Présentation de Windows Intune

Présentation au sujet: "Présentation de Windows Intune"— Transcription de la présentation:

1 Présentation de Windows Intune

2 Répondre à la consumérisation de l’IT
Utilisateurs Périphériques Apps Données Utilisateurs avancés Permet aux utilisateurs de travailler sur les périphériques de leur choix et fournit un accès conforme aux ressources de l’entreprise. Unifier l’environnement Un seul outil pour gérer les applications et périphériques, sur site ou dans le Cloud. Protéger les données Aide à protéger les données de l’entreprise et limite les risques. Administration. Accès. Protection. Users: Users expect to be able to work in any location and have access to all their work resources. Devices: The explosion of devices is eroding the standards-based approach to corporate IT. Apps: Deploying and managing applications across platforms is difficult. Data: Users need to be productive while maintaining compliance and reducing risk. Microsoft assists IT in supporting consumerization of IT, and in retaining effective management, security, and compliance capabilities. The enterprise tools and technologies that Microsoft provides can help with key enterprise tasks—for example, identifying non-corporate devices, delivering applications and data to those devices with the best possible user experience, and establishing and enforcing policies on devices, based on the user’s role within the organization. Microsoft enterprise tools and technologies can help IT maintain security across all device types, regardless of whether the devices are corporate or personal assets, and establish security measures that protect their organization’s systems, data, and network.

3 Choisir sa plateforme de management
Gestion unifiée System Center 2012 R2 Configuration Manager et Windows Intune Serveurs Configuration Manager sur site nécessaires Gestion complète (gestion PC / Server / Unix-Linux / Mac, déploiement d’OS/application, reporting complet, etc) S’étends jusqu’à 100,000 devices Outils d’administration extensibles (RBA, PowerShell, SQL Reporting Services) Gestion depuis le cloud Windows Intune Pas de serveurs Configuration Manager sur site Prise en main simple et et rapide Moins de 7,000 devices et 4,000 utilisateurs Hautement disponible et accessible de n’importe où

4 Windows RT, Windows Phone 8 iOS, Android
Windows Intune Windows PCs (x86/64, Intel SoC) Windows RT, Windows Phone 8 iOS, Android IT Console Web Manage up to 7,000 devices and 4,000 users Simple web-based administration console No existing Configuration Manager deployment Simplified policy control

5 Les fonctionnalités de Windows Intune
Administration simplifiée via une console web Portail libre-service pour les utilisateurs Solution de MDM (Mobile Device Management) Contrôle proactif et alertes paramétrables Stratégies de sécurité Déploiement des logiciels et des mises à jour Suivi des licences Microsoft et autres Protection contre les logiciels malveillants Inventaires logiciels et matériels Rapports détaillés Assistance à distance Intégration possible avec Active Directory /Azure Intégration possible avec Exchange / Office 365 Intégration possible avec SCCM 2012 Gestion Non-intrusive : Pas de monopolisation des ressources Ne derange pas l’utilisateur en cas d’utilisation d’une app modern Plus de redémarrage force à la suite de mise à jour Laisse suffisamment de temps à l’utilisateur avant de forcer un redémarrage Etc.

6 Windows Intune + Config Manager
Windows PCs (x86/64, Intel SoC), Windows to Go Windows Embedded Mac OS X IT Console Web Windows RT, Windows Phone 8 iOS, Android Solution flexible d’administration: Si vous avez deja SCCM, vous pouvez ajouter Windows Intune Si vous avez deja Intune, bénéficiez de SCCM 2012. Libre à vous d’utiliser l’une ou l’autre des solutions, ou les 2 conjointement, par exemple : 1ier scénario, gestion complete grâce à Windows Intune. Pour les clients qui ont des environnements informatiques relativement simples, ou qui souhaitent gérer des appareils à distance, ou qui recherchent une mise en œuvre très courte, par exemple. Cela permet à l'entreprise de choisir l'appareil adapté aux besoins des utilisateurs sans sacrifier l'administration et la sécurité. 2ieme scénario, utilisation de SCCM pour les PC + Intune pour les mobiles 3ieme scénario, utilisation de SCCM pour les postes de travail du site principal et Intune pour les sites distants difficiles à administrer, ou pc nomads, ou sous- traitance de l’administration d’une partie du parc, etc. Build on existing Configuration Manager deployment Full PC management (OS Deployment, Endpoint Protection, application delivery control, rich reporting) Deep policy control requirements Scale to 100,000 devices Extensible administration tools (RBA, PowerShell, SQL Reporting Services) Console web: Unified infrastructure enables IT to manage devices “where they live” Windows Intune + SCCM : Comprehensive settings management across platforms, including certificates, VPNs, and wireless network profiles Devices: IT can manage the device and application lifecycle

7 Gestion des utilisateurs

8 Gestion des utilisateurs
Windows Azure Active Directory (Windows Azure AD) est un service fournissant des fonctionnalités de gestion d'identité et de contrôle d'accès pour vos applications Cloud. Vous disposez ainsi d'un service d'identité pour Windows Azure, Microsoft Office 365, Dynamics CRM Online, et Windows Intune.

