1. Livres & vidéos
  2. Microsoft Intune
  3. Administration et support
Extrait - Microsoft Intune Implémentation, exploitation et administration
Extraits du livre
Microsoft Intune Implémentation, exploitation et administration
1 avis
Revenir à la page d'achat du livre

Administration et support

Introduction

L’administration et le support des appareils et des infrastructures font partie intégrante du quotidien des administrateurs de Microsoft Intune. Ceci passe par la gestion des environnements Windows 365, l’administration des appareils via Microsoft Intune, le dépannage des utilisateurs et de leurs appareils ou la prise en main à distance. De surcroît, le suivi de l’expérience utilisateur et notamment des performances, de la fiabilité, des anomalies et de l’état de santé des appareils donne une approche proactive dans la gestion. La maintenance du tenant ou l’utilisation des rapports sont des actions quotidiennes à ne pas mettre de côté pour s’assurer d’un environnement sain et fiable. L’ensemble de ces tâches vont être augmentées via l’utilisation de l’IA générative et des agents qui vont réduire la charge de travail associée.

Gestion des environnements Windows 365

La gestion des environnements Windows 365 est relativement réduite car le service a été pensé et imaginé pour ne pas demander de maintenir d’infrastructure. Néanmoins, il existe certaines actions de suivi des cloud PC, de mise à jour, etc.

1. Suivi des cloud PC

Le suivi des cloud PC est une action récurrente qui assure que les utilisateurs peuvent toujours accéder aux environnements mis à disposition. Ceci peut se réaliser via la page Overview de l’espace Windows 365 lorsque vous naviguez dans Devices - Device onboarding. On retrouve différents indicateurs :

  • L’état de santé des connexions réseau Azure. Ceci vous redirige vers l’onglet correspondant avec l’ensemble des connexions et leur état de santé. Si vous cliquez sur le statut, vous retrouvez ensuite une liste de vérifications avec leurs états, la date de dernière vérification et les actions associées.

  • Le provisionnement avec le nombre de machines provisionnées, en échec ou en période de grâce. Obtenez plus de détails sur chaque état et machines associées en ouvrant le nœud All Cloud PCs.

La consultation d’un cloud PC propose des parties propres à Windows 365 dont :

  • Performance qui affiche des éléments comme la taille, le système, la date de dernière activité, le statut de connexion, le profil de provisionnement mais aussi l’état de connectivité, la qualité de connexion et le temps de connexion sur 7 et 28 jours. Les trois dernières options vous proposent des rapports dédiés pour la machine.

  • Restore points qui propose la liste des points de restauration ou la capacité d’en créer un à la demande. Pour chaque point de restauration, vous avez la date éventuelle de restauration et la date d’expiration.

Outre ces parties, vous avez des actions spécifiques :

  • Resize pour retailler la machine selon les niveaux de licences que vous avez acquis.

  • Reprovision afin de lancer le réapprovisionnement complet du cloud PC. Vous perdrez alors les données utilisateurs...

Administration des périphériques

L’administration des périphériques au quotidien passe par différentes tâches et actions. Microsoft Intune fournit plusieurs capacités pour administrer, suivre et maintenir les appareils.

1. Configuration des propriétés

Chaque enregistrement d’appareil regroupe plusieurs attributs et propriétés propres à chaque plateforme. Lorsque vous naviguez sur la fiche d’un appareil dans Devices - All Devices. La partie Properties regroupe les propriétés incluant :

  • Le nom configuré sur l’appareil : une fonction permet de renommer l’appareil pour iOS/iPadOS en mode supervisé, Android Enterprise (COPE, Dedicated, Fully Managed), macOS (Corporate), Windows (Entra ID Joined). Sur Android, le renommage ne se fait que côté Intune et n’est pas répercuté sur l’appareil. Pour iOS, si vous avez un profil d’enregistrement avec un modèle de nom d’appareil, le renommage aura lieu mais sera écrasé à nouveau avec ce modèle à la prochaine synchronisation. Obtenez plus d’informations sur le renommage sur : https://learn.microsoft.com/en-us/intune/intune-service/remote-actions/device-rename?WT.mc_id=EM-MVP-4028970

  • Le nom de gestion est le nom unique interne utilisé par Intune. Il prend la forme <Identifiant>_<Model>_<Date>.

