Guide de la gestion des dispositifs mobiles de Microsoft

Par le passé, les entreprises utilisaient un outil de gestion de la configuration pour gérer et protéger les données sur leurs appareils, car la plupart des employés travaillaient sur des appareils fournis et appartenant à leur employeur.

La tendance actuelle s'oriente vers une approche plus hybride et plus flexible : BYOD. Ce terme signifie "Apportez votre propre appareil". Dans ce cadre, les employés ont la possibilité d'utiliser leurs appareils personnels pour travailler, que ce soit à la maison ou au bureau.

‍

Toutefois, cette tendance a rendu difficile la protection des données sur différents appareils mobiles fonctionnant sous divers systèmes d'exploitation. Les entreprises qui utilisent Microsoft Configuration Manager sont limitées à la gestion des appareils Windows, macOS et Windows Server. 

‍

Microsoft a lancé un produit appelé Microsoft Intune pour résoudre ce problème. Grâce à Intune, les administrateurs informatiques peuvent gérer les ordinateurs portables, les tablettes et les smartphones fonctionnant avec les principaux systèmes d'exploitation, à savoir Android, iOS/iPadOS, macOS et Windows.

Cet article est le guide de la gestion des appareils mobiles de Microsoft. Vous apprendrez comment fonctionne l'écosystème de gestion des appareils mobiles de Microsoft, ses caractéristiques et comment vous pouvez le déployer dans votre entreprise.

‍

Qu'est-ce que la gestion des appareils mobiles de Microsoft ?

Microsoft propose aux entreprises un ensemble de solutions et de technologies permettant de gérer, d'accéder et de protéger à distance les données stockées dans les appareils appartenant à l'entreprise et aux employés. Cette pratique de gestion des appareils et des données est appelée gestion des appareils mobiles (MDM).

‍

Microsoft Endpoint Manager (MEM) fait partie de la pile de services Microsoft 365, et sous la marque MEM, vous obtenez l'abonnement Configuration Manager et Intune. Ces deux plateformes vous permettent de contrôler entièrement vos données sur tous les appareils qui accèdent aux données de votre entreprise, qu'ils appartiennent à l'entreprise ou aux employés. Outre Endpoint Manager, vous avez également besoin d'un abonnement à Azure Active Directory (Azure AD) pour stocker les données des utilisateurs/employés. 

Endpoint Manager récupère et vérifie ces données dans Azure AD avant de laisser les utilisateurs accéder au réseau de l'entreprise.

‍

Endpoint Manager, Intune et Azure Active Directory sont des solutions "cloud-native". Notez toutefois que Microsoft a prévu des dispositions pour faire fonctionner un annuaire actif sur site et un gestionnaire de configuration sur site avec Intune - si cela vous intéresse.

‍

Intune dispose également de fonctions de gestion des applications mobiles (MAM), qui permettent aux responsables informatiques d'accéder aux applications individuelles sur les appareils des utilisateurs, de les mettre à jour, de les dépanner et de les gérer. 

Le MDM + MAM profite également aux employés. Par exemple, ils n'ont pas à s'inquiéter d'enfreindre accidentellement les politiques de l'entreprise ou de mettre à jour les applications manuellement.

‍

Avec Microsoft MDM et MAM, les entreprises contrôlent totalement les données de l'entreprise stockées sur les appareils appartenant à l'entreprise et aux employés, sans compromettre la confidentialité de ces derniers. 

À quoi sert la gestion des appareils mobiles de Microsoft ? 

Les services MDM vous permettent de créer des politiques de sécurité qui dictent le comportement d'un appareil lorsqu'il accède aux données sensibles de l'entreprise. Ces règles déterminent comment les utilisateurs peuvent se connecter au portail de l'entreprise (site web ou application) et ce qu'ils peuvent ou ne peuvent pas faire après s'être connectés. Si un employé souhaite apporter son propre appareil au travail, il devra accepter ces règles.

