redéfinir la gestion de windows 10 - dell united...

LIVRE BLANC -JANVIER 2017

REDÉFINIR LA GESTION DE WINDOWS 10 Adopter la véritable mobilité d’entreprise

L I V R E B L A N C | 2

REDÉFINIR LA GESTION DE WINDOWS 10

SommaireIntroduction.......................................................................................................................3

Solution VMware..............................................................................................................4

Réduction des coûts et des problèmes de gestion..........................................5

Gestion simplifiée............................................................................................................8

Protéger et contrôler les terminaux Windows 10..............................................17

Réduire le risque de perte des données..............................................................23

Résumé..............................................................................................................................26



Introduction

De nombreuses organisations informatiques sont encore considérées comme des centres de coûts dont les rôles consistent à gérer des opérations classiques – de prise en charge systématique des utilisateurs, des terminaux, des applications et des systèmes d’exploitation (OS). Pour faire face à la concurrence, la consumérisation de l’informatique (avec BYOx) et les initiatives mobiles dans le Cloud se normalisent. Cela oblige les organisations à se projeter au-delà de la collaboration et de la productivité de l’utilisateur final et à s’adapter aux dernières initiatives en matière de mobilité qui nécessitent la reconfiguration des processus principaux pour s’adapter au modèle Cloud.

Avec Windows 10, Microsoft offre au marché un OS mobile prêt pour le Cloud qui impactera de manière significative la stratégie End-User Computing (EUC) des entreprises. Les OS modernes offrent une plateforme unifiée pour créer des applications, étendre les processus de l’entreprise aux utilisateurs finaux et utiliser tous les terminaux Windows 10. Mais la mise en application de cette vision de la mobilité doit relever un ensemble de défis. Une étude VMware de 2015 réunissant plus de 1000 décisionnaires a identifié les principaux problèmes concernant l’adoption d’initiatives en matière de mobilité1:

1. Réduire le coût global et les difficultés de gestion

2. Assurer la sécurité et le contrôle des terminaux à tout moment

3. Réduire le risque de perte des données professionnelles

Sa vision d’une gestion unifiée des points de terminaison place VMware dans une position stratégique pour relever ces défis. La solution End-User Computing de VMware permet aux organisations de tirer parti des initiatives mobiles et aux départements informatiques de se redéfinir comme de véritables éléments facilitateurs du secteur. Ce livre blanc est destiné aux Décisionnaires et Professionnels de l’Informatique et met en avant la manière dont VMware redéfinit la gestion et les déploiements Windows 10 à travers l’entreprise.

1 VMware State of Business Mobility Report. Rep. VMware, Nov. 2015. Web. <http://www.air-watch.com/lp/vmware-state-of-business-mobility-report-2015/>.



VMware AirWatch® offre une prise en charge de la gestion de Windows 10 et présente une méthode de déploiement, de contrôle et de gestion d’une flotte de PC plus adaptée. Cela réduit le coût total et les problèmes de gestion en donnant aux administrateurs la possibilité de consolider les outils nécessaires et le tableau de bord de gestion et d’éliminer de nombreux points faibles inhérents aux tâches de gestion des PC traditionnels (par exemple, la préparation et la masterisation nécessaires, la complexité de maintenir des pilotes, la gestion des mises à jour des OS, le pare-feu, l’antivirus et les politiques de chiffrement).

Par ailleurs, AirWatch permet aux administrateurs de contrôler et de sécuriser les terminaux pour les utilisateurs finaux grâce à des profils de sécurité détaillés, des paramètres de conformité et des restrictions sur le terminal. La solution réduit le risque de perte des données en s’assurant que seuls les terminaux gérés répondant aux politiques de conformité définies par l’entreprise accèdent aux applications, au contenu et à la messagerie.

Le reste du livre blanc détaille la manière dont l’approche EUC de VMware répond aux problèmes d’une organisation à adopter les initiatives mobiles, en particulier lorsqu’ils concernent les déploiements Windows 10.

