Page d’Accueil
-
Présentation de Microsoft Defender for Endpoint
Microsoft Defender for Endpoint est une solution fournissant un centre d’opérations pour la sécurisation centralisée de différentes plateformes, à savoir :
Microsoft Defender for Endpoint (MDE) est une solution complète pour prévenir, détecter et automatiser l’investigation et la réponse aux menaces contre les périphériques d’entreprise. MDE est donc un regroupement de plusieurs services non uniquement une solution EDR comme on peut l’entendre parfois.
Il fait parti intégrante de Microsoft 365 Defender et partage donc toutes ses données de télémétrie sur le « Security Center » auprès des autres produits composant Microsoft 365 Defender :
- Microsoft Defender for Endpoint (MDE)
- Microsoft Defender for Office365 (MDO)
- Microsoft Defender for Cloud Apps (MDA)
- Microsoft Defender for Identity (MDI)
- Azure AD Identity Protection (AADIP)
Il existe trois plans de licences pouvant inclure les produits Microsoft Defender for Endpoint :
- Microsoft Defender for Endpoint Plan 2 (MDE P2)
- Microsoft Defender for Endpoint Plan 1 (MDE P1)
- Defender for Business
Voici le détail de chacun de ces plans de licences :
*Inclus dans les plans de licence Microsoft 365 E5 (ou Microsoft 365 E5 Security)
(suite…)
-
Enrôlement avec Windows Autopilot
Windows Autopilot est un service permettant l’inscription d’appareils Windows sur Microsoft Intune. Même s’il existe différentes façons d’inscrire ses appareils dans Intune (voir article : Inscription Windows) est LE service à privilégier pour faire de l’enrôlement moderne.
Windows Autopilot permet de maîtriser l’inscription, la réinitialisation et la réinscription des appareils sans nécessiter de disposer d’une quelconque infrastructure.
I- Vue d’ensemble
Windows Autopilot simplifie l’inscription des appareils dans Intune.
A. Ancien Monde
Historiquement, dans une entreprise, les postes de travail étaient déployés par la mise en place d’un master. La création de ce Master consiste à acheter un périphérique à un revendeur, supprimer le système existant afin d’y installer une nouvelle image système « masterisée » comprenant des configurations d’entreprise. La création et la maintenance d’images de système d’exploitation personnalisées sont des processus qui prennent du temps. De plus, ce modèle met en évidence deux limitations importantes :
- Peu évolutif : Afin de mettre à niveau son master, il était souvent nécessaire de modifier entièrement voir d’en créer un nouveau. Ce qui pouvait générer de fortes différences de configurations dans le temps.
- Les configurations poussées par le master ne sont pas managées : étant donné que l’outil de gestion n’intervient qu’après la mastérisation, toutes les configurations mises en place durant la séquence de tâches ne sont pas « managées » nativement par l’outil. L’outil de gestion apportera une configuration supplémentaire au socle technique instauré par le master.
Schématisation des actions techniques pour un enrôlement historique via création d’une image : « Master Windows »
(suite…)
-
Inscription Windows
Microsoft Intune permet la gestion des terminaux sous Windows en mettant en avant une centralisation et une simplification de sa gestion de parc. En fonction de l’évolution des usages, Intune s’inscrit dans un nouveau modèle de gestion.
Quand il y a encore 10ans, un terminal professionnel était un ordinateur physique dans un environnement d’entreprise fermé. Aujourd’hui, un utilisateur se connecte à des applications d’entreprise depuis tout un tas de périphériques (PC portables, smartphones, tablettes, Teams room, …) mais également depuis n’importe où.C’est donc dans une volonté de centraliser la gestion de tous ces usages « modernes » que Microsoft Intune a été conçu. Et même si la gestion des postes de travail existe depuis des années sur de nombreux outils, Intune apporte une simplification significative de la gestion. À commencer par l’inscription des périphériques via Windows Autopilot.
Cependant, même si Autopilot reste la solution à privilégier pour l’inscription moderne des périphériques dans Microsoft Intune, il ne s’agit pas de l’unique point d’entrée vers Intune.
Cet article expliquera donc les différents chemins possibles afin d’inscrire les appareils Windows 10/11 sur Intune.I – Les méthodes d’inscription dans Microsoft Intune
Comme évoqué dans l’article : « Modes de jonctions des appareils dans Azure AD », les appareils gérés par Microsoft Intune peuvent être en mode « Full Cloud » ou en mode « Hybride ». Mais quoi qu’il en soit, ils ont une gestion cloud via un service SaaS.