‍

Voici quelques cas d'utilisation de la gestion des appareils mobiles : 

• Restreindre l'accès aux réseaux wi-fi. Vous pouvez exiger des employés qu'ils n'accèdent au portail de l'entreprise que par le biais de réseaux wi-fi ou VPN dans les locaux de votre organisation. Vous pouvez également restreindre l'accès au portail de l'organisation via des réseaux publics, car ils sont vulnérables au piratage. 
• Effacement des données. Les administrateurs informatiques peuvent effacer complètement un appareil en rétablissant les paramètres d'usine ou effacer sélectivement les données de l'entreprise. Cette action peut être effectuée à distance en cas de perte ou de vol de l'appareil, ou si un employé quitte l'entreprise. 
• Mise à jour des données. Intune MAM permet de publier des applications internes et professionnelles sur le portail de l'entreprise. Une fois que les employés se sont inscrits à la gestion des appareils mobiles, les administrateurs informatiques peuvent pousser, mettre à jour, effacer sélectivement, configurer, sécuriser et surveiller ces applications.
• Protection des données. Outre l'effacement des données à la demande, Intune vous propose d'autres outils et méthodes pour protéger les données. 

‍

Voici quelques exemples de protection des données :

• N'autoriser que l'accès conditionnel aux données sensibles
• Interdire aux utilisateurs d'exporter des données de l'entreprise vers des dispositifs de stockage personnels
• Mettre en place des politiques de sécurité strictes pour protéger les données, par exemple en interdisant d'envoyer des courriels à des personnes extérieures à l'organisation.
• Intégrer une application de défense contre les menaces mobiles qui recherche en permanence les vulnérabilités sur vos réseaux et dans les applications des utilisateurs. 
• Bloquer l'utilisation de la caméra sur site
• Interdire aux utilisateurs situés à l'extérieur du bâtiment de l'organisation de se connecter aux réseaux wifi
• Empêcher le téléchargement d'applications malveillantes
• Restreindre l'accès à votre réseau aux appareils jail-broken
• Attribuer un contrôle d'accès basé sur les rôles aux administrateurs informatiques dans la console Endpoint Manager
• Définir l'exigence d'une authentification multifactorielle pour certaines actions

‍

En outre, vous pouvez prévenir la perte de données en créant des politiques qui demandent à Intune de sauvegarder automatiquement les données sur un nuage ou sur le serveur central de votre organisation. Vous pouvez également interdire aux employés de supprimer des données sensibles. 

‍

Fonctions de gestion des appareils mobiles de Microsoft

Voici les caractéristiques de la solution de gestion des appareils mobiles de Microsoft : 

‍

• La gestion des téléphones portables devient simple avec Intune. Intune prend en charge tous les principaux systèmes d'exploitation disponibles sur le marché. Il peut gérer les téléphones, les tablettes, les ordinateurs portables et les PC à travers les principaux logiciels d'exploitation du marché. À partir d'un espace administratif unique (Endpoint Manager), vous pouvez catégoriser les utilisateurs et les groupes pour faciliter la gestion, quelle que soit la taille de votre organisation.
• Options de cogestion et d'attachement au locataire. Les fonctions de cogestion et d'attachement au locataire sont destinées aux entreprises qui utilisent déjà des gestionnaires de configuration sur site et qui souhaitent migrer complètement vers les services de Microsoft, lentement ou pas du tout. Avec la cogestion, vous pouvez utiliser Intune et le gestionnaire de configuration sur site pour partager les charges de travail MDM. Cette configuration est idéale pour les environnements BYOD, car l'utilisation d'un gestionnaire de configuration seul peut limiter le nombre d'appareils que vous pouvez gérer. Par exemple, Microsoft Configuration Manager ne prend en charge que les appareils sur site basés sur Windows, macOS et Windows Server. Vous pouvez également activer la fonctionnalité Tenant Attach pour contrôler votre gestionnaire de configuration sur site à distance avec Microsoft Endpoint Manager.
• Intégration avec des services de sécurité et de protection. En plus d'intégrer Microsoft Defender et Windows Defender à votre écosystème MDM, vous pouvez connecter un système tiers de défense contre les menaces mobiles pour renforcer la sécurité. 

