1. Livres & vidéos
  2. Microsoft Intune
  3. Configuration des périphériques
Extrait - Microsoft Intune Implémentation, exploitation et administration
Extraits du livre
Microsoft Intune Implémentation, exploitation et administration
1 avis
Revenir à la page d'achat du livre

Configuration des périphériques

Introduction

Depuis toujours, les organisations qui mettent à disposition des appareils souhaitent offrir des configurations par défaut. Ces personnalisations ont pour objectif de personnaliser l’expérience, de faciliter la configuration de l’appareil, ou tout simplement d’améliorer la sécurité de l’organisation. Trop souvent, les menaces proviennent de l’intérieur de l’entreprise avec des configurations altérées par les utilisateurs. En plus de la sécurité, l’essor du télétravail a engendré la nécessité d’offrir des mécanismes d’accès à distance. Ceux-ci peuvent demander le déploiement de nombreux prérequis, dont des certificats, des profils de configuration pour l’accès aux réseaux internes (Wi-Fi, VPN, etc.). L’objectif est qu’après le provisionnement, l’enregistrement et la mise en service de l’appareil, celui-ci soit configuré sans demander d’actions particulières de l’utilisateur ou de l’administrateur. Outre cela, les appareils peuvent avoir des dérives de configuration, c’est particulièrement le cas pour les systèmes Windows ou macOS. Ces problèmes sont symptomatiques d’une gestion difficile des postes de travail, serveurs et périphériques...

Concepts

Pour bien comprendre et maîtriser la configuration des appareils au sein de Microsoft Intune, il est primordial d’étudier et de comprendre les différents concepts proposés par les différentes plateformes qui en font un outil très puissant et utile dans l’entreprise. La maîtrise des concepts est essentielle pour pouvoir mettre en place le plus efficacement possible les éléments de configuration.

1. OMA-URI

OMA-URI pour Open Mobile Alliance - Uniform Resource Identifier, est un standard utilisé par les principales plateformes et systèmes d’exploitation pour gérer les paramètres sur les appareils. Ce mécanisme permet à Intune de définir ou d’obtenir des valeurs de configuration en communiquant directement avec les interfaces de configuration.

Le concept général repose sur l’utilisation d’identifiants uniformes pour accéder et modifier les paramètres de configuration de divers appareils tels que Windows, iOS/iPadOS, Android et macOS. Pour chaque plateforme, les OMA-URI suivent une certaine arborescence qui détermine comment les différentes configurations sont organisées et accessibles.

Voici quelques exemples d’OMA-URI selon les plateformes :

  • Windows : ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

  • iOS/iPadOS : com.apple.applicationaccess/allowAppInstallation

  • Android : ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAppInstall

  • macOS : com.apple.systempreferences/network

Lorsqu’un administrateur crée et applique une stratégie personnalisée via Intune, celui-ci devient le mécanisme de remise chargé d’envoyer les OMA-URI aux appareils clients concernés. Ce processus est rendu possible grâce à l’utilisation du protocole OMA-DM (Open Mobile Alliance Device Management), qui assure une communication efficace entre Intune et les appareils.

2. Configuration Service Providers

Le monde de la gestion des appareils mobiles et des systèmes d’exploitation a évolué de manière spectaculaire au cours des dernières décennies, en grande partie grâce aux progrès des technologies cloud et des solutions de gestion centralisée. Avec l’émergence...

Prérequis

Cette section aborde les prérequis à mettre en œuvre pour permettre différents aspects de la configuration des appareils dont notamment le déploiement de certificat ou l’accès à distance.

1. Déploiement de certificats

Si vous souhaitez déployer des certificats sur les appareils en utilisant Microsoft Intune, vous devez déployer plusieurs prérequis selon l’autorité de certification que vous utilisez dans votre organisation. D’une manière générale, l’utilisation de la Cloud PKI reste la méthode recommandée étant donné sa simplicité et les niveaux de sécurité qu’elle fournit.

a. Active Directory Certificate Services (AD CS)

De nombreuses organisations utilisent Active Directory Certificate Services (AD CS) pour sa simplicité de mise en œuvre mais aussi son coût réduit.

