Bonjour,% username%!
Dans toute grande entreprise (et pas seulement dans une grande), les gens veulent avoir accès aux informations de l'entreprise (courrier professionnel, calendrier, ressources internes) à tout moment et aussi simplement que possible. Des solutions distinctes appelées Mobile Device Management ont été créées pour fournir et gérer ces accès.
Historiquement, nous avons utilisé différentes solutions pour gérer les appareils mobiles dans notre entreprise. Au début, c'était une solution adaptée à un fabricant spécifique, puis nous sommes passés à un autre produit qui nous permettait de prendre en charge les appareils iOS et Android. Par la suite, il a été décidé de passer à une solution de Microsoft.
Microsoft intune
Au moment d'analyser les fonctionnalités de la solution, la version cloud fournissait une liste de fonctionnalités assez petite, il a donc été décidé d'utiliser Intune Hybrid.
Qu'est-ce qu'un hybride Intune?
Il s'agit du bon vieux System Center Configuration Manager, intégré à Microsoft Intune. Cette solution a ses propres caractéristiques:
- Toute la gestion des appareils mobiles s'effectue via SCCM.
- Toutes les politiques et configurations de sécurité sont créées et gérées via SCCM.
Dans l'ensemble, la gestion des appareils mobiles n'est pas différente de la gestion des postes de travail. La partie cloud est utilisée uniquement pour la communication entre les appareils et SCCM.
Parallèlement à la décision de passer à MS Intune, il est devenu nécessaire de transférer tous les utilisateurs vers la nouvelle plate-forme. Malheureusement, nous n'avons eu que 5 mois pour migrer et 28 000 utilisateurs dans le monde.
Pour commencer, l'approche de migration la moins destructrice a été utilisée et les utilisateurs ont été invités à reconfigurer les appareils pour qu'ils fonctionnent avec le nouveau service.
Cette approche a cessé de fonctionner à un certain moment, et les utilisateurs ont commencé à être obligés de se déconnecter du service précédent avec un blocage parallèle de la possibilité de configurer l'appareil. Cela a créé certaines difficultés et une charge supplémentaire sur le service de bureau. Le graphique des incidents ouverts sur le service des appareils mobiles montre clairement la période de migration la plus active.
Heureusement, la transition a été réussie - à temps et sans problèmes inattendus.
Comment est la vie sur Mars avec Microsoft Intune?
Pendant la migration, il a été assez difficile pour toutes les équipes d'assistance de s'adapter, car la fonctionnalité de gestion des appareils mobiles était beaucoup plus large et plus pratique que dans SCCM. Mais après avoir sacrifié une certaine quantité de fonctionnalités, nous avons obtenu une plus grande stabilité du service et moins d'incidents en général. À titre de comparaison, avec la solution précédente pour 28 000 utilisateurs, nous avions environ 700 incidents par mois, mais maintenant le niveau est maintenu à ± 350 incidents.
Avec les nouvelles versions de SCCM, Microsoft ajoute de nouvelles fonctionnalités et j'espère qu'ils continueront à investir dans une solution hybride.
Quoi de neuf?La migration vers le nouveau produit a également fourni de nouvelles fonctionnalités de contrôle d'accès, car Intune n'est qu'une partie du service Enterprise Mobility + Security. Les fonctionnalités les plus importantes et intéressantes pour nous sont l'
accès conditionnel et
la gestion des applications mobiles .
L'accès conditionnel est une politique de contrôle d'accès au service. Supposons qu'un utilisateur souhaite se connecter à partir d'un téléphone personnel à Exchange Online. La stratégie d'accès requiert que votre appareil exécute Microsoft Intune pour accéder à EXO. Si cet utilisateur tente de configurer la boîte aux lettres via l'application de messagerie standard sur iOS, il ne verra qu'un seul message: «L'administrateur requiert que l'appareil soit contrôlé via Microsoft Intune». De même, vous pouvez contrôler l'accès à n'importe quelle application enregistrée dans Azure AD.
La gestion des applications mobiles est la gestion des données d'entreprise dans l'application. C’est ce paramètre qui détermine s’il est possible d’enregistrer des documents de travail dans la mémoire du téléphone, de les copier dans des applications tierces, etc.
Ces deux fonctions permettent une configuration utilisateur flexible et indolore des paramètres de sécurité.
Migration vers Intune Standalone
S'intéressant aux nouvelles solutions de Microsoft, en particulier la cogestion et le pilote automatique, nous avons réalisé qu'il était nécessaire de passer à une solution entièrement basée sur le cloud (la soi-disant Intune Standalone).
Au moment de la décision, Microsoft avait déjà publié des instructions pas à pas sur la migration des utilisateurs de SCCM vers Intune Standalone:
- Exportez les configurations depuis SCCM et importez-les dans Intune.
- Migration des utilisateurs de test.
- Migration de tous les utilisateurs.
- Basculez l'autorité MDM de SCCM vers Intune.
Au stade de l'exportation / importation, une
solution de Microsoft elle-même a été utilisée . Malheureusement, l'importation ne s'est pas très bien déroulée et non seulement des applications spécifiques ont été migrées depuis SCCM, mais tous les types de déploiement, créant des applications distinctes dans Intune.