Solution VMwareLa solution de gestion de la mobilité d’entreprise (EMM) d’AirWatch se trouve au centre de la vision de la gestion unifiée des points de terminaison de VMware.



Windows 10 permet aux administrateurs de profiter pleinement des nouvelles fonctionnalités de gestion de la mobilité d’entreprise (EMM). AirWatch s’adapte aux meilleures fonctionnalités de gestion du client et rassemble les fonctions EMM en tête du secteur afin de simplifier la gestion des terminaux mobiles et des ordinateurs de bureau Windows 10.

Déploiement rationaliséAvec AirWatch, les administrateurs peuvent radicalement simplifier le processus d’enrôlement des terminaux et leur configuration. AirWatch offre une intégration intuitive de Windows 10 sur tout type de réseau—public (joint au domaine Cloud) ou privé (non joint au domaine Cloud)—à travers les scénarios professionnels, BYOD et CYOD. AirWatch s’intègre avec Microsoft Active Directory (AD) sur site et Microsoft Azure AD dans le Cloud public pour prendre en charge des modèles d’enrôlement hybride ou dans le Cloud pour joindre les terminaux au domaine.

Réduction des coûts et des problèmes de gestion

Figure 1: Cas d’utilisation de provisionnement d’AirWatch Windows 10

Paramètres > Account

Paramètres > Compte

Enrôlement via Microsoft App

Utilisation immédiate

Enrôlement dans l’espace

de travail

Paramètres du terminal

Au niveau de l’application

Intégration simplifiée de l’utilisateur final

Intégration simplifiée Installation

de packs

Préenrôlement en masse

Enrôlement au démarrage



Intégration simplifiéeLa jonction au domaine et la masterisation traditionnelle rendent l’enrôlement des terminaux long et complexe. La configuration sur Windows 10 lorsqu’elle est combinée aux fonctionnalités de configuration de produits AirWatch donne aux administrateurs une approche plus granulaire basée sur la politique d’entreprise pour enrôler les terminaux en masse sans remasterisation nécessaire.

Avec AirWatch, les administrateurs peuvent importer en masse des numéros de série de terminaux spécifiques et les mapper sur les comptes utilisateur qui reçoivent le terminal. AirWatch fournit les URL de services de configuration et de préparation nécessaires (découverte, enrôlement et politique) qui alimentent la masterisation Windows et le concepteur de configuration.

Enrôlement en self-service de l’utilisateur final sans intervention du service informatique

Enrôlement en masse en un clic grâce à la politique sans remasterisation nécessaire

Productivité IT/OpEx


Intégration simplifiée de l’utilisateur final L’intégration avec Azure Active Directory permet aux entreprises de prendre en charge l’enrôlement self-service de l’utilisateur final sans intervention de l’administrateur et en limitant l’interaction avec l’utilisateur au minimum. Les utilisateurs finaux peuvent s’enrôler via :

• Un enrôlement immédiat au démarrage

• L’ajout de leurs identifiants professionnels

• La connexion aux applications de l’organisation (par ex. Microsoft Office)

Les méthodes d’enrôlement self-service à l’aide d’identifiants professionnels joignent les terminaux au domaine Cloud, configurent les profils comme il se doit, les paramètres, les applications, les politiques de conformité et le contenu, et préparent le terminal à la gestion par AirWatch, le tout dans un flux de travail simple et homogène.