9 Le portail d’entreprise
Windows 8/RT Windows Phone 8 iOS/Android App Windows (.appx) Dispo dans le Windows Store App WP8 (.xap) Nécessite d’être sideloadée App iOS Dispo dans l’App Store Connecte chaque utilisateur au service Windows Intune: toutes les plateformes sont supportées avec une experience utilisateur semblable, accès de partout Permet à l’utilisateur d’accèder au catalogue d’applications de l’entreprise + web link conseillés par l’IT, et d’installer les applications selon leurs besoins Permet à l’utilisateur de gérer ses périphériques et ses données (ajout/suppression de périphériques, renommage, suppression des données) Un portail sous 2 formes: app et site web - L’utilisation de l’app est recommandée pour Win8 WP8 et WinRT L’utilisation du site web est recommandée pour Windows XP, Vista, Win7 Le portail est personnalisable, possiblité d’ajouter le logo de l’entreprise et le mettre au couleurs de l’entreprise.

10 Fonctionnalités du portail utilisateur
Windows 8/8.1 Enterprise/Pro Windows 8/8.1 RT Windows Phone 8 iOS Android Enroll (local device) √ EAS Rename devices Retire (un-enroll local device) Wipe (remotely other devices) Install enterprise LOB applications Install publicly available applications Browse to web links Contact IT √

11 Gestion des périphériques

12 Récap UDM Unregistered Registered MDM Enrolled Fully Managed Publish to users (EAS) √ Publish work folders to users Conditional access based on user, device, location Block device only Audit logging and monitoring Unified Device Management Unified Application Management Selective data wipe Compliance reporting Group Policy and login scripts OS deployment and imaging Configuration management Patch management Anti malware management Full application management BitLocker management How the device is registered or managed provides a different level of capability: Unregistered – devices that are not registered (via Workplace Join) and are not managed have a very limited set of management capabilities Registered – enabling a device with Workplace Join provides some addition access control and auditing, but is still a unmanaged, untrusted device MDM Enrolled – when a mobile device is enrolled for management there are a number of additional management capabilities that light up, ensuring the device is compliant and providing a rich experience for the end user Fully Managed – for clients that can be fully managed, this provides the deepest, most comprehensive level of management with Configuration Manager

13 Prise en charge des mobiles
Définir l’autorité de management pour les mobiles Configurer le MDM dans Windows Intune ou Config Manager Android : aucune configuration nécessaire iOS : certificat APN Windows Phone 8 : certificat Symantec Windows RT : certificat + clé de sideloading pour déploiement des apps L’utilisateur peut ensuite inscrire ses périphériques mobiles Inscription d’un périphérique dans Windows Intune : Plus nécessaire d’avoir une infra Exchange on-premise Seuls les périphériques Android et WP7 nécessitent EAS Pour les autres mobiles plus besoin d’EAS, sauf si l’admin le souhaite Quelques prérequis et actions à suivre afin d’établir une communication sécurisée entre les devices et Intune : Par défaut pas de gestion des mobiles activée dans Intune, c’est à vous de dire explicitement que vous souhaitez utiliser Intune pour le MDM (à configurer dans les paramétres admin d’Intune). Attention ce paramétre n’est plus modifiable par la suite (on en reparlera tout a l’heure en abordant la partie SCCM). Configuration de la prise en charge de chaque plateforme, selon vos besoins : Android: aucun. Installer l’app Company portal pour se connecter à Windows Intune et inscrire le device. iOS: nécessite un certificat APN (Apple Push Notification). Ce certificat autorise la communication entre un device iOS et un outil de gestion de mobiles tel que Intune ou SCCM. Le certificat APN doit être renouvellé 1fois par an auprés d’Apple. WinRT: sideloading key et code signing certificate pour le déploiement d’apps. WP8: certificat Symantec puis installer le Company portal qui aura été signé avec le certificat Symantec

14 Gestion des mobiles √ iOS WinRT Windows Phone 8 Android
Over-the-air Enrollment √ Inventory Settings Management Software distribution Remote wipe Step-By-Step: Utilizing Windows Intune and SCCM to Manage Android Devices windows-intune-and-sccm-to-manage-android-devices.aspx

