Intune et le co-management comme solution de gestion des équipements à distance ?
Avec le travail à distance qui se développe de plus en plus, les besoins en sécurité s'intensifient. La gestion des équipements de l’entreprise devient donc un point clé.
La pandémie actuelle amène les personnes à travailler à domicile pendant une période prolongée et on peut d’ores et déjà dire que l’après COVID-19 sera différent de la situation que l’on a connu auparavant.
A l’heure où le nomadisme se développe de plus en plus, et que les collaborateurs sont de moins en moins présents dans les locaux de l’entreprise, de nombreuses sociétés se posent des questions. Comment gérer les équipements des utilisateurs lorsqu’ils ne sont pas connectés au réseau privé d’entreprise pendant plusieurs semaines ou même comment garantir la sécurité lorsqu’un utilisateur utilise un équipement personnel ?
Il devient primordial de réfléchir à la bonne stratégie à adopter pour manager les postes de travail à distance :
Gérer des équipements distants: déployer un nouvel ordinateur, configurer un équipement existant
Assurer le déploiement des mises à jour et patchs correctifs
Garantir un niveau de sécurité optimal: vérifier la conformité d’un poste, Utilisation de l’authentification forte (MFA, Conditional access…) tout en accédant au réseau de l’entreprise et en navigant sur Internet de façon sécurisée (VPN, Cloud proxy…)
Quand il s’agit de gestion des ordinateurs, on pense très souvent au System Center Configuration Manager (SCCM) de Microsoft. Aujourd’hui, cet outil principalement on-premise largement déployé montre plusieurs limitations vis-à-vis du travail à distance. Il ne peut agir que sur les équipements raccordés au réseau privé de l’entreprise.
Une des solutions qui s’impose naturellement est de mettre en place des tunnels VPN pour interconnecter les ordinateurs à l’infrastructure Configuration Manager on-premise existante. Toutefois, les applications, mises à jour et autres packages atteignent rapidement des volumes très importants de données qui peuvent saturer l’infrastructure VPN en place et avoir un impact non négligeable sur le reste du trafic.
Une autre option est de s’appuyer sur le service Cloud Management Gateway (CMG) de Microsoft. Il s’agit d’un service Azure qui agit comme un proxy. Cette architecture permet de décharger une partie des flux liés à la gestion du poste de travail en les faisant transiter non plus par le réseau privé de l’entreprise mais directement via Internet et sans infrastructure locale additionnelle. Bien évidemment, dans le cadre d’une utilisation de tunnel VPN, il faudra mettre en place le split-tunneling afin que le trafic lié à la gestion du poste de travail ne soit plus routé vers le Datacenter au travers du réseau privé, mais bien vers Internet et le service CMG.
Le co-management grâce à Microsoft Intune apparaît comme une réponse idéale à cette problématique.
En allant vers une stratégie de co-management, on peut profiter des services de Microsoft Intune, en plus de SCCM, sans modifier l’infrastructure et les processus existants. Il est ainsi possible de profiter des avantages du cloud pour améliorer la gestion des équipements distant et d’ajouter de nouvelles fonctionnalités:
Activation de l’accès conditionnel
Gestion centralisée de l’ensemble des équipements
Gestion et prise en main à distance des postes de travail
Agrégation des utilisateurs, des équipements et des applications grâce à Azure AD
Si l’idée est intéressante, elle n’est pas aussi triviale à mettre en place et peut rapidement devenir complexe. Il est avant tout nécessaire de bien maîtriser son environnement Microsoft:
Parc d’équipements fonctionnant avec Windows 10
Connexion des équipements à Azure AD
Gestion des licences Microsoft supplémentaires pour Azure AD et Microsoft Intune
Gestion et configuration de Configuration Manager
Définition de la stratégie de déploiement des applications sur les postes utilisateurs en tenant compte des limitations Intune existante
De nos jours, le co-management doit plutôt être considéré comme un complément plutôt qu’une solution à part entière. Il permet de gérer des cas d’usage bien définis et d’aider les entreprises à démarrer progressivement leur transformation vers une stratégie de Modern Management. Par exemple, la gestion des GPO est probablement l’une des plus grosses difficultés d’une migration vers le Modern Management. Les entreprises ont un historique de GPO conséquent et les transformer en politiques de management pour qu’elles puissent être interprétées par un outil Unified Endpoint Management (UEM) est complexe.
Le co-management offre donc la possibilité de continuer à effectuer des actions spécifiques de gestion du cycle de vie des machines à l’aide des outils traditionnels.