Applications Configuration

• Suppression des logiciels lourds

• Installation des MSI

• Installation des EXE

• Installation des DLL

• Installation des pilotes

• Installation des magasins d’applications

• Installation des mises à jour Windows

• Déploiement des clés de licence Windows

• Déploiement des scripts perosnnalisés

• Certificats

• E-mail

• VPN

• Wi-Fi

• Pare-feu

• Antivirus

• Chiffrements

• Mise à jour du client Windows

• Restrictions d’applications

• Ajout de comptes

• Configuration du menu de démarrage

• Configuration du papier peint

• Configuration de l’imprimante

Combiné aux fonctionnalités de configuration de produits AirWatch (voir la section Gestion d’applications), AirWatch permet aux administrateurs de créer un seul pack d’enrôlement préconfiguré dans lequel les paramètres de configuration, les applications (notamment EXE et MSI), les mises à jour des logiciels, les pilotes, les fichiers et les commandes sont distribués à distance à l’utilisateur final par e-mail ou disque média, et installés en un clic. Sinon, le pack peut être directement importé par l’administrateur ou l’utilisateur final depuis les paramètres d’accès professionnel Windows.

Figure 2 : Le pack de configuration peut inclure les listes d’applications et les paramètres de configuration.



La console d’administration AirWatch présente le tableau de bord des terminaux qui donne aux administrateurs un aperçu en temps réel de toute la flotte de points de terminaison, notamment les terminaux basés sur Windows 10. Le tableau de bord des terminaux est personnalisable, offre la possibilité d’effectuer une recherche et comprend des fonctionnalités de filtrage pour que les administrateurs puissent trouver des terminaux spécifiques en fonction de différents critères, par exemple la plateforme, la version d’OS, le statut de conformité, le type de propriété, etc. Les fonctionnalités rendent les actions MDM et les fonctions administratives plus simples et plus rapides sur un ensemble spécifique de terminaux.

Terminaux

Gestion simplifiée

Tableau de bord unifié pour la gestion et le compte-rendu de tous les terminaux, applications et plateformes


La console d’administration AirWatch permet aussi une évaluation plus détaillée de chaque terminal. Par exemple, les administrateurs peuvent obtenir des informations détaillées sur le statut de sécurité du terminal, c’est-à-dire si Windows 10 est enrôlé ou non dans le MDM, si le terminal est conforme aux politiques de chiffrement et de code d’accès, et si son état répond aux paramètres d’attestation d’intégrité (voir la section État du terminal).

AirWatch présente aussi un large ensemble de fonctionnalités préconfigurées de journalisation des événements et de rapports qui donnent aux administrateurs les statistiques concrètes sur leurs déploiements Windows 10. Les administrateurs peuvent aussi créer des rapports personnalisés, définir des listes de distribution et automatiser la distribution des rapports et des plannings au sein de la console d’administration centralisée.



Inventaire des terminauxAirWatch comprend les fonctionnalités Asset Intelligence créées dans la console. Les administrateurs reçoivent différents détails de l’inventaire des appareils tels que les terminaux dans les groupes organisationnels spécifiques, le statut des connexions réseau, les terminaux avec les applications spécifiques installées, le statut de compromission du terminal et de nombreux rapports détaillés et préconfigurés.

ApplicationsAvec la gestion de PC, les administrateurs doivent relever le défi d’un écosystème fragmenté d’applications. Avec Windows 10, les entreprises n’ont plus besoin de différents outils de distribution d’applications pour chaque type d’application, et les administrateurs peuvent autoriser les utilisateurs à accéder à toutes les applications—qu’il s’agisse de packages EXE ou MSI, d’une application Web, à distance, ou d’une application universelle—depuis un magasins d’applications unifié. Le nouveau magasin prend en charge les applications qui maintiennent une seule base de code à travers les plateformes de terminaux mobiles et d’ordinateurs de bureau de Windows. Cette fonctionnalité permet aux développeurs de gagner du temps et aux administrateurs de travailler sur la gestion des points de terminaison.

Figure 3: Tableau de bord des terminaux AirWatch

L I V R E B L A N C | 1 0

AirWatch permet aux administrateurs de déployer un catalogue d’applications unifié pour que les utilisateurs accèdent aux applications professionnelles approuvées depuis un seul emplacement. Les politiques de configuration d’applications d’AirWatch s’assurent également que seules les applications approuvées sont exécutées sur les machines des utilisateurs finaux (voir la section Groupes d’applications). L’intégration avec VMware Identity Manager en tant que solution IaaS (Identity as a Service) permet aux administrateurs de contrôler et sécuriser l’accès aux applications professionnelles et de configurer l’accès One Touch pour les utilisateurs accédant à ces applications depuis n’importe quels lieux et terminaux (voir la section Authentification unique).