Comment gérer les appareils avec Microsoft MDM

Que vous souhaitiez construire votre écosystème MDM à partir de zéro ou que vous disposiez déjà d'un service MDM sur site, plusieurs options s'offrent à vous pour migrer vers Microsoft MDM.

‍

Si vous avez déjà mis en place des systèmes, vous avez le choix entre 4 options : 

• Ajouter Tenant Attach. Si vous gérez des appareils avec un gestionnaire de configuration sur site, vous pouvez activer la fonctionnalité Tenant Attach dans Endpoint Manager pour contrôler à distance le gestionnaire de configuration sur site.
• Configurez la cogestion. Partagez la charge de travail entre votre gestionnaire de contrôle sur site et Intune. Recommandé pour les entreprises qui souhaitent passer à un modèle BYOD.
• Passer du gestionnaire de configuration à Intune. Recommandé si la plupart des appareils des utilisateurs fonctionnent sous Windows OS. Moins bon pour l'écosystème BYOD
•  Partez de zéro avec Microsoft 365 et Intune. Supposons que la plupart des appareils clients de l'écosystème de votre organisation fonctionnent sous Windows. Dans ce cas, vous pouvez déployer Microsoft 365 pour tirer pleinement parti de l' ensemble des produits et services Microsoft, tels qu'Office 365 et le stockage en nuage, et l'intégrer à Intune.

‍

Si vous déployez un système MDM à partir de zéro, vous disposez de deux options simples :

• Intune + Endpoint Manager. L'ensemble du système MDM sera "cloud-native". Les appareils peuvent être gérés à distance. C'est idéal pour le BYOD.
• Gestionnaire de configuration + Gestionnaire de points de contact. Combinez votre gestionnaire de configuration sur site avec le gestionnaire de points de terminaison en nuage.

Configurer Microsoft Intune 

Intune et Configuration Manager sont vendus sous la marque Microsoft Endpoint Manager, qui est incluse dans les solutions Microsoft 365. Par conséquent, pour déployer Intune, vous avez besoin de l'une des licences suivantes : 

• Microsoft 365 E5
• Microsoft 365 E3
• Mobilité et sécurité des entreprises E5
• Mobilité et sécurité des entreprises E3
• Microsoft 365 Business Premium
• Microsoft 365 F1
• Microsoft 365 F3
• Microsoft 365 Gouvernement G5
• Microsoft 365 Gouvernement G3
• Microsoft 365 Education A5
• Microsoft 365 Education A3

‍

L'étape suivante consiste à se connecter à Endpoint Manager et à s'inscrire à Intune. 

‍

Suivez ensuite les étapes suivantes : 

1. Configurez le nom de domaine de votre entreprise avec Intune. 
2. Ajoutez des utilisateurs ou des groupes, ou synchronisez Active Directory avec Intune. 
3. Attribuer des licences aux utilisateurs et aux employés afin qu'ils puissent s'inscrire à Intune s'ils le souhaitent.
4. Attribuer l'autorité à Intune ou Configuration Manager pour la gestion des appareils mobiles.
5. Ajoutez les applications que vous souhaitez pousser et gérer sur les appareils des utilisateurs. 
6. Configurer les appareils pour déterminer ce que les utilisateurs peuvent ou ne peuvent pas faire avec leurs appareils après s'être inscrits à Intune. 
7. Personnalisez le portail de l'entreprise auquel vos utilisateurs auront accès pour enregistrer des appareils et installer des applications. 
8. Activer l'enrôlement des appareils via le portail.
9. Configurer des politiques pour empêcher la fuite et la suppression de données. 

