it.fr) : 29/30 Avril //publish : 16 et 17 Mai
Nous contacter muglyon.github.io Twitter @MUGLyon Facebook /
www.facebook.com/groups/118200884904279 LinkedIn / www.linkedin.com/groups/MUG-Lyon-
4302523
IntroductionLes défis des DSIsLa gestion des périphériques mobiles en entrepriseSolutions actuellesL’IT centré autour des utilisateurs
Les défis des DSIs
L’explosion des périphériques détruit l’approche basée sur des standards pour l’entreprise.
Périphériques
Déployer et gérer des applications à travers différentes plateformes est difficile.
Applications
Données
Les utilisateurs doivent être productifs tout en gardant la conformité et en réduisant les risques.
Les utilisateurs s’attendent à travailler depuis n’importe où et avoir accès à toutes les ressources de travail.
Utilisateurs
La gestion des périphériques mobiles en entreprise Mobile
Information Management (MIM)Politiques IT appliquées directement sur la donnée quel que soit l’endroit où elle transite ou réside
Microsoft propose:
• Active Directory Rights Management Services (AD RMS) protège et crypte les documents et le contenu des emails.
• Cette fonctionnalité de “Data Loss Prevention (DLP)” empêche par exemple le transfert d’emails vers des comptes externes et des données sensibles d’être téléchargées à des solutions Cloud tiers
Mobile Content Management (MCM)Sécuriser la distribution et l’accès mobile aux données aux utilisateurs
Microsoft propose:
• Utilisation de ‘Workplace Join’ pour s’enregistrer dans l’Active Directory avec le Single Sign On (SSO) et ainsi accéder au données ou services via le Web Application Proxy et ADFS.
• Sécurisation des fichiers synchronisés mobiles grâce aux ‘Work Folders’.
• Authentication Multi-facteur pour augmenter le niveau de sécurité d’acces aux données d’entreprise
• Dynamic Access Control permet la classification et la protection des documents en fonction de leur contenu.
Mobile Application Management (MAM)Gestion des applications métiers par l’IT au travers d’un catalogue d’applications d’entreprise
Microsoft propose:
• Portail d’entreprise où les employés peuvent télécharger des applications internes/publiques, web et distantes pour Windows, iOS, et Android.
• Les applications d’entreprise peuvent être poussées sur le périphérique et supprimées à distance.
• Effacement uniquement des applications d’entreprise, données et politiques de sécurité, sans toucher le contenu personnel de l’utilisateur.
Mobile Device Management (MDM)Politiques IT appliquées et profils poussés sur les mobiles
Microsoft propose:
• Définition des politiques sur Windows, iOS et Android à travers les APIs de gestions OMA DM.
• Gestion des certificats, Wi-Fi et Profils VPN.
• Détection d’iOS ‘jailbreakés’ et d’Android ‘rootés’.
• Gestion des équipements mobiles en itinérance sur des réseaux de données sans fil, facilitée par la passerelle Cloud Internet.
+ 2012 R2
Solutions actuelles
Solution d’administration de Parc PC / Serveur
Ne prend pas en compte tous les périphériquesPas de remontées de tous les appareils gravitant autour de l’utilisateur
Solution d’administration des appareils mobiles
Vue uniquement de la flotte mobilePas de prises en charge des PC/Mac
L’IT centré autour des utilisateurs
Périphériques
Applications
Utilisateurs
Responsabiliser les utilisateursPermettre aux utilisateurs de travailler sur les périphériques de leur choix en donnant un accès aux ressources de l’entreprise.
Unifier l’environnement
Délivrer des applications unifiées et gérer des périphériques à l’intérieur de l’entreprise ou via le Cloud.Protéger vos données
Aider à protéger les données de l’entreprise et gérer les risques.
Administration. Accès. Protection.