VMware AirWatch® App Catalog™ s’intègre entièrement avec le magasin Microsoft et permet l’installation self-service d’applications attribuées aux utilisateurs en fonction de la plateforme, du groupe d’utilisateurs, du rôle et plus encore. Cela permet aux développeurs et aux administrateurs de consulter les statistiques d’installation des applications, de collecter les commentaires, d’envoyer des notifications de mises à jour, d’installer les applications de manière silencieuse sur les terminaux et de créer des catégories et des personnalisations pour le catalogue. AirWatch App Catalog peut être envoyé automatiquement vers les terminaux pendant l’enrôlement de Windows 10 ou à la demande comme raccourci Internet.

Avec le développement de Windows Store for Business, Microsoft donne la possibilité aux développeurs, aux décisionnaires informatiques et aux administrateurs d’envoyer, rechercher, acquérir, gérer et distribuer les applications Windows 10 pour les entreprises. AirWatch se réjouit de travailler avec Microsoft et de s’intégrer au Windows Store for Business pour que les administrateurs puissent accéder, déployer, et utiliser les applications Windows 10 au sein de leur organisation.


Installation self-service d’applications pour l’utilisateur final




Configuration du produitAirWatch autorise la distribution d’application, de fichiers et de commandes à distance via les « profils des produits ». Les fonctionnalités de configuration de produits d’AirWatch permettent aux administrateurs d’envoyer les applications, les pilotes, les mises à jour des microprogrammes, les scripts ou les packs complexes pour garder les ordinateurs de bureau Windows à jour et prêts à l’emploi. Les administrateurs peuvent encore simplifier la configuration des produits et les tâches de distribution logicielle en créant des flux de travail et des planning automatisés pour l’installation qui peuvent aussi être configurés selon certaines conditions, telles que le réseau, le planning ou la puissance. AirWatch prend entièrement en charge l’installation basique de MSI et va plus loin en présentant un moteur de script de tâches qui offre des fonctionnalités nécessitant l’utilisation d’un outil de gestion des cycles de vie des PC (PCLM). Cela permet aux administrateurs d’adopter le meilleur des fonctions PCLM lors de leur transition vers le nouveau flux de gestion basé sur l’EMM.

Inventaire des applicationsAirWatch prend en charge le contrôle de l’inventaire, le regroupement et le compte-rendu des applications actuelles Metro et les applications Windows de bureau. Les administrateurs peuvent consulter les rapports sur les versions d’application et le statut de déploiement, la présence d’applications sur les terminaux sélectionnés, la liste d’applications et leurs coûts ; et accéder à de nombreuses fonctions d’inventaire des applications.

App

Fichiers

Commandes


E-mailAirWatch fournit une fonctionnalité de gestion de la messagerie complète pour Windows 10 pour prendre en charge et sécuriser une infrastructure de messagerie professionnelle en autorisant uniquement les terminaux et les utilisateurs conformes à accéder à la messagerie. AirWatch prend en charge l’accès à la messagerie sur le client de messagerie natif (Microsoft Outlook) ou à l’aide l’application native AirWatch Inbox et déploie différentes configurations de gestion de la messagerie2 au sein de la même organisation, notamment Exchange Online et Office 365.

Cela permet aux administrateurs de centraliser la gestion de différents environnements de messagerie à travers les branches ou les groupes d’utilisateurs, et de prendre en charge la mise à niveau ou les scénarios de migration pour lesquels une partie des points de terminaison peut être dans un environnement différent.


