Microsoft Intune – implémentation et gestion

PARTIE MICROSOFT INTUNE (Visualiser l’article et les extraits du cours entier)

Vue d’ensemble

Dans la première partie de ce chapitre nous allons avoir un aperçu de Microsoft Intune , comment l’activer , attribuer une licence,  les prérequis et la présentation de la console classique d’Intune.

Activation et attribution de la licence

Dans la partie Office 365 nous avons déjà crée un compte d’administration Azure. Nous allons nous en servir afin d’activer le service de Microsoft Intune. Nous allons aussi attribuer la licence utilisateur Intune pour le nouveau compte crée dans Office 365 (voir la partie Office 365).

Les prérequis

Nous allons voir les prérequis de Microsoft Intune , quelles sont les périphériques inscrits en tant qu’appareils mobiles MDM (MDM – Mobile Device Management) pris en compte par Intune et les requis concernant l’utilisation de la console classique et la console Azure.

Les tâches administratives disponibles dans Intune

Nous allons lister ici les tâches administratives les plus souvent utilisées dans Intune :

  • le déploiement des applications (par .ex . en utilisant le Sideloading utilisé surtout pour les applications métier personnalisées )
  • la configuration et gestion des applications (entre autre l’ajout , l’attribution , la réinitialisation des logiciels etc)
  • installation des mises a jours (comme avec WSUS ou Windows Updates)
  • la gestion la gestion des inscriptions et des contrats de licences
  • l’inventaire des logiciels et du matériel
  • la configuration et gestion des appareils (comme par ex. la réinitialisation du code accès, le verrouillage ou le redémarrage de l’appareil, l’inventaire des appareils)
  • la configuration de la conformité , des stratégies, et aussi les accès conditionnels
  • le contrôle a distance avec TeamViewer
  • la protection des données de l’appareil – les Endpoints Protection donc tous ce qui concerne antivirus et aussi le pare-feu.

Et à la fin de ce cours nous allons définir Intune comme autorité de gestion des appareils mobiles. (première étape pour bien démarrer le système Intune dans notre entreprise)


Implémentation et configuration de la stratégie de sécurité

Intune prend en charge la stratégie de conditions générales , de conformité et de configuration. La première stratégie est utilisée afin de vérifier que les utilisateurs acceptent les conditions générales de la société relatives à l’accès aux ressources telles que les applications et la messagerie d’entreprise. Mais la configuration des conditions générales est facultative et dans cette démonstration nous n’allons pas en servir.

Par contre nous allons ajouter une stratégie de conformité et une stratégie de configuration qui sont des stratégies de sécurité empêchant ou autorisant les utilisateurs d’utiliser les ressources de l’entreprise et les fonctions disponibles sur leurs appareils mobiles .  Nous allons ensuite les déployer sur un groupe crée dans Office 365 nommé Greg-Intune.

Nous allons découvrir et créer ces stratégies dans la console classiques Intune pour ensuite les employer sur un ordinateur de bureau inscrit dans Intune a l’aide du logiciel client Intune. (la procédure d’inscription est montre dans cette vidéo)

Stratégie de conformité et de configuration

Les stratégies de conformité des appareils Intune définissent les règles et les paramètres auxquels doit se conformer un appareil pour qu’il soit considéré comme conforme par Intune.

Ces règles sont les suivantes :

  • Utiliser un mot de passe pour accéder aux appareils
  • Chiffrement
  • Si l’appareil est jailbroken ou rooté
  • Version minimale du système d’exploitation requise
  • Version maximale autorisée du système d’exploitation
  • Exiger que l’appareil soit au niveau ou sous le niveau de défense contre les menaces mobiles

Inscription d’un appareil mobile Windows Phone 

Microsoft Intune permet de gérer les appareils et les applications des membres de votre personnel et l’accès aux données de votre entreprise. Pour utiliser la gestion des appareils mobiles les appareils doivent d’abord être inscrits auprès du service Intune. Ils peuvent être inscrits en tant qu’un appareil mobile (MDM) par une connexion soit à l’espace de travail ou au compte professionnel/scolaire dans Active Directory d’Azure ou alors en tant qu’un ordinateur de bureau en installant le logiciel client Intune.

Dans ce cas nous allons inscrire un appareil mobile Windows Phone en tant qu’un appareil MDM dans Intune en l’ajoutant à l’espace de travail d’Active Directory d’Azure.