Cela ressemblait à ceci:
De plus, pour une raison quelconque, la version de l'application n'était pas non plus importée correctement et pour cette raison, il était nécessaire de publier toutes les applications manuellement. Avec cette configuration et les politiques ont été migrées sans aucun problème.
Tester la migration de groupeAu départ, le groupe de test était composé de mes collègues et de moi. Nous avions peur que les utilisateurs remarquent qu'ils migrent. Cela pourrait provoquer une vague d'appels au service de bureau. Mais les tests ont montré qu'en l'absence de différence de configurations et d'applications publiées, les utilisateurs ne remarquent rien.
Quel était le mécanisme de migration? L'utilisateur requis a été supprimé de la collection SCCM, qui était utilisée dans les paramètres d'abonnement Intune. Cela a été fait via une collection exclusive, qui, à son tour, était liée à un groupe dans Active Directory. Par conséquent, pour migrer l'utilisateur, il vous suffit de l'ajouter au groupe AD nécessaire.
Mais de façon inattendue, il y a eu des problèmes avec l'accès au Service Desk pour gérer les appareils migrés. J'ai créé un rôle spécial, qui n'avait que les droits nécessaires à ses tâches. Le rôle a été attribué au groupe nécessaire, mais l'accès pour certaines personnes n'est pas apparu. Les licences d'analyste et leurs comptes ont été vérifiés, mais en vain. La vérification des rôles effectifs via l'API Graph a montré qu'il y avait un rôle, mais la personne n'avait toujours pas accès. Après une longue enquête, avec le support de Microsoft, il a été découvert qu'il y avait un besoin d'une licence (Intune dans EMS E3 ou EMS E5) pour les analystes. De plus, les analystes doivent à leur tour être migrés vers Intune Standalone. Le besoin n'était pas documenté et il a fallu quelques semaines pour le résoudre.
Dans le même temps, j'ai attiré un groupe de représentants des ventes d'un pays européen vers la migration, qui utilisent activement le service VPN dans leur travail quotidien et exécutent à la fois la migration elle-même et le
serveur configuré séparément pour Intune Standalone
NDES . C'est à cette étape que la migration a été presque annulée avec le retour de tous les utilisateurs.
Pour que l'utilisateur puisse utiliser le service VPN, il est livré avec un profil qui configure le client VPN à l'aide du certificat SCEP spécifié, qui fait référence à l'autorité de certification racine. En conséquence, une paire de certificats doit être présente pour le fonctionnement.
Nous n'avions qu'un seul certificat (Root CA).
Le plus simple est de supposer que le problème est sur le serveur NDES. Mais cela a parfaitement fonctionné et n'a même pas reçu de demandes de certificats. En examinant les journaux des appareils eux-mêmes, j'ai constaté que l'appareil n'avait même pas reçu les paramètres nécessaires pour demander un certificat SCEP. Microsoft a signalé ce problème aux développeurs Intune qui ont découvert l'importance d'avoir non seulement tous les certificats, mais également la nécessité que tous les certificats et paramètres soient livrés aux mêmes groupes d'utilisateurs et appareils. Dans notre cas, l'autorité de certification racine a été fournie à tous les appareils et SCEP uniquement à certains appareils.
Et donc, nous avons commencé la migration de passer de 1000 à 4000 utilisateurs en une seule vague. Le processus a pris 4 semaines. Nous étions prêts à tout (nous savons tous que très rarement tout se déroule comme prévu). Mais tout s'est bien passé sans une vague d'appels au service de bureau.
Appareils obsolètes
Conformément à nos normes, nous nous efforçons pour les versions minimales de l'OS mobile:
· T-1 pour iOS.
· T-2 pour Android.
* T est la dernière version en ce moment.
Dans une moindre mesure, cela s'applique à iOS, comme Apple soutient depuis longtemps ses appareils. Cela est plus vrai pour les appareils Android. Par exemple, les gens utilisent toujours Android 4.4.2 sur des appareils de plus de 4 ans.
Dans ce cas, nous menons un dialogue avec l'équipe informatique locale pour déterminer le moment du remplacement des appareils, car il est nécessaire de trouver un équilibre entre la sécurité et l'argent dépensé pour les mettre à jour.
Et ensuite?
Le changement de décision a entraîné des changements internes. Par exemple, il y avait des scripts pour nettoyer SCCM à partir de périphériques obsolètes écrits dans PowerShell, qui ne sont désormais plus possibles à utiliser. Dans toutes ses nouvelles solutions, Microsoft fait la promotion de l'API Graph, qui doit être maîtrisée.
Jusqu'à récemment, la génération de rapports était basée sur SSRS, nous allons maintenant utiliser Power BI + oData Feed avec les données de l'entrepôt de données Intune.
Plus tôt, j'ai mentionné l'accès conditionnel et la gestion des applications mobiles. La première solution a déjà été mise en œuvre, nous travaillons maintenant sur la seconde. Nous testons également Azure Application Proxy en remplacement du VPN sur les appareils mobiles. Si c'est intéressant, j'en parlerai volontiers dans de nouveaux articles.