Support Office 365Pour les entreprises utilisant Microsoft Office 365, AirWatch et VMware Identity Manager simplifient et automatisent le processus d’accès à la configuration aux différentes applications Office 365 en se synchronisant avec les groupes d’utilisateurs des services d’annuaires existants. L’intégration assure une identité commune pour l’authentification et un accès conditionnel aux applications de sorte que seuls les utilisateurs autorisés, sur des terminaux gérés, et avec des licences achetées, accèdent aux différents services Office 365.

Prendre en charge et centraliser la gestion de plusieurs infrastructures de messagerie


2 Windows Desktop: Exchange Server, Exchange Online, Office 365; Windows Phone: Exchange Server, Exchange Online, Office 365, Lotus Traveler, Novell GroupWise, Google Apps for Work.



Fonctions client traditionnellesLes méthodes de gestion des PC traditionnels dépendent très largement des objets de stratégie de groupe. Il est donc nécessaire que les terminaux soient connectés au réseau professionnel et redémarrent pour recevoir les politiques. Les entreprises demandent souvent une infrastructure séparée de gestion basée sur l’EMM pour protéger et gérer leurs points de terminaison mobiles et autres que Windows. Avec Windows 10 cependant, la transition entre les objets de stratégie de groupe et la gestion de la plateforme basée sur l’EMM est essentielle. Avec AirWatch, les terminaux Windows 10 peuvent désormais être configurés avec des mises à jour en temps réel à distance, sur les réseaux publics comme privés. AirWatch prend également en charge les paramètres d’OS natifs pour le chiffrement, l’antivirus, les programmes malveillants et le pare-feu, rendant ainsi l’achat et la prise en charge d’agents et de logiciels tiers non nécessaires. AirWatch permet à la gestion basée sur les objets de stratégie de groupe de coexister avec la nouvelle approche basée sur l’EMM pour éviter aux administrateurs d’avoir à choisir. En rassemblant le meilleur de la gestion des cycles de vie des PC traditionnels et l’EMM, AirWatch vise à élever la productivité, réduire les coûts et améliorer la sécurité des points de terminaison.

Consolider ou supprimer les licences pour les outils de gestion des PC traditionnels

Infrastructure/CapEx:ContenuLa solution de gestion de contenu AirWatch aide les entreprises à distribuer et accéder en toute sécurité au contenu sur les terminaux mobiles et Windows desktop. Les administrateurs peuvent configurer et importer du contenu géré dans la console d’administration, synchroniser les serveurs de fichiers professionnels (par ex. Microsoft SharePoint, Microsoft OneDrive, network shares, etc.) et activer l’espace de contenu personnel pour les utilisateurs finaux. Les utilisateurs peuvent accéder et partager les données de manière sûre avec VMware AirWatch® Content Locker™.



Mises à jourWindows 10 présente un nouveau service de mises à jour conçu dans l’esprit du Cloud et de la mobilité. Cela change la notion de mise à niveau d’OS, qui consiste à effacer et remplacer un modèle, pour un modèle où les mises à jour régulières de fonctionnalités et d’OS sont envoyées à distance. Le nouveau service de mises à jour Windows présente également des plans d’installation ou des branches de mises à jour qui donnent aux administrateurs le contrôle sur le planning de déploiement selon l’approche préférentielle de l’entreprise concernant les mises à jour de sécurité et de fonctionnalités. Ces changements signifient que les organisations ont désormais besoin d’un outil de gestion basé dans le Cloud pour rester en tête des nouvelles fonctionnalités de mises à jour.

AirWatch offre un contrôle granulaire sur la manière dont les mises à jour Windows sont gérées et distribuées à travers l’organisation. L’administrateur informatique peut choisir si les utilisateurs contrôlent les mises à jour eux-même ou peut appliquer les mises à jour des terminaux via l’abonnement aux sources de mises à jour Windows. AirWatch s’intègre avec le nouveau service de mises à jour Microsoft et prend aussi en charge les services de mises à jour des serveurs Windows professionnels existants (WSUS).