15 Professionnel VS Personnel
Par défaut les périphériques inscrits par l’utilisateur sont “personnels” L’admin peut définir un périphérique comme “professionnel” Périphériques professionnels VS personnels Le type “personnel” ou “professionnel” sert de critère pour le déploiement des apps et stratégies Gestion des apps Périph. Personnel – inventaire des apps installées via ConfigMgr/Intune uniquement Périph. Professionel – inventaire complet des apps installées * Inventaire des apps Config Manager 2012 R2 introduit une nouvelle fonctionnalité pour répondre aux challenges du BYOD : possibilité de définir si un périphérique est personnel ou professionnel Difficile pour l’admin de gérér le déploiement d’apps sur différents OS et different types de devices. Facilité avec Config Manage + Intune. Le type de device sert de critère pour le déploiement des apps (MSI si Win8, appV si WinRT par ex) * iOS – Apple n’autorise que l’inventaire des applications installées via MDM

16 Inventaire matériel via MDM
Property Win RT WP8 iOS Android (EAS) Device name √ Unique device ID Serial number address OS type OS version OS language Total storage space (GB) Free Storage space (GB) System enclosure Chassis System enclosure IMEI Manufacturer Model Phone number (masked except last 4 digits) Subscriber carrier Cellular technology(none, GSM, CDMA) WiFI MAC Enrolled date (local time) Last contact (local time) Last Exchange status Last Policy update status Access State Access state reason Management state ActiveSync ID Inventaire détaillé en gestion directe Intune Mobile : - Inventaire matériel pour les mobiles (infos collectées par le Device Management Authority ou EAS, environ dans l’heure suivant l’enrollment, par la suite une fois par semaine) nouveauté: gestion du stockage vu que c’est devenu un paramétre important - Mais pas d’inventaire logiciel (respect des lois de privacy vu que potentiellement utilisation des périphériques perso) PC : Inventaire materiel et logiciel

17 Inventaire matériel - MDM vs EAS
Via Windows Intune Via Exchange ActiveSync Inventaire limité via Exchange Active Sync

18 Stratégie de sécurité Paramètres EAS (Activesync) WinRT/ WinPh8 iOS Require a password to unlock mobile devices √ Required password type Minimum password length Allow simple passwords Number of repeated sign-in failures before device is wiped Minutes of inactivity before device screen is locked Password expiration (days)  Remember password history Allow convenience logon (WindowsRT only) Allow camera  Allow web browser Allow backup to iCloud  (iOS only) Allow documents sync to iCloud  (iOS only) Allow photostream sync to icloud (iOS only) Maximum size of  attachments  synchronization for last (days)  Allow mobile devices that don’t fully support these settings to synchronize with Exchange Require encryption on mobile device  Require encryption on storage cards  Mot de passe Restriction du mobile Stratégies de sécurité applicables maintenant par périphérique Auparavant on appliquait la policy au niveau de l’utilisateur, ce qui n’était pas forcement pratique si l’utilisateur possédait plusieurs périphériques Que l’administration des mobiles se fassent ou non via EAS, la meme stratégie de sécurité s’appliquent (transparent pour l’admin) Quel que soit le mobile on utilise le meme modèle de stratégie. Le modèle contient des paramétres communs à tout les mobiles, et certains spécifiques selon la plateforme. Vous serez alerté si un parametre ne s’applique pas sur tel ou tel phone Les stratégies pour mobiles sont poussées : Via EAS: transféré dans les 5min au serveur Exchange, par la suite ça dépend du délai de synchro du mobile avec Exchange. Peut forcer ce délai via le forcing d’une synchro lancée par l’utilisateur. WP8 : une fois par jour à 3h du matin par défaut. Pour forcing utiliser l’option de rafraichissement dans le Company portal WinRT : une fois par jour à 3h du matin par défaut. Pour forcing, relancer manuellement les tâches planifiées sur le device iOS: une fois par jour sans heure définie. Pas de moyen de forcer l’application. Chiffrement

19 Gestion des paramètres
Category Win 8.1 & RT WP8 iOS Android VPN  Wi-Fi Certificates Password Device restrictions Store access Browsers Content Rating Cloud Synch Encryption Security Roaming Windows Server Work Folders Compliance Settings for Mobile Devices in Configuration Manager Valable pour une gestion Config Manager + Intune Capable maintenant par exemple : De définir les paramètres de sauvegarde et synchro des données, ou bloquer l’usage d’iCloud pour éviter la fuite des données de l’entreprise Imposer le chiffrement des données embarquées sur les mobiles De bloquer l’usage du Store De configure l’usages des Work Folders etc