Enrôler les appareils 

Pour les écosystèmes de travail BYOD, Intune doit être défini comme l'autorité MDM. Intune peut inscrire les appareils appartenant aux employés et à l'organisation. Intune prend en charge les plateformes Windows, iOS, macOS et Android. Consultez la liste des plateformes prises en charge et leurs versions respectives. 

‍

Vos utilisateurs doivent être enregistrés auprès d'Azure AD. 

‍

Voici des guides pour obtenir des licences pour différents appareils et les enregistrer dans Intune :

• Android
• iOS/iPadOS
• macOS
• Windows

Gérer les appareils et les applications 

Les administrateurs informatiques peuvent gérer les appareils via le Microsoft Endpoint Manager. Ils peuvent notamment y effectuer les actions suivantes 

• Effacer les données
• Redémarrer un appareil
• Voir le nom du propriétaire d'un appareil
• Localiser un appareil
• Synchroniser un appareil
• Mise à jour d'un plan de données cellulaires

‍

Voici la liste complète des actions que vous pouvez effectuer.

‍

Intune dispose de fonctionnalités de gestion des applications mobiles qui permettent aux administrateurs de pousser, configurer, protéger et gérer les applications sur les appareils inscrits. 

‍

Commencez par ajouter les applications que vous souhaitez gérer dans Intune. Ensuite, créez des politiques pour les applications afin d'assurer la protection des données. La console d'Intune indique l'état d'installation et de vulnérabilité des applications. Voici le guide de Microsoft sur la gestion des applications avec Intune. 

Éduquez vos utilisateurs 

Vos employés ne comprennent peut-être pas bien le fonctionnement de la gestion des appareils mobiles dans le cadre du BYOD. L'atteinte à la vie privée peut inquiéter les employés. 

‍

Informer les utilisateurs finaux sur ce qu'Intune peut et ne peut pas voir sur leurs appareils personnels peut améliorer l'expérience de l'utilisateur et la conformité. Par exemple, Intune n'a pas accès aux données personnelles telles que les photos, les messages texte, les courriels, les appels, l'historique Web, les fichiers ou tout inventaire d'applications non gérées. En revanche, les administrateurs informatiques peuvent voir le nom du modèle de l'appareil, son fabricant, le nom du propriétaire de l'appareil et gérer l'inventaire des applications. 

‍

Vous pouvez partager ce document sur ce à quoi Intune peut accéder sur un appareil avec vos employés et les laisser choisir d'inscrire ou non leurs appareils personnels. 

‍

S'ils souhaitent s'inscrire, ils trouveront ces guides d'inscription aux dispositifs vidéo extrêmement utiles. 

‍

Après s'être inscrits, vos employés peuvent s'aider des guides suivants pour télécharger des applications à partir du portail de l'entreprise et profiter de la commodité offerte par le modèle BYOD : 

• Comment les utilisateurs de Windows peuvent obtenir des applications
• Comment les utilisateurs d'Android peuvent-ils obtenir des applications ?
• Comment les utilisateurs d'iOS/iPadOS peuvent-ils obtenir des applications ?

‍

Besoin de vérifier un appareil ? Obtenez un rapport détaillé de l'historique de Phonecheck

La fuite d'informations organisationnelles sensibles peut compromettre les perspectives de carrière d'une personne. Par conséquent, lors de l'achat ou de la vente d'un ancien téléphone, vous pouvez vous assurer que le téléphone a été entièrement nettoyé et qu'il est dans son état d'origine.

‍

Un rapport Phonecheck peut être utilisé pour vérifier si l'appareil a été effacé en toute sécurité et si les paramètres d'usine ont été rétablis. Il n'est pas souhaitable d'acheter un appareil encore équipé d'un logiciel MDM.

‍

Phonecheck offre une solution complète de traitement des appareils mobiles qui vérifie notamment si un appareil est déverrouillé, s'il a été déclaré perdu ou volé, si sa batterie est en bon état, s'il a été réparé ou s'il figure sur une liste noire. Les revendeurs peuvent acheter et vendre des téléphones anciens en toute confiance grâce à la certification Phonecheck .

‍