Nous n’aborderons pas la mise en place de l’autorité de certification en elle-même et nous vous renvoyons vers la documentation suivante si vous devez en installer une : https://learn.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority?WT.mc_id=EM-MVP-4028970

Une fois l’autorité de certification en place, vous devez aussi créer les modèles de certificats nécessaires à vos besoins. Pour plus d’informations, rendez-vous sur : https://learn.microsoft.com/mem/intune/protect/certificates-pfx-configure?WT.mc_id=EM-MVP-4028970#configure-certificate-templates-on-the-ca

Pour rappel, le déploiement de certificats via AD CS peut se faire via le PKCS ou le protocole SCEP. D’une manière générale, PKCS est la solution la plus implémentée due à sa simplicité de mise en œuvre.

Utilisation de PKCS

Au-delà des prérequis généraux, il en existe des spécifiques au déploiement de certificats via le connecteur PKCS :

  • L’autorité de certification AD CS doit être dans un mode entreprise. Le mode autonome n’est pas supporté par Microsoft.

  • L’utilisation de la dernière version du connecteur de certificat Microsoft Intune. 

  • L’installation d’une machine équipée...

Profils de configuration

Cette partie traite des différents profils de configuration proposés par Microsoft Intune et permettant de paramétrer les différents aspects des plateformes et systèmes. On retrouve deux grands types de profils :

  • Le catalogue de paramétrages (settings catalog) est le nouveau modèle pour la création de profils de configuration. Il centralise tous les paramètres disponibles, permettant aux administrateurs de créer des politiques de manière simplifiée et intuitive. Grâce à cette approche, il est désormais possible de configurer une multitude d’options pour des appareils sous Windows, Android, iOS/iPadOS et macOS, tout en intégrant des applications telles que Microsoft Office et Microsoft Edge. En offrant la possibilité de débuter une nouvelle stratégie à partir de zéro et de n’ajouter que les paramètres désirés, le catalogue de paramètres facilite la personnalisation et l’optimisation de la gestion des appareils tout en assurant un contrôle renforcé et une sécurité accrue. Cette méthode offre également une flexibilité qui répond aux besoins spécifiques de chaque organisation, la rendant indispensable dans le paysage moderne de la gestion des dispositifs. En outre, le modèle sous-jacent mis en place permet à Microsoft de plus facilement introduire de nouveaux paramétrages.

  • Les modèles prédéfinis sont conçus pour répondre à des besoins spécifiques en matière de sécurité, de connectivité et de configuration des paramètres système. Concernant les paramétrages de configuration ou de sécurisation, les modèles fournissent l’ancienne architecture proposée par Microsoft. Il est recommandé d’utiliser ces modèles prédéfinis pour configurer des aspects spécifiques non disponibles dans les settings catalog comme le déploiement de certificats, d’un profil Wi-Fi ou VPN, etc. Certains paramétrages spécifiques peuvent se trouver exclusivement dans les anciens modèles.

1. Catalogue de paramétrages

Cette partie décrit les grandes catégories de paramétrages...

Scripts et remédiation

Bien que Microsoft Intune propose un large choix de configurations et de profils de paramétrages, il est possible que vous deviez aller au-delà de ce qui est proposé. Dans ce cas, il vous sera nécessaire de faire des personnalisations spécifiques qui peuvent être portées par des scripts et des remédiations.

Les scripts de plateforme permettent d’ajouter des scripts PowerShell (Windows), Bash (Linux), Shell (macOS). Ils sont conçus pour ajouter des paramètres et des fonctionnalités qui ne sont pas intégrés à Intune. La fonctionnalité permet de spécifier le contexte, la fréquence, le comportement des nouvelles tentatives d’exécution, et les éventuelles notifications.

Il existe plusieurs considérations particulières à l’exécution de scripts sur Windows. L’agent d’extension de gestion Intune vérifie après chaque redémarrage s’il existe de nouveaux scripts ou de nouvelles modifications. Après avoir affecté la stratégie aux groupes Microsoft Entra, le script PowerShell s’exécute et les résultats de l’exécution sont signalés. Une fois le script exécuté, il ne s’exécute plus, sauf en cas de modification du script ou de la stratégie. Si le script échoue, l’agent d’extension de gestion Intune le relance trois fois au cours des trois prochaines vérifications consécutives de l’agent d’extension de gestion Intune. Pour les périphériques partagés, le script PowerShell s’exécute pour chaque nouvel utilisateur qui se connecte. En outre, les scripts PowerShell s’arrêtent au bout de 30 minutes.