  • La catégorie assignée à l’appareil selon celles que nous avons définies dans le chapitre Prérequis à la gestion des périphériques.

  • L’appartenance qui peut être personnelle ou à l’entreprise. La modification de cette valeur peut changer de collecte des données d’inventaire. De plus, l’utilisateur reçoit une notification dans le portail d’entreprise.

  • L’utilisateur principal de l’appareil. Ce dernier peut être changé pour les machines Windows d’un utilisateur A à B ou en retirant l’utilisateur si vous souhaitez rendre la machine partagée. L’utilisateur doit disposer d’une licence Intune.

  • Les balises d’étendue permettant de segmenter les droits et délégation.

  • Des notes utilisables selon vos besoins.

2. Actions à distance

Microsoft Intune...

Dépanner les périphériques/utilisateurs

Plusieurs mécaniques sont à disposition pour dépanner les appareils et utilisateurs.

1. Dépannage via les fonctions intégrées au portail

 En premier lieu, Microsoft Intune regroupe une page de dépannage dédiée en naviguant dans Toubleshooting + Support puis Troubleshoot. Renseignez ensuite le nom de l’utilisateur que vous souhaitez dépanner. Un filtre supplémentaire permet de filtrer sur un appareil. La page regroupe :

  • les informations de l’utilisateur : nom, e-mail, nom principal de l’utilisateur (UPN) ;

  • l’état utilisateur avec l’état d’activation et le statut des licences.

Le tableau de bord de dépannage regroupe ensuite plusieurs onglets et sections :

  • Summary qui rassemble des indicateurs sur les stratégies, la conformité, les applications, les stratégies de protection applicatives, les appareils.

  • Devices regroupe les appareils de l’utilisateur en affichant l’état de conformité Intune, l’état de conformité Entra, l’état de cycle de vie des applications, les systèmes et versions.

  • Groups liste tous les groupes avec le type d’appartenance, la source, le type de groupe.

  • Policy catalogue les stratégies de configuration incluant si elles ciblent l’utilisateur ou les appareils, le type d’assignation, le type de stratégies, les plateformes concernées et les dates de dernière modification.

  • Applications rassemble toutes les applications dont l’utilisateur et ses appareils sont la cible, le type d’assignation, la plateforme, le type d’application, etc.

  • App Protection policy se focalise sur les stratégies de protection d’applications ciblant l’utilisateur.

  • Updates liste toutes les stratégies de mises à jour incluant le nom, la plateforme et le type de mises à jour.

  • Enrollment restrictions regroupe les stratégies de restrictions d’enregistrement ciblant l’utilisateur.

  • Diagnostics affiche toutes les collectes de journaux initiées sur les appareils.

  • ServiceNow incidents liste les incidents ServiceNow de l’utilisateur.

Ce panneau est une fonction essentielle dans vos dépannages. Vous pouvez obtenir plus d’éléments...

Prise en main à distance

Le quotidien des administrateurs d’appareils n’est pas sans contraintes, traduites par les difficultés d’administrer les appareils à distance. Parfois, l’utilisateur fait appel aux opérateurs pour un problème ou une assistance. Le siècle précédent, l’opérateur aurait planifié un déplacement pour venir en aide à l’utilisateur. Aujourd’hui, les administrateurs souhaitent gérer de manière centralisée les ressources. Microsoft Intune propose des outils de prise en main à distance avec Remote Help mais aussi une intégration possible avec TeamViewer.

