neirfy - stock.adobe.com

Administrer ensemble les postes de travail Windows 10 et les terminaux mobiles

Windows 10 supporte des fonctions essentielles à la gestion de la mobilité d'entreprise. Mais il faut suivre quelques étapes importantes pour préparer les postes de travail à une administration par une solution d’EMM.

Avec le bon logiciel EMM pour Windows 10, il est possible de rationaliser et moderniser l'administration des terminaux des utilisateurs, en consolidant celle des postes de travail, des smartphones et autres tablettes dans une seule console.

Windows 10 embarque un ensemble de composants permettant l’administration des postes de travail avec un outil de MDM, et celle des applications, avec un outil de MAM. Grâce à ces fonctionnalités, il devient possible d’utiliser un outil de gestion de la mobilité d'entreprise (EMM) pour gérer les ordinateurs de bureau, les ordinateurs portables et les terminaux mobiles dans l'entreprise.

Certaines organisations peuvent avoir encore besoin d'applications telles que Microsoft System Center Configuration Manager (SCCM), mais d'autres sont prêtes à adopter pleinement l'administration unifiée des terminaux (UEM).

Configurer Windows 10 pour le MDM

La couche MDM de Windows 10 se compose de fournisseurs de services de configuration (CSP, ou Configuration Service Providers), des interfaces qui aident à définir les paramètres de configuration sur les terminaux et les clients logiciels qu’ils embarquent. Les CSP s'interfacent directement avec le système d'exploitation pour lire et modifier ses paramètres de configuration. Par exemple, le CSP RemoteWipe permet d’effacer un appareil à distance.

Les CSP servent d'intermédiaires entre le système d'exploitation et les clients locaux. Ces clients communiquent avec le serveur d’EMM afin de recevoir des instructions pour le provisionnement des terminaux et la réalisation des tâches d’administration. Deux clients permettent d'effectuer des tâches d’administration de Windows : le client d'enrôlement (EC) et le client de gestion des périphériques (DMC).

L’EC enregistre l'appareil auprès du service d’enrôlement du serveur d’EMM, qui vérifie que l'appareil est authentifié et autorisé pour l’administration. Le client et le service d’enrôlement de l’outil d’EMM utilisent alors le protocole d’enrôlement Microsoft MDM version 2 pour communiquer entre eux.

Le processus d’enrôlement se divise en trois étapes principales : la découverte de l'appareil, l'installation d'un certificat de sécurité et le provisionnement du DMC pour communiquer avec le serveur d’EMM après l’enrôlement. Une fois que l'appareil est ainsi enrôlé, l’administration via l’outil d’EMM devient possible.

Là, le DMC et le serveur d’EMM communiquent via le protocole MDM de Microsoft. Ce protocole est basé sur le standard Open Mobile Alliance pour assurer l’interopérabilité. Le DMC se synchronise périodiquement avec le serveur d’EMM pour vérifier les mises à jour et les changements de politique que les CSP appliquent à l'appareil.

Une fois que les administrateurs ont enrôlé l'appareil et configuré le DMC, ils disposent de plusieurs options pour protéger l'appareil et ses applications avec le logiciel d’EMM.

Options d’administration du terminal

Les outils d’EMM offrent une vaste palette d'options pour enrôler et administrer les postes de travail et les terminaux mobiles. VMware AirWatch propose ainsi un enrôlement en self-service, la configuration en masse, et la gestion flexible des mises à jour du système d'exploitation en fonction de la priorité des appareils et des fenêtres de maintenance. AirWatch supporte également l’application OTA des politiques et paramètres du système d'exploitation, pour l’accès aux réseaux Wi-Fi, BitLocker, le verrouillage de compte ou encore les configurations de base des interfaces d’entrée/sortie. Ces éléments de configuration peuvent être mis à jour sans connexion au domaine ou au réseau de l'entreprise.

MobiControl de Soti offre une configuration automatique de Windows 10 et la possibilité de synchroniser les réglages Microsoft Exchange. En outre, il est possible d’envoyer des alertes aux utilisateurs et d’activer/désactiver Cortana, la capture d'écran, l'enregistrement vocal ou le copier-coller. Le comportement de l'appareil peut même être modifié en fonction de sa localisation géographique - geofence. La connectivité réseau peut être configurée par l'utilisateur, le terminal ou l'application, quel que soit le type de connexion.

Options de gestion des applications

A tout cela, les outils d’EMM ajoutent la prise en charge des applications Windows 10. Le Windows Store for Business, une version administrée du magasin Windows, en constitue un composant important.

Par exemple, XenMobile, de Citrix, l’utilise pour présenter un référentiel d'applications internes et métiers que les utilisateurs peuvent télécharger et installer sans assistance. Les outils d’EMM d’AirWatch, de Soti et de MobileIron utilisent également les capacités du Windows Store pour gérer et distribuer les applications.

Ces produits tirent également parti des fonctions de MAM directement intégrées à Windows 10, pour établir par exemple des listes blanches ou noires d’applications. Sans compter le contrôle d’accès aux applications suivant l’identité de l’utilisateur en lien avec l’annuaire Active Directory.

L'EMM au service de la sécurité

Windows 10 intègre un large éventail de fonctionnalités sur lesquelles les outils d’EMM peuvent s’appuyer pour protéger les ressources de l’entreprise.

Ainsi, MobileIron permet de provisionner des certificats à l’enrôlement des terminaux en mettant à profit le protocole ad hoc de Windows 10, afin d'éviter d’avoir à compter sur des couples identifiant/mot de passe pour l’authentification. AppLocker, qui permet de contrôler les applications et les documents auxquels un utilisateur peut accéder, est également configurable via une solution d’EMM.

XenMobile met également à profit des fonctions de sécurité de Windows 10 telles que Device Guard et Secure Boot, le SSO, le verrouillage et l'effacement à distance, l'authentification à facteurs multiples et BitLocker.

Enfin, MobiControl utilise les règles de protection des informations de Windows pour empêcher les applications non approuvées d'accéder aux fichiers et sites Web d'une organisation. L'outil utilise également des règles basées sur l’état de l’appareil pour détecter des défauts de conformité et y répondre.

Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)