Ce qui signifie que le seul prérequis à un enrôlement Intune est une connexion à internet. Dans le schéma ci-dessous, vous trouverez l’ensemble des méthodes d’enrôlement possibles pour des périphériques Windows :
(suite…)
-
Configurer l’enrôlement automatique avec Apple Business Manager (ADE)
L’utilisation de l’Apple Business Manager permet de mettre en place un scénario d’enrôlement automatique ADE au déballage de l’appareil. À l’instar de Autopilot pour les périphériques Windows, ABM permet aux appareils Apple achetés par l’entreprise d’être pré affecté à un profil d’enrôlement Intune.
Il s’agit de l’unique point d’entrée (avec Apple Configurator) pour l’inscription des périphériques en mode professionnel. Le scénario ADE permettra à l’appareil de se démarrer pour la première fois directement sur sa cinématique d’enrôlement professionnel sans aucune manipulation de l’utilisateur ou d’un administrateur.
(suite…)
Processus d’enrôlement automatique via Apple Business Manager
-
Inscription iOS/iPadOS
Microsoft Intune propose la possibilité de gérer les appareils fonctionnant sous iOS et iPadOS via des scénarios d’enrôlement Apple. Les scénarios qui seront présentés ci-après sont des modes développés par Apple sur lesquels Microsoft Intune fera office d’autorité de gestion. Il est donc important de comprendre que les possibilités de gestions de ces appareils peuvent impliquer à la fois Microsoft & Apple.
I – Présentation des méthodes d’enrôlement
A. Périphériques d’Entreprise
Côté Apple, il n’existe qu’un seul mode de périphérique d’entreprise, parfois appelé COD (Corporate Owned Device) et d’autre fois appelé « mode supervisé ». Quoi qu’il en soit, pas possible de se tromper quand on parle de périphérique inscrit avec scénario professionnel sur iOS ou iPadOS. Contrairement à Android qui propose un mode COPE, l’inscription pro Apple s’apparenterait plus à un mode COBO. Il est également possible de configurer des périphériques en kiosque côté Apple mais pas de mode COSU non plus. La mise en place d’un kiosque se fait post enrôlement via des stratégies de configuration.
(suite…)
-
Configurer l’enrôlement automatique avec Android Zero Touch
L’utilisation de Android Zero Touch Enrollment (ZTE) permet de mettre en place un scénario d’enrôlement automatique au déballage de l’appareil. À l’instar de Autopilot pour les périphériques Windows, ZTE permet aux appareils Android compatibles achetés par l’entreprise d’être préaffecté à un profil d’enrôlement Intune.
En lieu et place de scanner le QR code fourni par Intune, la préaffectation du profil dans la console Android Zero Touch permettra à l’appareil de se démarrer pour la première fois directement sur sa cinématique d’enrôlement professionnel sans aucune manipulation de l’utilisateur ou d’un administrateur.
Processus d’enrôlement automatique via Android Zero Touch Enrollment « Android Zero Touch » est donc une solution d’enrôlement automatique tout comme « Samsung Knox Mobile Enrollment » (KME).
Avantages de ZTE : Couvre un large scope de périphériques Android. Depuis 2020, tous les appareils Android sont devenus compatibles ZTE. Si un appareil ne peut pas être intégré sur la console ZTE il s’agit d’une limitation du revendeur.
Inconvénients de ZTE : Pas de blocage de l’appareil si enrôlement professionnel non complété (par exemple : pas de connexion internet au déballage de l’appareil donc profil non appliqué).
(suite…)
-
Configurer l’enrôlement automatique avec Samsung Knox
L’utilisation de Samsung Knox Mobile Enrollment (KME) permet de mettre en place un scénario d’enrôlement automatique au déballage de l’appareil. A l’instar de Autopilot pour les périphériques Windows, KME permet aux appareils Samsung (compatibles Knox) achetés par l’entreprise d’être pré affecté à un profil d’enrôlement Intune.
En lieu et place de scanner le QR code fourni par Intune, la pré affectation du profil dans la console Samsung Knox permettra à l’appareil de se démarrer pour la première fois directement sur sa cinématique d’enrôlement professionnel sans aucune manipulation de l’utilisateur ou d’un administrateur.
Processus d’enrôlement automatique via Samsung Knox Enrollment « Samsung Knox Mobile Enrollment » est donc une solution d’enrôlement automatique tout comme « Android Zero Touch » (ZTE).
Avantage de KME : Si un appareil possède un profil d’entreprise affecté via KME, ce dernier se retrouvera bloqué s’il ne s’est pas enrôlé correctement (par exemple : pas de connexion internet au déballage de l’appareil donc profil non appliqué). Dès lors que le périphérique se connectera à internet, KME bloquera le téléphone en lui exigeant une réinitialisation.
Inconvénients de KME : Seuls les appareils Samsung (et compatibles Knox) peuvent être inscrits via ce scénario. Ce qui ne couvre qu’une partie de l’ensemble des périphériques Android existants.
(suite…)
Tune in Cloud 