Données
La gestion des périphériques mobilesDeux plateformes d’administrationFonctionnalités Windows Intune (Cloud)Administration unifiée des appareilsFonctionnalités ConfigMgr/Intune (Hybride)Les systèmes et périphériquesL’enregistrement des périphériques
Les portails d’entrepriseQuoi de neuf dans l’inventaire ?Déploiement d’applicationsLa gestion des paramétragesProtégez vos donnéesDe nouvelles fonctionnalités en continu
Deux plateformes d’administration
Administration unifiée des périphériquesSystem Center 2012 R2 Configuration
Manager avec Windows Intune
Construit sur une infrastructure Configuration Manager existante
Administration complète des PCs (Déploiement des OS, Endpoint Protection, contrôle du déploiement des applications, Reporting riche)
Contrôle important des stratégies Gère jusqu’à 100,000 périphériques mobiles Outil d’administration extensible (RBA, PowerShell,
SQL Reporting Services)
Administration basée dans le cloud
Windows Intune
Pas d’infrastructure Configuration Manager existanteContrôle des stratégies simplifiéMoins de 7,000 périphériques mobiles et 4,000 utilisateursConsole d’administration Web simplifiée
Fonctionnalités Windows Intune (Cloud)
Stratégies de sécurité et contrôle d'Exchange ActiveSync (EAS) …
Stratégies de sécurité ‘en direct’ pour les Windows Phone, Windows RT, iOS
Publication des logiciels vers les utilisateurs (portail d’entreprise)
Inventaire des matériels
Suivi du déploiement des logiciels métier
Intégration avec Active Directory
Contrôle proactif des PC
Seuils d'alertes paramétrables
Stratégies de sécurité
Déploiement des logiciels et des mises à jour sur les PC
Suivi des licences Microsoft et autres
Rapports détaillés sur le matériel
Protection des PC contre les logiciels malveillants
Inventaire logiciels et matériels
Administration unifiée des appareils
IT
Mac OS X
Windows PCs(x86/64, Intel SoC),
Windows to GoWindows Embedded
Windows RT, Windows Phone 8
iOS, Android
Single AdminConsole
Fonctionnalités ConfigMgr/Intune (Hybride)
Enregistrement des périphériques Over the Air
Inventaire des périphériques
Déploiement des applications sur les utilisateurs
Gestion des paramètres et de la conformité du périphérique et de l’utilisateur
Retrait des périphériques à distance
Effacement des périphériques à distance
Intégration avec Active Directory
Inventaire logiciels et matériels
Reporting
Télédistribution d’applications
Déploiement de mises à jour logicielles
Déploiement de système d’exploitation
Surveillance de l’utilisation des applications
Gestion des paramètres et de la conformité du périphérique et de l’utilisateur
Prise en main à distance
Contrôle d'accès réseau
Protection des ressources clientes (antivirus)
Les systèmes et périphériques
Périphériques Windows
Périphériques hétérogènes
Support des systèmesPlatforme OS Agent d’administration Expérience utilisateur
Windows 8.1 PC Agent ConfigMgr ouAgent d’administration (OMA-DM)
Software Center/Application Catalog
Application de portail d’entreprise Windows
Windows PC (Win8,Win7,Vista,XP)
Agent ConfigMgr Software Center/Application Catalog
Windows RT Agent d’administration (OMA-DM) Application de portail d’entreprise Windows
Windows Phone 8 & 8.1
Agent d’administration (OMA-DM) Application native du portail d’entreprise Windows Phone 8
iOS (5.x,6.x,7.x) Protocole MDM Apple Application native du portail d’entreprise iOS
Android (De 2.1 à …) Agent MDM Android (OMA-DM) Application native du portail d’entreprise Android
Mac (10.6,10.7,10.8,10.9)
Agent ConfigMgr Expérience de Self-Service limité
Linux/Unix Agent ConfigMgr N/A
L’enregistrement des périphériques
26
L’IT peut publier l’accès à des ressources d’entreprise avec Web Application Proxy basé sur le périphérique et l’identité de l’utilisateur ; L’authentification multi-facteurs peut être utilisé via Windows Azure Active Authentication (formerly PhoneFactor)
L’utilisateur peut enregistrer les périphériques pour du single sign-on et accéder aux données d’entreprise avec Workplace Join. Le certificat est installé sur la machine
L’utilisateur peut enregistrer les périphériques pour être géré via Windows Intune; L’utilisateur peut utiliser le portail d’entreprise pour accéder aux applications d’entreprise.
Durant le processus d’enregistrement, un nouvel objet est créé dans Active Directory afin de créer un lien entre l’utilisateur et son périphérique.
Les données de Windows Intune sont synchronisée avec Configuration Manager qui fournit une administration unifiée.
Les portails en libre-service
• Applications natives pour :• Windows 8 & 8.1 x64/x86• Android• iOS• Windows RT• Windows Phone 8 & 8.1
• Nouvelles fonctionnalités• Gestion des périphériques :
verrouillage, effacement sélectif à distance
• Support des logos d’entreprise
• …
Quoi de neuf dans l’inventaire ?
Nouvelle condition globale pour différencier les périphériques personnels et d’entreprise.