1. Concepts

La prise en main à distance permet à un administrateur ou à un opérateur d’assister un utilisateur à distance. Ces outils peuvent participer à la résolution d’un problème matériel ou logiciel sans nécessiter le déplacement d’un technicien. On distingue différents types de prise en main :

  • La prise en main Attended implique qu’un utilisateur soit physiquement présent devant la machine cible lors de la session à distance. Cela signifie que l’accès à distance est généralement initié avec la coopération de l’utilisateur local.

  • La prise en main Unattended ne nécessite pas qu’un utilisateur soit présent devant la machine cible. L’accès est généralement configuré à l’avance de sorte que le contrôleur puisse se connecter à tout moment sans intervention de l’utilisateur local. Cette solution s’adresse principalement aux scénarios de prise de main d’appareils sans utilisateur (Kiosk, etc.)

2. Remote Help

Microsoft Remote Help, intégré à Microsoft Intune, est une solution de support technique basée sur le cloud. Cette fonctionnalité offre aux entreprises un moyen sécurisé de fournir une assistance à distance pour les appareils de leurs utilisateurs, en utilisant des contrôles d’accès basés sur les rôles.

Cela signifie que les permissions sont accordées en fonction des rôles des utilisateurs, garantissant que seuls les membres autorisés...

Suivi de l’expérience utilisateur

Le suivi de l’expérience utilisateur se repose sur Endpoint Analytics et Advanced Analytics.

1. Concepts

Ces deux services sont la promesse de Microsoft d’utiliser les données relatives à la télémétrie des systèmes, couplée à l’intelligence artificielle et à des corrélations et comparaisons de données pour fournir des analyses précises de l’expérience des utilisateurs. Ils sont la suite d’une longue lignée de service (Windows Analytics, Desktop Analytics, etc.) qui va changer la façon dont le service informatique va suivre et opérer son parc informatique.

Endpoint Analytics est un service cloud intégré à Microsoft Intune qui vise à améliorer la productivité des utilisateurs et à réduire les coûts de support informatique en fournissant des informations détaillées sur l’expérience utilisateur. En recueillant et en analysant des données sur la performance et l’utilisation des appareils, Endpoint Analytics permet aux équipes d’obtenir des indicateurs précieux pour optimiser les configurations des appareils et améliorer l’expérience utilisateur de manière proactive. Une des principales forces d’Endpoint Analytics réside dans sa capacité à fournir des métriques significatives et des éléments exploitables. Par exemple, les administrateurs peuvent identifier des tendances ou des problèmes récurrents affectant l’expérience utilisateur et prendre des mesures correctives avant que ces problèmes ne perturbent la productivité des employés. En surveillant ces métriques de manière continue, il devient possible de détecter rapidement des régressions potentielles causées par des changements de configuration ou des mises à jour.

Advanced Analytics est une extension des capacités d’Endpoint Analytics, apportant une profondeur et une précision accrues dans la compréhension et l’optimisation de l’expérience utilisateur finale. Cette fonctionnalité fait partie de la Microsoft Intune Suite et utilise des technologies avancées...

Notifications et messages organisationnels

Différents mécanismes sont à disposition pour envoyer des notifications (Android et iOS/iPadOS) ou des messages organisationnels (Windows) aux utilisateurs sur leurs appareils.

1. Windows

Windows et Teams intègrent un mécanisme spécifique appelé Messages Organisationnels, porté par le système d’exploitation et dont l’utilisation se réalise par le centre d’administration Microsoft 365. La fonctionnalité requiert les prérequis suivants :

  • Les droits suivants : Global Administrator ou Organizational Messages Writer (pour l’édition) et Organizational Messages Approver (pour l’approbation).

  • Les terminaux doivent pouvoir communiquer librement avec les URL :

  • fd.api.orgmsg.microsoft.com

  • ris.prod.api.personalization.ideas.microsoft.com

  • Certaines fonctionnalités avancées requièrent des licences Microsoft 365/Office 365/Windows 365 E3 ou E5. Les fonctionnalités avancées sont la création de messages complètement personnalisés et le ciblage avancé en utilisant des agrégations au niveau de groupes utilisateurs via les attributs : Département, Emplacement, Entreprise.