20 Gestion des profils VPN
Basé sur le DNS pour Windows 8.1 et iOS Basé sur l’Application ID pour Windows 8.1 Connection automatique Support des principaux acteurs SSL VPNs de Cisco, Juniper, Check Point, Microsoft, Dell SonicWALL, F5 Support des standards PPTP ,L2TP, IKEv2 Profils VPN avec Windows Intune Introduction to VPN Profiles in Configuration Manager Avec la dernière version de System Center Configuration Manager et Windows Intune, il est maintenant possible de configurer des profils VPN sur les postes et également de permettre une connexion VPN automatique. Config Manager 2012 R2 supporte l’utilisation du VPN Microsoft ainsi qu’un certain nombre de solutions VPN tierces. Support également des VPN basés sur les standards PPTP, L2TP, IKEv2 Le VPN peut etre configuré pour se connecter automatiquement à une ressource spécifique accessible via le nom DNS, ou quand une apps Win8.1 spécifique est lancée. L’utilisateur lance l’application, le profil VPN associé est détecté, le VPN est lancé en tache de fond de façon transparente pour l’utilisateur.

21 Gestion des profils Wifi et certificats
Configuration Wifi Gestion du Wifi et des paramètres d’authentification Spécifie le certificat à utiliser Gérer et distribuer des certificats Déploiement des Trusted Root Certificates Support du protocole Security Center Endpoint Protection(SCEP) Introduction to Wi-Fi Profiles in Configuration Manager Introduction to Certificate Profiles in Configuration Manager Wifi Possibilité de configure sur tout type de device la connexion Wifi de l’entreprise Avec connection automatique dès que l’utilisateur est dans la zone couverte par le wifi Peut forcer l’utilization d’un certificat ou d’une smart card Possibilité de cibler le type de devices par profil wifi Certificat Déploiement de certificate issu de l’authorité interne de l’entreprise Pourront etre utilisé par la suite pour le VPN ou le wifi par ex. Peut également révoquer les certificats déployés

22 Gestion des Work Folders
Synchro des fichiers entre plusieurs devices Nouveauté de Windows 8.1 et Windows Server 2012 R2 Les données restent dans le datacenter Synchro dès qu’il y a accès à l’intranet ou Internet Gérer par Config Manager et Windows Intune Nouveaux paramètres dans Config Manager Portail d’entreprise avec un lien vers les Work Folders Manage Work Folders with Configuration Manager 2012 R2 Config Manager 2012 R2 permet de configurer l’utilisation des Work Folders et la synchro des documents Work Folders Nouvelle fonctionnalité de Windows 8.1 et Windows Server 2012 R2 Un seul point d’accès aux fichiers de l’entreprise, Les documents restent à l’entreprise (contrairement à Skydrive par ex) Aligné avec les normes de sécurité de l’entreprise en terme de sauvegarde des données, de rétention, de classification, et de chiffrement supporte des périphériques de tout genre : PC dans le domaine ou workgroup, Windows RT, Apple, Windows Phone, Android Accès hors ligne avec synchronisation dès qu’il y a accès à l’intranet ou Internet Permet de faire la séparation entre les données pro et perso (BYOD) avec suppression à distance uniquement des données de l’entreprise

23 Gestion des applications

24 Déploiement d’application
Périphériques Desktop Apps (.msi, .exe) Modern App Side loading Deep Links web apps .appx .ipa .apk .xap Windows 8 Pro/Ent √ Windows RT iOS Android WP8 Windows 7 et précédent Via Deep Link, possibilité de publier des applis de l’Apple App store, le Google Play, Windows Store et Windows Phone Store Le Deep links c’est la capacité à publier dans le portail Intune un lien qui pointe vers un store public Via cette technique l’admin peut indiquer aux users les applis publiques dont il recommande l’installation Le Deep links est une redirection, on ne gérera pas via Intune cette application installée depuis le store public Dans le meme style, vous avez la Web App, qui est en fait un pointeur d’une app exposée via un site web. Si integration Intune-SCCM, possibilité d’avoir des fonctionnalités avancées telles que : - d’implementer un workflow d’approbation d’install des applis - Déployer les apps sous differentes formes (selon le type de connection réseau / type de périphériques / etc - Etc