Gestion des applications
Périphériques Personnel – Inventaire des applications installées par ConfigMgr/Intune seulementPériphériques d’entreprise – Inventaire complet des applications*
Inventaire des applications
Par défaut, les périphériques sont tagués comme “personnels”.Les Admins peuvent changer l’attribution d’un périphérique
Périphériques personnel vs d’entreprise
* WP8 ne permet que l'inventaire des applis installées par MDM
Aperçu des inventaires
Déploiement d’applications Nouveau modèle d'application
Méthode de détection
Commande d'installation
Règles sur les conditions requises
Dépendances
Remplacement
Propriétés de l'administrateur
Métadonnées de l'utilisateur
Organiser et gérer les applications
App-V
Windows Script
.XAP, .APK, .IPA
Windows Installer
Informations générales
Informations pratiques pour vos utilisateurs (apparaissent dans le Catalogue)
Appli installée ?
Type de déploiement
Options et ligne de commande
Peut/ne peut pas installer appli
Applis qui doivent être présentes
Contrôle des versions des applis
"Package" d'application
Déploiement d’applications Tourné utilisateurs
• Déploiement d’applications en libre-service ou forcé• Windows app package (.appx file)• Windows Phone app package (*.xap file) • App Package for iOS (*.ipa file) • App Package for Android (*.apk file)
• Possibilité de rediriger l’utilisateur sur le Store éditeur• Windows app package (in the Windows Store) • Windows Phone app package (in the Windows Phone Store)• App Package for iOS from App Store • App Package for Android on Google Play
La gestion des paramétragesCatégorie Win 8.1 PC &
RTWP8 WP8.1 iOS Android
VPN
Wi-Fi
Certificats
Mot de passe (*) (*) (*)
Restriction des périphériques (*) (*)
Accès au Store
Liste noire/blanche d’applications
(*Update 1)
Navigateurs (*) (*)
Classement du contenu
Synchronisation du cloud (*)
Chiffrement (*) (*) (*)
Sécurité (*) (*) (*)
Itinérance (*) (*)
Work Folders Windows Server
La gestion des paramétragesConfiguration de l’accès aux ressources
Plateformes
Windows 8.1Windows 8.1 RTWindows Phone 8.1iOSAndroid
Bénéfices
L’utilisateur a accès aux ressources de l’entreprise sans actions manuelles
Nouvelles fonctionnalités*Configuration des profils réseaux et profiles VPN Support du VPN automatique Windows 8.1Paramétrage de l’authentification et du protocole Wi-FiAdministration et distribution des certificats
La gestion des paramétragesAdministration des profils VPN
Support des vendeurs VPN SSL VPN
Initiation basée sur le nom DNSavec support de Windows 8.1 et iOS
Initiation basée sur l’ID de l’application avec support de Windows 8.1
Connexion automatique du VPN
Support des standards VPN
VPNs SSL de Cisco, Juniper, Check Point, Microsoft, Dell SonicWALL, F5 Sous ensembles de vendeur qui ont le plugin VPN Windows RT
PPTP ,L2TP, IKEv2
La gestion des paramétragesLes profils de certificats et Wi-Fi
Les paramétrages Wi-Fi Administrer et distribuer des certificatsDéploiement de certificats racines
Support du protocole Security Center Endpoint Protection(SCEP)
Administration les paramétrages d’authentification et le protocole Wi-Fi Provisionnement des réseaux Wi-Fi networks pour une auto-connexionRenseignement du certificat afin d’être utilisé sur la connexion Wi-Fi
La gestion des paramétragesWork Folders
Synchroniser des fichiers et données à travers les périphériques Support par Configuration Manager
et Windows IntuneNouveau paramétrages qui aide à provisionner les paramétrages de découverte Work FolderLes portails d’entreprise ont des liens vers les Work Folders
Nouvelle fonctionnalité dans Windows 8.1 et Windows Server 2012 R2
La gestion des paramétragesDéploiement de profils Email
Distribution de profils Email Prise en charge de Configuration Manager et de Windows Intune
Configuration des paramétrages Exchange ActiveSyncParamétrage de synchronisation du compte (fréquence, contenu…)
Support d’iOS et Windows Phone 8 & 8.1
Protégez vos données
Données et applications personnelles
Perdu ou volé
Données et applications de
l'entreprise
Appli à distance
Données centralisée
s
38
Enregistrement de l'appareilRetiré
Données et applications de
l'entreprise
Appli à distance
Stratégies
Stratégies
Perdu ou volé
Données et applications de
l'entreprise