  • Des appareils équipés à minima de Windows 10/11 22H2 avec la mise à jour d’août 2024 (10.0.19045.4842 ou 10.0.22621.900).

  • L’activation de Windows Spotlight et des messages organisationnels via des paramètres spécifiques activables par des profils de configuration Intune :

  • Allow Windows Spotlight (User)

  • Allow Windows Spotlight on Action Center (User)

  • Allow Windows Tips

  • Configure Windows Spotlight on Lock Screen (User)

  • Enable delivery of organizational messages (User)

Le paramètre Disable Cloud Optimized Content ne doit pas être configuré. Vous ne devez pas avoir désactivé le service : WpnUserService.

Une fois les prérequis validés, vous pouvez commencer à utiliser la solution :

 Ouvrez la partie de messages...

Security Copilot et les agents

Microsoft s’est lancé très tôt dans l’intelligence artificielle et a noué divers partenariats (OpenAI, Nvidia, etc.). En 2024, Microsoft a lancé différents services d’IA générative (M365 Copilot, Copilot Chat, etc.) basés sur les modèles proposés par OpenAI. À cette occasion, Microsoft propose Security Copilot, une version spécifique aux services et produits de sécurité permettant de couvrir Microsoft Defender, Microsoft Entra, Microsoft Purview, Microsoft Sentinel et Microsoft Intune. Le principe est la mise à disposition d’un grand modèle linguistique (LLM) dédié à l’organisation qui souscrit le service avec service spécialement développé par Microsoft pour interconnecter les données des services et produits cités via des plugins. Les plugins pour les solutions Microsoft récupèrent par exemple les données via Microsoft Graph. Pour rappel, Microsoft Graph est l’interface permettant d’accéder aux données de manière sécurisée, stockées dans différentes infrastructures de stockage (Data Lake, etc.) gérées par Microsoft. L’ensemble de cette architecture permet de garantir que les données restent confidentielles et non utilisées pour entraîner un nouveau modèle.

Voici un diagramme qui détaille l’architecture :

images/07EP009.png

Cette IA générative propose plusieurs expériences qui permettent de couvrir des besoins différents :

  • L’expérience autonome est un chat accessible via une URL (securitycopilot.microsoft.com), permettant d’exécuter des prompts et d’obtenir des réponses à différentes interrogations selon les données des plugins activés. L’interface donne accès à de nombreuses fonctionnalités comme des promptbooks guidant votre expérience de prompting.

images/07EP014.png

  • Les expériences embarquées sont des fonctions intégrées directement dans les produits/services permettant de faciliter la tâche en cours de l’utilisateur. Cela peut être l’analyse d’un incident de sécurité, l’analyse d’un appareil...

Maintenance du tenant

Une fois le tenant Microsoft Intune mis en place, il existe différentes opérations de maintenance et de suivi du tenant.

1. Informations du tenant

Les informations du tenant sont des éléments essentiels pour vous aider à maintenir et suivre le service Microsoft Intune. Ces informations sont accessibles dans le portail Intune en naviguant dans Tenant Administration - Tenant Status. L’onglet Tenant Status donne notamment le nom et l’emplacement du tenant, le nombre total de licences, d’appareils enregistrés ou d’utilisateurs licenciés. La version déployée est un bon indicateur pour savoir si une fonctionnalité annoncée est disponible pour votre entreprise.

L’onglet Service health and message center regroupe les messages de santé (problèmes, etc.), les problèmes dans votre environnement qui requièrent une action. On retrouve aussi l’ensemble des messages pour rester informer, planifier des changements. L’ensemble de ces informations proviennent du centre de messages du centre d’administration de Microsoft 365.

En outre, Windows Autopatch a son propre espace de gestion du tenant en naviguant dans Tenant Administration - Windows Autopatch - Tenant Management. C’est sur cet espace que vous devez initier certains changements de configuration proposés par Microsoft pour que le service fonctionne.