Les administrateurs peuvent définir la manière dont les mises à jour sont distribuées sur les terminaux, automatiques ou autorisées par l’utilisateur, ainsi que les fenêtres de maintenance (heure et jour souhaités pour l’installation) de sorte que les mises à jour n’entravent pas la productivité de l’utilisateur. AirWatch propose aussi de choisir si les mises à jour pour Microsoft et les produits tiers peuvent avoir lieu en même temps que les mises à jour Windows et si les builds Windows Insider doivent être envoyés aux utilisateurs finaux. AirWatch supporte aussi la fonction d’optimisation de la distribution de mises à jour Windows 10 pour la distribution pair à pair, afin que les utilisateurs reçoivent les applications et les mises à jour plus rapidement.

Supprimer la difficulté de gestion des mises à jour, des correctifs, des pilotes, et autres tâches traditionnels du cycle de vie des PC.




Pare-feuLes politiques de pare-feu sur les réseaux publics et privés sont d’autres fonctions traditionnelles de gestion du client gérées maintenant avec plus d’efficacité via la console d’administration AirWatch.

ChiffrementAirWatch autorise la configuration de politiques de chiffrement BitLocker afin que les entreprises chiffrent de manière silencieuse tout le disque ou juste la partition du système d’exploitation. Les administrateurs peuvent mettre en séquestre la clé de récupération BitLocker au sein de la console d’administration AirWatch et du portail self-service (SSP) de l’utilisateur final – afin d’activer un nouveau modèle self-service qui réduit la charge de travail des administrateurs.

Antivirus et programme malveillantLes administrateurs peuvent aussi gérer les politiques pour l’antivirus natif Windows Defender et créer des politiques de conformité depuis AirWatch. Les administrateurs peuvent activer la surveillance en temps réel, définir des mises à jour de définition et des fenêtres d’analyse, ajouter des exclusions, choisir des actions automatiques selon les différents niveaux de menace et établir d’autres politiques avancées d’analyse et de surveillance. En plus des politiques natives de Windows Defender, les administrateurs peuvent configurer des règles de conformité pour les solutions antivirus tierces afin de s’assurer que la surveillance est activée et que les définitions des virus et les fichiers de signatures sont à jour.

Activation du self-service de l’utilisateur finalAirWatch autorise également un certain nombre de fonctionnalités self-service de l’utilisateur final qui réduisent davantage la charge de travail des administrateurs en prenant en charge les utilisateurs et les clients et en permettant au service technique de se concentrer sur des tâches plus importantes.



Portail self-service (SSP)En plus de l’enrôlement self-service de l’utilisateur et de l’installation d’applications et de mises à jour, AirWatch permet aux administrateurs d’installer le portail self-service (SSP) ce qui soulage la charge de travail des administrateurs et du support technique en donnant aux utilisateurs la possibilité de surveiller et de gérer leurs propres terminaux. Ils peuvent alors effacer les données d’entreprise de leurs terminaux, afficher la clé personnelle de récupération BitLocker, envoyer des messages et effectuer eux-mêmes bien d’autres tâches de gestion du terminal via le portail self-service. Une liste des tâches prises en charge sur le SSP pour les terminaux mobiles et les ordinateurs de bureau Windows est disponible dans le tableau ci-dessous:

La gestion self-service de l’utilisateur final réduit les appels au service technique et la charge des administrateurs.


Tableau 1 : Fonctionnalités du portail self-service (SSP) d’AirWatch pour les terminaux Windows

AirWatch: Redéfinir la gestion de Windows 10 / 16

Tableau 1 : Fonctionnalités du portail self-service (SSP) d’AirWatch pour les terminaux Windows 10

En plus de l’enrôlement self-service de l’utilisateur et de l’installation d’applications et de mises à jour, AirWatch permet aux administrateurs d’installer le portail self-service (SSP) ce qui soulage la charge de travail des administrateurs et du support technique en donnant aux utilisateurs la possibilité de surveiller et de gérer leurs propres terminaux. Ils peuvent alors effacer les données d’entreprise de leurs terminaux, afficher la clé personnelle de récupération BitLocker, envoyer des messages et effectuer eux-mêmes bien d’autres tâches de gestion du terminal via le portail self-service. Une liste des tâches prises en charge sur le SSP pour les terminaux mobiles et les ordinateurs de bureau Windows est disponible dans le tableau ci-dessous :

Portail Self-Service (SSP)

La gestion self-service de l’utilisateur final réduit les appels au service technique et la charge des administrateurs.

