Jean-Sébastien Duchêne,
référent technique et Microsoft MVP Enterprise Mobility chez Exakis
Intune est un service Cloud conçu pour la gestion des appareils mobiles (MDM). Inclus dans la suite EMS (Enterprise Mobility + Security) de Microsoft, il s’intègre à d’autres services, en particulier 365 et Azure AD (Azure Active Directory) pour contrôler qui a accès à quoi. Jean-Sébastien Duchêne explique comment migrer en douceur vers ces services.
La première étape consiste à s’hybrider avec le Cloud Microsoft. Il faut d’abord mettre en place l’outil de synchronisation Azure AD Connect pour synchroniser ses identités (utilisateurs, machines, etc.) dans Azure Active Directory. Cette opération a souvent été réalisée lors de l’implémentation d’Office 365. Ensuite, les postes de travail doivent être hybridés (Hybrid Azure AD Join), c’est-à-dire joints à Active Directory et enregistrés dans Azure Active Directory. Cela permet d’obtenir plusieurs bénéfices provenant du Cloud (SSO sur les applications Cloud, etc.). Cette étape est un prérequis à l’inscription automatique des machines dans Microsoft Intune. A partir de ce stade, l’entreprise doit gérer les éventuels conflits entre les stratégies de groupe (GPO), les paramètres MDM (Microsoft Intune) et la gestion par System Center Configuration Manager. Pour cela, Microsoft a introduit deux mécanismes :
- Le Co-Management entre Microsoft Intune et System Center Configuration Manager qui permet de choisir quelles charges d’administration doivent être gérées et avec quel outil afin de ne pas créer de conflits.
- Un paramètre Windows 10 (MDMWins OverGP) qui permet de définir quelle configuration est appliquée lorsqu’un même composant est paramétré par GPO et par Microsoft Intune.
Les étapes suivantes consistent à basculer petit à petit les paramètres, charges d’administration vers Intune via ces mécanismes afin de réduire la dépendance sur les solutions traditionnelles (Active Directory et System Center Configuration Manager).
Personnaliser avec Autopilot
Outre la bascule des charges, il faut revoir la façon dont l’entreprise provisionne et met à disposition le périphérique pour tendre vers le modèle proposé avec les périphériques mobiles consistant à déployer une surcouche d’entreprise. C’est le rôle de Windows Autopilot. Cette solution intégrée à Intune permet de personnaliser la machine sortie du carton sans avoir à la remasteriser. L’entreprise réduit le temps de mise à disposition et facilite la mobilité (livraison directe à l’utilisateur), réduit la charge sur le service informatique (plus de master, de drivers à gérer), et abaisse les coûts.
Enfin pour définitivement basculer les machines dans Azure Active Directory, l’entreprise doit retirer les dernières dépendances d’authentification à Active Directory. Pour cela, une des solutions consiste à utiliser la fonction de réécriture des périphériques Azure Active Directory dans Active Directory (Device Writeback) proposée par Azure AD Connect. Dans ce scénario, une machine jointe à Azure Active Directory qui souhaiterait accéder à une ressource présente sur le réseau internet peut s’authentifier de manière transparente sur le domaine.