Traditionnellement, les postes de travail sont joints par défaut au domaine Active Directory local d’une organisation, ce qui apporte nécessairement certaines contraintes. On peut mentionner entre autres la difficulté que rencontrent les DSI traditionnelles quand elles doivent gérer et apporter assistance à un utilisateur/ poste de travail en dehors de son domaine local. Plusieurs désagréments en résultent :

  • mauvaise redescente des stratégies de groupes sur les utilisateurs/poste de travail,
  • complexité pour apporter de l’assistance,
  • difficulté pour récupérer un rapport complet de l’état du poste de travail.

Aujourd’hui, INEAT va vous montrer que l’utilisation de nouveaux services proposées par Microsoft permet de résoudre ces soucis :

Azure AD Join, Intune et Windows AutoPilot.

Azure AD Join

Azure AD Join est la jonction d’un poste de travail à Azure Active Directory, le service cloud Microsoft Azure qui permet de gérer les identités et les accès. Les collaborateurs d’une organisation utilisant Azure Active Directory sont en mesure d’accéder à des ressources internes à l’entreprise comme les applications présentes sur le réseau de celle-ci, les intranets mais aussi les applications cloud développées en interne. Ils peuvent aussi accéder à des ressources externes comme le portail Azure, des applications Saas et Microsoft Office 365. Décrire en profondeur Azure Active Directory mériterait d’y consacrer un livre tant le sujet est vaste. Nous vous recommandons d’ailleurs à ce titre : https://www.editions-eni.fr/livre/azure-active-directory-gestion-des-identites-hybrides-concepts-et-mise-en-oeuvre-9782409016127

Il y a deux façons de contrôler un appareil avec Azure Active Directory:

  • L’inscription
  • La jonction

L’inscription est généralement utilisée lorsqu’un collaborateur souhaite accéder aux ressources via un appareil personnel (ordinateur, tablette, téléphone). Il se connecte à celles-ci en utilisant un compte professionnel ou scolaire. L’appareil en cours d’utilisation est alors automatiquement inscrit auprès d’Azure Active Directory.

A noter qu’il est possible d’inscrire des appareils sous Windows 10, MacOS, iOS, et Android.

La jonction est quant à elle utilisée pour joindre un poste de travail à Azure Active Directory qui était auparavant associé à un domaine Active Directory local.

La jonction peut-être de deux types :

  • Azure AD hybrid Join
  • Azure AD Join

La jonction en Azure AD Hybrid Join permet de joindre le poste de travail à Azure Active Directory tant en conservant la jonction du poste de travail à l’Active Directory local. Le poste de travail conserve ainsi les configurations mises en place en local et peut être contrôlé par Azure Active Directory.

Le deuxième type de jonction, que nous présenterons plus en détail ici, est la jonction en Azure AD Join. Azure AD Join est mis en place par les professionnels qui souhaitent se passer d’une infrastructure locale. On pourra utiliser cette jonction pour contrôler les périphériques directement depuis le portail Azure avec une simple connexion à internet. Ce type de jonction ne peut être mis en place que sur des postes de travail exécutant le système d’exploitation Windows 10.

La jonction en Azure AD Join peut être installée de trois façons :

  • En bloc
  • En “Libre-service” : L’expérience en libre-service consiste à joindre manuellement le poste de travail à Azure Active Directory.
  • Avec Windows AutoPilot : lorsque le poste de travail s’installe par l’intermédiaire de Windows AutoPilot, celui-ci est joint en Azure AD Join.

La jonction en Azure AD Join peut être mise en place rapidement. La gestion des postes de travail va pouvoir se faire depuis Azure grâce au MDM (Mobile Device Management) Microsoft Intune.

Vous trouverez ci-dessous les liens utiles concernant la mise en place de ces jonctions :

Informations complémentaires relatives à l’inscription en bloc : https://docs.microsoft.com/fr-fr/intune/windows-bulk-enroll

Informations complémentaires relatives à la jonctions en Azure AD Hybrid Join : https://docs.microsoft.com/fr-fr/azure/active-directory/devices/hybrid-azuread-join-plan

Informations complémentaires relatives à la jonction en Azure AD Join : https://docs.microsoft.com/fr-fr/azure/active-directory/devices/concept-azure-ad-join

Intune

Intune est un service cloud Microsoft Azure qui permet de :

  • Gérer les appareils mobiles avec lesquels les membres d’une organisation accèdent aux données de l’entreprise,
  • Gérer les applications mobiles utilisées,
  • Protéger les informations d’entreprise en contrôlant leurs accès et leurs partages,
  • Vérifier que les appareils et les applications sont conformes aux exigences de sécurité de l’entreprise préalablement mises en place par l’organisation.

