Des règles acceptables et le MDM pour gagner la bataille des terminaux
Administrer une collection éclectique de terminaux est un défi. Mais les administrateurs ont surtout besoin d’établir des règles acceptables et de trouver le bon outil de MDM pour les faire respecter.
La première étape pour établir gérer les terminaux mobiles de manière pertinente consiste à développer des règles d’usage acceptables. Cela veut dire répondre à quelques questions de base puis transposer ces réponses dans une politique formelle.
Par exemple, les utilisateurs peuvent-ils accéder à des ressources réseau depuis leurs appareils personnels ? Ou l’accès est-il restreint à des terminaux propriété de l’entreprise ? Il est également important de déterminer s’il doit y avoir des restrictions quant aux types de terminaux que les collaborateurs sont autorisés à utiliser. Par exemple, y a-t-il un problème à ce que les utilisateurs se connectent au réseau avec un iPhone de première génération, ou le service informatique devrait-il limiter la connectivité à des appareils équipés des plus récents systèmes d’exploitation ?
Une fois que ces règles relatives aux terminaux mobiles sont en place, l’étape suivante consiste à chercher un outil d’administration permettant de les mettre en œuvre. L’une des premières préoccupations que l’IT doit prendre en compte est la sécurité. Mais malgré les importantes différences entre terminaux mobiles actuels, la plupart partagent certaines bases communes en matière de sécurité.
Avant que l’IT ne puisse appliquer des règles de sécurité à un terminal, le réseau doit le reconnaître. La plupart des terminaux mobiles ne peuvent rejoindre un domaine, les outils d’administration des terminaux mobiles (MDM) doivent donc les enrôler. Ce processus d’enregistrement permet au réseau d’identifier le terminal, et à l’IT de l’administrer.
De nombreux éditeurs vont plus loin dans le processus d’enrôlement, et offrent des outils permettant à l’utilisateur d’enrôler lui-même son terminal. De cette façon, les organisations qui permettent aux utilisateurs de travailler à partir d’appareils personnels peuvent déplacer la charge de l’enrôlement sur leurs collaborateurs. Il est possible d’enrôler un terminal en quelques secondes, mais personne ne souhaite enrôler manuellement des centaines ou des milliers d’entre eux. Laisser les utilisateurs enrôler eux-mêmes leurs terminaux leur donne la flexibilité d’ajouter de nouveaux appareils à tout moment et libère les équipes d’administration de tâches manuelles.
Une fois qu’un terminal est enrôlé, l’IT peut le sécuriser. Chaque éditeur de MDM adopte une approche légèrement différente de la sécurité des terminaux, mais dans la plupart des cas, les processus d’enrôlement et de sécurisation sont étroitement liés. Certains outils de MDM permettent aux administrateurs d’empêcher les utilisateurs d’enrôler des appareils non autorisés. Par exemple, un administrateur peut bloquer le processus pour un terminal exécutant un système d’exploitation non supporté ou dépassé, ou si l’appareil a fait l’objet d’un jailbreak ou d’un rootage.
L’enrôlement est également le moment où l’IT peut demander à l’utilisateur d’accepter certaines règles. Les collaborateurs s’attendent à utiliser leurs appareils personnels comme ils l’entendent, mais l’IT ne peut pas se permettre d’autoriser des comportements susceptibles de compromettre la sécurité des ressources réseau. C’est pour cela que le processus d’enrôlement demande à l’utilisateur d’accepter certaines conditions d’utilisation, conformément à la politique interne.
Une fois ces conditions acceptées, le processus d’enrôlement s’achève et l’appareil est sécurisé. Tous les terminaux n’offrent pas les mêmes réglages de sécurité, mais les plus courants tendent à être universels. Dès lors, les éditeurs de MDM peuvent fournir des interfaces standardisées qui fonctionnent avec n’importe quel type d’appareil. Celles-ci permettent de configurer les terminaux via des API spécifiques ou des mécanismes standards, comme les règles Microsoft Exchange ActiveSync.
Déployer les logiciels
La diversité des terminaux présente un autre défi, pour la distribution des applications cette fois-ci. Dans un environnement homogène et maîtrisé, la compatibilité applicative n’est finalement pas un grand problème. Si chaque PC dispose du même équipement requis et système d’exploitation, les administrateurs peuvent compter pousser aisément des applications sur chacune des machines de l’entreprise. Mais ce n’est pas vrai pour les environnements hétérogènes actuels. Un administrateur ne peut pas pousser une application client lourd Windows sur un terminal iOS d’Apple. Aujourd’hui, chaque classe de terminaux possède sa propre architecture et son propre système d’exploitation. Dès lors, les applications ne fonctionnent généralement que sur une seule plateforme. Si un utilisateur décide de travailler à partir de son appareil personnel, son organisation doit prendre une licence pour chaque logiciel qu’elle y déploie.
Les éditeurs de MDM prennent des approches diverses en matière de distribution de logiciels. Certains éditeurs proposent des magasins applicatifs d’entreprise que l’IT peut pré-charger avec des applications validées. Si un utilisateur veut installer une application sur son terminal, il se connecte simplement au magasin applicatif et lance le téléchargement. Le magasin vérifier la compatibilité.
Les organisations doivent respecter les conditions des licences, mais les magasins applicatifs simplifient la gestion des licences. Tout d’abord, la plupart des applications n’autorisent que les terminaux enrôlés à se connecter au magasin applicatif. Ensuite, ces magasins peuvent suivre les licences : lorsqu’un administrateur ajoute une application au catalogue, il précise le nombre de licences disponibles. Lorsqu’un utilisateur installe l’application, une licence est déduite de ce nombre. Lorsqu’il désinstalle une application, une licence est ajoutée.
Les outils de MDM peuvent faire la différence entre applications personnelles d’un utilisateur, et applications fournies par l’entreprise. De quoi répondre aux défis spécifiques que présentent les environnements de type BYOD. Lorsqu’il utilisateur enrôle un appareil personnel, l’outil de MDM assure le suivi des applications déployées par l’entreprise. Et si l’utilisateur décider de reprendre le plein contrôle sur son appareil, l’outil de MDM peut être capable d’en retirer les applications appartenant à l’entreprise – et récupérer au passage les licences correspondantes – sans toucher aux applications personnelles. Mais les capacités et méthodes pour cela varient d’un produit à l’autre.
Adapté de l’anglais.