2. Vérification des connecteurs

Nous avons vu tout au long de cet ouvrage que Microsoft Intune s’intègre à différents services via des connecteurs. La vérification de ces connecteurs est une étape primordiale.

 Pour ce faire, ouvrez le portail Intune et dirigez-vous dans Tenant Administration - Tenant Status puis l’onglet Connector Status. Celui-ci regroupe l’ensemble des connecteurs avec leur état. Vous pouvez ensuite cliquer sur un connecteur pour être redirigé vers sa configuration. Parmi les connecteurs, on retrouve Autopilot, les solutions Mobile Threat Defense, Apple VPP, Apple DEP, Apple Push Network Service, etc. Les connecteurs peuvent demander différentes maintenances comme le renouvellement de certificat, la mise à jour de connecteurs.

images/07EP018.png

Lorsque vous détectez...

Rapports

Dans le monde moderne de la gestion informatique, la capacité à surveiller, évaluer et optimiser les ressources est fondamentale pour maintenir l’efficacité et la sécurité des opérations de l’entreprise. Les rapports dans Microsoft Intune sont importants pour plusieurs raisons. Tout d’abord, ils fournissent une visibilité sur l’état des dispositifs gérés, permettant aux administrateurs de s’assurer que les politiques sont correctement appliquées et que les apps sont à jour. Ensuite, les rapports aident à identifier les problèmes potentiels avant qu’ils n’affectent l’utilisateur final, ce qui contribue à la réduction des temps d’arrêt et à l’augmentation de la productivité. Ils sont également essentiels pour le respect des réglementations en matière de sécurité et de conformité, offrant des preuves concrètes que les systèmes correspondent aux normes préétablies.

Microsoft Intune propose divers types de rapports pour répondre aux besoins variés des entreprises :

  • Les rapports opérationnels fournissent des informations pratiques pour les tâches quotidiennes d’administration et de gestion telles que la gestion de la conformité des appareils, le suivi des installations d’applications, et la résolution des problèmes émergents.

  • Les rapports organisationnels donnent une vue d’ensemble de la performance et de l’état de gestion pour les cadres et les gestionnaires pour planifier à long terme et aligner les objectifs technologiques avec la stratégie de l’entreprise.

  • Les rapports historiques mettent en évidence une rétrospective des tendances et évolutions. Ils permettent d’évaluer l’impact des décisions antérieures et prévoir les changements futurs.

  • Les rapports spécialisés offrent des analyses spécifiques sur des domaines particuliers et permettent d’utiliser les données brutes pour créer vos propres rapports.

L’état de maturité des rapports et la latence des données ont toujours été un sujet sur Intune. Microsoft tend à refondre les rapports...

Conclusion

Au cours de ce chapitre, nous avons vu les différents mécanismes permettant d’assurer l’administration et le support de Microsoft Intune. Vous avez pu voir les différents aspects de gestion des environnements Windows 365 incluant le suivi des cloud PC, des fenêtres de maintenance, etc. L’administration des périphériques au sens large fait partie des actions quotidiennes avec les actions à distances, l’extension de l’inventaire, le requêtage des appareils, les scripts et remédiations, etc. Nous avons détaillé les différentes techniques permettant de dépanner les utilisateurs et leurs appareils incluant le portail Microsoft Intune mais aussi toutes les actions disponibles localement pour chaque plateforme. Remote Help est un acteur essentiel du dépannage. Vous avez pu voir que sa mise en œuvre est aisée et permet rapidement de débloquer les difficultés. Le suivi de l’expérience utilisateur, au travers d’Endpoint/Advanced Analytics, est un nouvel enjeu important assurant la qualité de l’environnement. Diverses fonctions de notifications vous permettent de communiquer des changements ou tout autre aspect à vos utilisateurs. Nous avons pu voir les avancées et scénarios apportés par l’IA générative et notamment Security Copilot ainsi...