Appli à distance
Stratégies
Données et applications personnelles
Retiré
Données et
applications
personnelles
Protégez vos donnéesEffacement sélectif
• Basé sur les capacités de la plateforme• Suppression de certaines données
• Email• Applications installées à travers ConfigMgr/Intune• Les profiles (WiFi/VPN)• Les certificats• Les stratégies MDM (paramètrages)• L’agent d’administration• Les données du portail d’entreprise
• Plateformes supportées• Windows 8.1, Windows 8.1 RT• Windows Phone 8.1• iOS• Android
De nouvelles fonctionnalités en continu
• Windows Intune Waves : 6 mois• Permet à ConfigMgr de suivre le
rythme• Première extensions :
• Profils Email• Paramètres de sécurité iOS 7
Comment l’implémenter ?Processus GénéralLes éléments d’architectureAdministration unifiée des appareilsLes certificats/clés par plateformesFocus sur les Sideloading KeysEnregistrement Windows Phone 8 & Windows RT
Processus Général1. Souscrire à Windows Intune
Windowsintune.com A partir du portail MVLS
2. Ajoutez un enregistrement DNS public utilisé pour l’enregistrement des périphériques
3. Vérifiez que les utilisateurs ont un UPNs avec le domaine public4. Vérifiez/Relancez la découverte des utilisateurs Active Directory pour
refléter le changement dans ConfigMgr5. Déployez et configurer AD FS 2.0 (non nécessaire)6. Déployez et configurer AD Directory Synchronization
Réinitialiser les mots de passe si AD FS n’est pas déployé Ou choisir la synchronisation des mots de passe
7. Configurez ConfigMgr pour la gestion des périphériques mobiles Créer un abonnement Windows Intune à partir de la souscription Créer le connecteur Windows Intune
8. Vérifiez que ConfigMgr est connecté à Windows Intune
Les éléments d’architecture• Abonnement Windows Intune :
• Récupère le certificat nécessaire pour se connecter au service Windows Intune (processus en arrière plan)
• Définit les collections d’utilisateurs autorisés à enregistrer des périphériques mobiles
• Définit et configure le support des plateformes mobiles supportées par l’entreprise
• Connecteur Windows Intune• Se connecte au Windows Intune Cloud Server• Envoi des stratégies pour la distribution des logiciels et la gestion des
paramétrages• Reçoit des messages d’état et de statut à partir des clients
• Service Windows Intune Service (non visible par l’admin)• Contient un Device Management Point• Management Point avec une base de données locale pour stocker les
stratégies• Gateway/Proxy pour communiquer avec les périphériques mobiles
Les certificats/clés par plateformes
Plateforme Certificats ou clés Comment l’obtenir
Windows Phone 8
Un certificat de signature de code pour l’application.
Toutes les applications doivent être signées.
Acheter un certificat de signature de code chez Symantec
http://www.symantec.com/verisign/code-signing/windows-phone
Windows
Clés Sideloading : Les périphériques Windows doivent être provisionnés avec cette clé pour permettre l’installation des applications signées.
Un certificat de signature de code pour l’application
Toutes les applications doivent être signées.
Acheter un certificat de signature de code chez Symantec
http://www.symantec.com/verisign/code-signing/windows-phone
Acheter des clés sideloading chez Microsoft,
http://technet.microsoft.com/en-us/library/hh852635.aspx
iOSCertificat du service Apple Push Notification
Obtention d’un certificat à partir du service Apple Push Notification
Android Aucun
Focus sur les Sideloading KeysSystème Joint à un domaine Workgroup
Windows 8/8.1 Entreprise& Windows 8.1 Update Pro
OK* Clé de sideloading (incluse dans la licence sur le VLSC)
Windows 8/8.1 Pro Clé de sideloading (achat par 10 unités)
Clé de sideloading (achat par 10 unités)
Windows 8/8.1 N/A Non
Windows RT/8.1 RT N/A Clé de sideloading (achat par 10 unités)
* Activation du paramétrage « Allow all trusted apps to install » par GPO
Démo !
Enregistrement Windows Phone 8 & Windows RT
Discussion et QuestionsUn peu de PubQuestionsLes prochains évènements
Un peu de Pub• Titre : System Center 2012
Configuration Manager (SCCM)• Concepts, Utilisation et Administration
• Auteurs : • Guillaume CALBANO• Jean-Sébastien DUCHÊNE
• Editions ENI• 980 pages de pur bonheur !!!• ISBN : 978-2-7460-8300-4• EAN : 9782746083004
Questions