MDM : pourquoi choisir Microsoft Intune ?

Digital Workplace Intune
Description de l'image
Tom Machado Expert Technique Modern Workplace

Quand se pose la question du modern management, Intune de Microsoft semble s’imposer comme LA solution de gestion d’appareils (MDM). Cet article a vocation à exposer un humble point de vue sur les raisons de ce constat. 

À quoi sert Intune ? 

Intune est un outil de MDM (Mobile Device Management). A ce titre, il permet : 

En complément, Intune permet la gestion d’applications mobiles (Mobile Application Management, ou MAM) et ainsi sécuriser les données de l’entreprise.

Cta Lb Byod Grey

Intune et Azure AD 

Intune s’appuie sur l’Azure Active Directory (AAD). Plus qu’un simple annuaire dans le cloudil centralise la gestion des identités, des applications SaaS ou encore l’accès aux ressources internes/externes, potentiellement sécurisées par des politiques d’accès conditionnel. 

L’appareil quant à lui est joint dans un premier temps dans l’AAD (Azure AD Join ou Hybrid Azure AD Join). L’«automatic enrollment » se charge de l’enrôler dans Intune. 

Tous les appareils présents dans l’AAD ne sont pas nécessairement gérés par Intune. Ils doivent correspondre aux critères établis par le client (appartenance aux groupes, licences, version d’OS, …) ou même avoir été préinscrits par un constructeur partenaire (fonctionnement d’Autopilot). 

Principe de Windows Autopilot

Le cloud pour quels avantages ?

Cette relation très étroite entre Intune et Azure AD offre de nombreuses possibilités.

Dans un monde de plus en plus en télétravail, administrer ses appareils depuis une plateforme web est un enjeu fort. Le MPLS et le VPN seront de moins en moins nécessaires à long terme #enfinlibres. Une connexion internet solide suffira aux appareils pour être gérés et utilisés convenablement.

On notera également que les postes en Workgroup (encore extrêmement nombreux)sont ceux qui bénéficieront le plus de ce lien entre Intune et AAD. Pour la plupart gérés localement par l’IT local à l’aide de clés USB ou de PPKG, ils sont souvent utilisés en tant qu’administrateurs locaux. Ces appareils seront maintenant remontés et administrés comme tout autre poste de travail. De quoi contrer le shadow IT, une lutte chère dans le cœur et le portefeuille de beaucoup de clients.

Enfin, ceux qui le désireront pourront également protéger la donnée (Mobile Application Management, ou MAM). Notamment pertinent dans des cas de BYOD mobile, en utilisant « l’App protection policy » l’IT a la possibilité de gérer les données et les applications déployées par l’entreprise.

Et ce, sans se préoccuper de l’appartenance de l’appareil qui ne sera qu’« inscrit » dans l’Azure AD (AAD Register vs. AAD Join). Un sujet à adresser main dans la main entre les équipes légales et techniques.

La cohérence d’Intune

Si Intune permet d’assurer la gestion des appareils, il existe également d’autres solutions MDM sur le marché.

Là où globalement les solutions partagent les mêmes objectifs premiers, Intune permet une cohérence avec l’écosystème Microsoft des clients.

Les postes de travail, puisque c’est autour d’eux que s’anime le débat, sont majoritairement sous Windows 10. Les gérer à travers Intune, c’est pouvoir onboarder les appareils sans avoir à déployer un agent dédié puisque l’agent Intune est de suite intégré à Windows 10.

Échange entre Intune et l’appareil

Notons aussi la possibilité de mettre en place un co-management entre SCCM et Intune. Une stratégie séduisante sur le papier à la vue de l’importance de SCCM chez bon nombre de clients.

C’est également la certitude de pouvoir profiter pleinement du management moderne non seulement du poste, mais aussi du contexte des utilisateurs finaux.

Prenons l’exemple des postes partagés, un cas d’usage omniprésent chez certains clients. Ce scénario est chose impossible à l’heure actuelle avec certains MDM. Même si l’on tend vers une gestion universelle de Windows 10 avec l’OMA-URI, le chemin reste encore long. Intune, quant à lui, tire pleinement partie des possibilités et cas d’usages qu’il s’agisse de PC partagés, de BYOD, de PC Corporate ou même de Kiosque (ex : borne, point de vente).

Autre point à prendre en compte, ce sont les infrastructures existantes. L’Active Directory pour commencer. C’est ici que sont les objets ordinateurs et utilisateurs. Grâce à l’Azure AD Connect, il est possible de basculer ses objets provenant de l’AD vers l’AAD et permettant ainsi une transition toute trouvée vers le Cloud tout en étant relié au domaine ADDS.

Le statut d’appareil « Hybrid Azure AD join » (HAAD) soulève des questions. Où gère-t-on l’identité ? Quid de la délégation sur cette organisation AAD à plat sans hiérarchie ni OU ?

Comment retranscrire les GPO si les appareils ne sont que dans l’AAD ? Et qu’en est-il du sens inverse AAD vers AD ? Et le MFA dans tout ça ?

Des questions qui ne sont pas tant techniques mais bien stratégiques auxquelles chaque client répondra selon son contexte et ses ambitions.

Licences, à quel prix ?

Le licensing peut s’apparenter à un vrai sac de nœuds.

En s’y intéressant de plus près, on s’aperçoit qu’en ayant mis un pied dans les solutions Microsoft comme O365 ou Windows 10 E3, on a déjà peut-être sans le savoir tout ou une partie des moyens pour aller pleinement vers cette transition Intune.

Oui, les licences ont un coût.

Un coût cependant à mettre en parallèle aux coûts et inconvénients des solutions plus legacy : Maintien des infrastructures, MPLS, Software Assurance, Shadow IT, VPN, délais de déploiement et d’évolution, Suite Office, etc.

Intune, une logique modernité

Les utilisateurs finaux sont habitués aux terminaux. Que ce soit chez nous ou au travail, nous utilisons ces appareils en permanence.

Les utilisateurs évoluent et leurs besoins avec eux. Il est cohérent que la solution permettant de répondre à leurs demandes évolue elle aussi. Avec une force de développement incomparable, Microsoft s’inscrit avec Intune dans cette logique car est au cœur des enjeux modernes derrière ces attentes.

Viendront prochainement plusieurs articles, allant plus en profondeur techniquement, sur le management des postes de travail à travers Intune sous différents aspects.

“Une tradition, ce n’est jamais qu’un progrès qui a réussi.”  –  Druon

Articles Similaires

Digital Workplace

SCCM à l’ère Intune : co-management ou migration ?

Le co-management permet de fusionner les capacités de gestion d'Intune avec les compétences robustes de SCCM. Cette synergie offre aux...

Digital Workplace

SCCM vs Intune : quel avenir pour la gestion unifiée des appareils ?

Au fil des années, Intune est devenu une solution de gestion de dispositifs mobiles (MDM) de premier plan, offrant de...

Digital Workplace

Gestion de la sécurité dans Intune / Microsoft EndPoint Manager

Présentation de Microsoft EndPoint Manager et Intune Microsoft Endpoint Manager est une plateforme de gestion des terminaux qui combine les...