Veuillez noter que Microsoft ne recommande pas de stocker d’informations sensibles dans les scripts (Informations personnelles, mots de passe, etc.) car les scripts...

Transition des stratégies de groupe (GPO)

Lorsque les organisations veulent passer à un mode de gestion moderne, il y a tout le patrimoine historique issue des stratégies de groupe (GPO) et des années de configurations qui ont façonné l’environnement de travail.

1. Stratégie à adopter

Lorsqu’une entreprise envisage de migrer ses configurations (GPO) vers des stratégies Microsoft Intune, elle doit choisir parmi plusieurs approches, chacune présentant ses propres avantages et défis. La première approche est le modèle Greenfield, qui consiste à repartir de zéro avec un nouveau socle technologique. Cette stratégie permet aux organisations de concevoir leur environnement sans les contraintes des systèmes existants. Par exemple, une entreprise peut opter pour cette approche lorsqu’elle souhaite intégrer des technologies de pointe, rationaliser ses processus et bénéficier de la flexibilité qu’offre un système totalement repensé. L’implémentation Greenfield favorise souvent l’innovation et permet de bâtir une infrastructure adaptée aux besoins futurs.

La deuxième approche, souvent désignée sous le nom de Brownfield, implique de migrer intégralement tout l’existant tout en réévaluant les processus sur une base individuelle. Cette stratégie est particulièrement utile pour les organisations qui ont des systèmes bien rodés et qui souhaitent capitaliser sur ce qui fonctionne tout en améliorant les aspects nécessaires. Dans ce scénario, chaque processus, chaque flux de travail et chaque technologie est soigneusement examiné afin de décider de leur pertinence et de leur intégration dans le nouveau...

Suivi des configurations

En tant qu’administrateur des appareils, il est primordial d’assurer un suivi de la configuration des appareils. Ceci peut se faire à différents objectifs comme le suivi global des indicateurs, la supervision des configurations en échec, le dépannage d’une configuration en échec, etc.

Pour accéder aux différents rapports permettant de suivre l’enregistrement, ouvrez le portail d’administration Intune et naviguez dans Devices puis Monitor pour retrouver plusieurs rapports tagués avec la catégorie Configuration :

  • Certificates liste tous les certificats déployés sur chaque appareil ou utilisateurs. On y retrouve l’empreinte, le numéro de série, le nom de sujet, l’autorité émettrice, l’usage de la clé, la date de délivrance et d’expiration ainsi que le statut du certificat (révoqué, déployé, etc.).

  • Configuration Policy assignement failures affiche toutes les stratégies avec des erreurs ou des conflits d’assignation sur des appareils. Ceci vous permet ensuite pour chaque stratégie d’aller voir le détail des machines concernées, le statut associé et la date de dernière vérification.

  • Device encryption status regroupe toutes les machines Windows et macOS avec la version du système...

Conclusion

Ce chapitre nous a permis d’aborder les différents mécanismes à disposition pour réaliser la configuration des périphériques. Vous avez pu appréhender les différents concepts que les plateformes proposent telles que OMA-URI, Configuration Service Providers pour Windows, Declarative Device Management pour iOS/iPadOS. Nous avons abordé les différents prérequis qui peuvent être nécessaires pour déployer des certificats dans les différentes configurations (Active Directory Certificate Services, Microsoft Cloud PKI, PKI tierce, ou information d’identification dérivée) mais aussi les nouvelles solutions d’accès à distance que sont Microsoft Tunnel ou Microsoft Global Secure Access. Le chapitre a couvert ensuite les différents profils de configuration disponibles incluant le nouveau modèle de catalogue de paramétrages (settings catalog) et les modèles prédéfinis qui viennent compléter pour notamment déployer des configurations Wi-Fi, VPN, Certificats, Filaires, Kiosk, ou tout simplement des configurations qui ne seraient pas présentes dans le catalogue de paramétrages. Nous avons pu voir que pour tous les éléments qui ne seraient pas configurables avec les profils, nous avons la possibilité d’utiliser des scripts de plateformes...