Grâce à Intune, les gestionnaires du parc informatique peuvent passer par le portail Azure pour avoir une vision précise des appareils mobiles utilisés, sans passer par une infrastructure locale. Ils peuvent retrouver un appareil, son propriétaire, les logiciels qui y sont installés ainsi que les plateformes utilisées. Ils disposeront entre autres d’un rapport précis sur la configuration et les applications installées sur chaque appareil (système d’exploitation, état du stockage, numéro de série, les différents logiciels installés, …)

Il est possible d’effectuer certaines actions à distance sur un appareil comme :

  • Le verrouiller à distance
  • Forcer la synchronisation de l’appareil vers Intune
  • Le redémarrer
  • Supprimer le code d’accès

Intune va aussi permettre d’apporter une alternative à ce qui était proposé en local avec les stratégies de groupe (GPO) :

  • Exécution d’un script PowerShell
  • Mise en place d’un même fond d’écran pour tous les membres d’un groupe avec le même profil utilisateur,
  • Blocage des ports USB
  • etc

Plus haut, nous avons parlé de “profil utilisateur”. Un profil utilisateur est la configuration d’un poste de travail que l’on pourra affecter à un groupe composé de plusieurs postes de travail et qui pourra être déployé directement depuis Intune vers les postes distants.

L’une des actions qui a le plus intéressé l’équipe de travail est la possibilité de pouvoir déployer, proposer ou rendre obligatoire l’installation d’applications tout en protégeant les données de l’entreprise.

Intune permet l’automatisation de l’installation de quatre types d’applications :

Les « store applications », les « applications intégrées » et les « applications web » : les mises à jour de ces applications sont directement gérées par Microsoft. Intune installe les applications sans que le service informatique ait à renseigner un fichier d’installation.

Pour les « applications web » un raccourci vers l’application web est créé par Intune sur l’écran d’accueil de l’appareil.

Pour les « applications écrites en interne », le fichier d’installation doit être fourni par l’administrateur lors de la configuration de la stratégie de déploiement. De ce fait, leurs mises à jour doivent être gérées par le service informatique.

Informations complémentaires relatives à Intune : https://docs.microsoft.com/fr-fr/intune/what-is-intune

Windows AutoPilot

Windows AutoPilot permet de simplifier et moderniser le déploiement et la gestion des postes de travails sous Windows 10. L’objectif est de rendre un poste de travail opérationnel dès sa sortie du carton sans que le service informatique ait besoin de faire une remasterisation du poste avec une image de l’entreprise.

Pour effectuer la configuration depuis Intune, il suffit de renseigner sur AutoPilot les identifiants matériels fournis par le constructeur, puis d’y configurer les particularités du déploiement (Page d’accueil etc…). Lors de l’initialisation, le poste de travail doit être en mesure de contacter le service Windows AutoPilot Deployment pour que le profil configuré par l’administrateur s’applique sur l’ordinateur. L’utilisateur doit simplement être connecté à internet et entrer ses identifiants : adresse mail du compte Office 365 et mot de passe. Le poste de travail est alors automatiquement joint à Azure Active Directory. L’administrateur ayant au préalable intégré l’utilisateur dans un ou plusieurs groupes sur Azure AD, la stratégie associée à ses groupes est par conséquent appliquée sur le poste. L’administrateur peut ensuite vérifier que les configurations se sont correctement appliquées via l’état des affectations sur le portail.

Informations complémentaires relatives à Windows AutoPilot : https://docs.microsoft.com/fr-fr/windows/deployment/windows-autopilot/windows-autopilot

Conclusion

La combinaison de ces trois services cloud permet de mettre à disposition un poste de travail sans que celui-ci passe par le service informatique. A vous de tester !