25 Gestion des données

26 Protection des données de l’entreprise
Retrait du périphérique A l’initiative de l’utilisateur ou de l’admin Retire le périphérique du MDM Suppression du client MDM (si possible) et de l’agent Endpoint Protection du périphérique Les strategies ne s’appliquent plus et les paramètres sont restaurés Suppression des apps déployées via Windows Intune pour iOS et Windows Phone Clé de sideloading supprimée pour Windows RT Supprime l’association entre le mobile et le serveur Exchange Effacement complet Remise en état de sortie d’usine Applicable au Windows Phone, iOS et Android (EAS) Retiring a Device by Using the Windows Intune Administrator Console

27 Suppression sélective
Catégorie Windows 8.1 (x86/RT géré via OMA-DM) Windows 8 RT Windows Phone iOS Android (Exchange) Retirés Non applicable Apps de l’entreprise et données associées installées via Config Manager et Windows Intune Apps désinstallées Clé de sideloading retirée Clé de chiffrement retiree Données restent mais pas exploitables Apps et données restent Apps et données de l’entreprise retirées Profils VPN et Wi-Fi VPN: Non applicable Wi-Fi: Non retiré Certificats Retirés et révoqués Révoqués Paramètres Stratégies retirées Stratégies retirés Agent de gestion Pas de suppression, l’agent est intégré à l’OS Profil de gestion retiré Les droits admin du périphérique sont retirés Selective Wipe via SCCM et Intune : Les fichiers ajoutés à un dossier particulier (avec selective wipe d’active) sont chiffrées (EFS). L’agent de management OMA-DM déclenche la revocation d’accès qui détruit la clé de chiffrement et empeche l’accès aux données. Possibilité d’utiliser le Selective Wipe dans vos applis métiers. Utilise la classe FileRevocationManager Windows Selective Wipe for Device Data Management

28 Protection des données de l’entreprise
Par l’admin Par l’utilisateur

29 Licensing

30 Une offre flexible selon les besoins
Direct (MOSP) EA/ EAS EES Windows Intune : Intune Service ConfigMgr & Endpoint Protection ~$ 11 Licence par mois par utilisateur. Une licence couvre jusqu'à 5 appareils par utilisateur. Dans toutes les offres, le client aura des licences pour System Center 2012 Configuration Manager et Endpoint Protection. La Software Assurance Windows n'est plus requise pour Windows Intune & Windows Intune Add-On. Windows Intune + Windows : Windows Enterprise Licences séparées pour ConfigMgr & SCEP ~$ 4 Windows Intune Add-On for ConfigMgr & Endpoint Protection Le client possède déjà SCCM Offres Prix (Mensuel par user) Le client ne possède pas SCCM ~ $ 6 Remarques : Windows Intune Add-On for ConfigMgr impose que ConfigMgr & SCEP soient licenciés dans le cadre d'un contrat EA/EAS/EES Windows Intune w/ Windows SA inclut le droit de mise à niveau vers Windows Enterprise sur l'appareil principal de l'utilisateur. Cet appareil doit être équipé d'un système d'exploitation Windows qualifié. MDOP & Stockage supplémentaire pour la distribution de logiciels sont disponibles sous la forme de compléments (Add-on) (comme dans l'offre actuelle) Inventaire limité via Exchange Active Sync

31 © 2012 Microsoft Corporation. Tous droits réservés
© 2012 Microsoft Corporation. Tous droits réservés. Microsoft, Windows, Windows Vista et les autres noms de produits sont des marques déposées ou des marques commerciales de Microsoft Corp. aux États-Unis et/ou dans d'autres pays. Les informations diffusées ici le sont uniquement à titre informatif et représentent le point de vue de Microsoft à la date de cette présentation. Microsoft devant s'adapter aux conditions sans cesse changeantes du marché, ce document ne doit pas être interprété comme un engagement de la part de Microsoft. Microsoft ne peut pas garantir l'exactitude de ces informations après la date de la présentation. MICROSOFT N'APPORTE AUCUNE GARANTIE EXPRESSE, STATUTAIRE OU IMPLICITE SUR LES INFORMATIONS CONTENUES DANS CETTE PRÉSENTATION.

32 Démos Demo Showcase : démos enregistrées cliquables, à consulter en ligne ou à télécharger 70d8e76760bb Emulateur Windows Phone 8 : installer le SDK us/downloadsdk et lancer la machine virtuelle

33 Démos Outil d’évaluation de Windows Phone 8 dans un environnement hybride (SCCM + Windows Intune) avec mise à disposition du portail d’entreprise et d’applications de tests phone-8-avec-sccm-windows-intune.aspx Outil d’évaluation de Windows Phone 8 dans un environnement cloud (Windows Intune uniquement) avec mise à disposition du portail d’entreprise et d’applications de tests phone-8-avec-windows-intune.aspx