Rappelez vous bien que Microsoft Intune est un service faisant partie de Microsoft Azure.

Ensuite nous allons tout de suite recevoir la stratégie de conformité et de configuration qu’on a vu dans le cours / article précèdent concernant les stratégies de sécurité. Nous allons tester l’application de la stratégie de sécurité pour diffèrent paramètres.


Inscription et gestion d’un ordinateur de bureau Windows 10 avec le logiciel client Intune

Dans ce cas nous allons inscrire et gérer un ordinateur de bureau Windows 10 dans Intune en l’ajoutant dans Azure à l’aide du logiciel client de Intune. Pour cela nous allons installer l’agent Microsoft Intune sur un Windows 10 et aussitôt appliquer les stratégies de sécurité qui auparavant étaient déjà utilisés pour un téléphone portable. Nous allons voir dans la vidéo comment résoudre quelques problèmes qu’on peut rencontrer si on utilise les mêmes stratégies de sécurité en même temps pour les périphériques MDM et pour les stations de travail.


Inscription Windows 10 en tant qu’appareil mobile avec la fonctionnalité AD Premium dans Azure

Dans cette vidéo nous allons voir comment inscrire Windows 10 dans Intune en tant qu’appareil mobile MDM en utilisant la fonctionnalité AD Premium dans Azure.

Nous allons d’abord activer cette fonctionnalité dans Azure et ensuite configurer les paramètres d’Intune pour prendre en charge les appareils MDM.


Déploiement des logiciels avec Microsoft Intune

En tant qu’administrateur informatique, vous allez probablement avoir la responsabilité de déployer des applications aux utilisateurs souhaitant les avoir en fonction de leur besoin. Et  ce seront la plupart des cas des applications web, métier ou provenant du Store public.

Dans cette vidéo nous allons voir quelles applications sont  prises en charge par Intune , ensuite nous allons enchainer avec une démonstration dèun déploiement des applications store du type deeplink sur le téléphone portable Windows Phone et Windows 10 et une .msi sur un ordinateur de bureau Windows 10.


Configuration et installation des mises à jour dans Microsoft Intune

Dans cette étape nous allons voir comment aider à sécuriser les PC à l’aide de Microsoft Intune.

Microsoft Intune permet de gérer les mises à jour de votre ordinateur PC tout comme WSUS le fait soit en mode autonome ou à partir de SCCM.
A savoir qu’il s’appuie sur le service Windows Update ce qui veut dire que ce dernier doit être démarré sur les PC gérés par le logiciel client Intune comme condition pour que ça fonctionne.

Dans la démonstration nous allons mettre en pratique cette fonctionnalité. Tout d’abord nous allons configurer les mises à jour, puis rechercher et enfin installer les correctifs sur le PC qui était auparavant inscrit dans Intune à l’aide du logiciel client Intune (qu’on a vu dans l’article consacré à l’inscription d’un ordinateur de bureau dans Intune). Nous allons aussi tester l’option de téléchargement  d’une mise à jour tierce  . Dans ce cas nous allons prendre comme exemple une mise a jour de Microsoft juste pour que vous voyez les options disponibles.


Annulation de l’inscription des appareils mobiles

Dans ce chapitre nous allons annuler l’inscription des appareils mobiles MDM et aussi désinstaller l’agent Intune de l’ordinateur qui sera par la suite géré par le client SCCM. Le but ici sera de préparer notre environnement de test pour la transition du gestionnaire des appareils mobile vers SCCM.

Pour rappel, dans notre plan de formation nous avons Microsoft Intune étant l’autorité initiale et System Center Configuration 2012 (SCCM) étant l’autorité cible de gestion des appareils mobiles et PC.

Nous allons donc dans cette étape supprimer tous les éléments crées dans Intune et de remettre le service dans son état initial (sans icône de mise à jour, de protection etc.).désinstallation de l’agent Intune.


Création d’un abonnement Intune dans System Center Configuration Manager 

Dans cette dernière étape de cette formation sur la mise en place d’Office 365 et l’implémentation de Microsoft Intune nous allons voir comment basculer le gestionnaire des appareils mobiles assigné jusqu’ici à Intune vers Microsoft Center Configuration Manager.
Pour ce faire nous allons voir comment établir un connecteur d’abonnement entre Intune et SCCM.