Productivité IT/OpEx :

Sup

pri

mer

le t

erm

inal

Requ

ête

de t

erm

inal

Réin

itia

lisat

ion

Effa

cem

ent

du

co

nte

nu

d’e

ntr

epri

se

Ver

rou

illag

e d

u

term

inal

/de

l’écr

an

Loca

liser

le t

erm

inal

Envo

yer

un

mes

sag

e

Télé

char

ger

l’ag

ent

Clé

de

récu

pér

atio

n

Bit

Lock

er

Supp

rim

er l’

insc

ript

ion

Affi

cher

le m

essa

ge

d’e

nrô

lem

ent

Ren

voye

r le

mes

sag

e d

’en

rôle

men

t

Gén

érer

le je

ton

d

’ap

plic

atio

n

Rév

oq

uer

le je

ton

d

’ap

plic

atio

n

Gér

er le

s e-

mai

ls

Vér

ifier

les

con

dit

ion

s d

’uti

lisat

ion

Imp

ort

er u

n c

erti

fica

t S/

MIM

EActions

Windows Desktop

Windows Mobile

X X X X

X XX X X

X X X X X X X X X X X

X X X X X X X X



Protéger et contrôler les terminaux Windows 10

Profils des terminauxLes profils de terminaux sont le principal moyen de gérer et sécuriser les terminaux avec AirWatch et de contenir les sections de configuration (c.-à-d. les paramètres, les configurations et les restrictions) que les entreprises souhaitent appliquer sur les terminaux Windows. Les charges utiles aident les administrateurs à définir les politiques qui réduisent les problèmes clé associés à l’identité/l’accès (code d’accès, identifiants, Passport for Work), les données (protection des données, chiffrement) et la protection contre les menaces (antivirus, pare-feu) pour les utilisateurs et terminaux Windows 10. Avec AirWatch, les administrateurs peuvent créer des profils pour les terminaux mobiles et les ordinateurs de bureau Windows 10 et les attribuer à des Smart Groups spécifiques. Les administrateurs définissent des groupes personnalisables qui déterminent quels plateformes, terminaux et utilisateurs reçoivent une application, une politique de conformité et un profil de terminal. Le tableau 2 identifie les charges de configuration des profils de terminaux Windows prises en charge par AirWatch.

La protection des terminaux mobiles et des ordinateurs de bureau Windows 10 commence par l’enrôlement des points de terminaison sous la gestion de l’EMM. Cela permet de s’assurer que seuls les points de terminaison gérés ont accès aux applications, ressources et référentiels d’entreprise. Une fois les appareils enrôlés, AirWatch permet la configuration de profils de sécurité, de politiques de conformité et de restrictions sur le terminal permettant d’améliorer le contrôle et la sécurité en s’assurant que les terminaux ne sont pas altérés.


Les profils de terminaux sont le principal moyen de gérer et sécuriser les terminaux avec AirWatch et de contenir les sections de configuration (c.-à-d. les paramètres, les configurations et les restrictions) que les entreprises souhaitent appliquer sur les terminaux Windows. Les charges utiles aident les administrateurs à définir les politiques qui réduisent les problèmes clé associés à l’identité/l’accès (code d’accès, identifiants, Passport for Work), les données (protection des données, chiffrement) et la protection contre les menaces (antivirus, pare-feu) pour les utilisateurs et terminaux Windows 10. Avec AirWatch, les administrateurs peuvent créer des profils pour les terminaux mobiles et les ordinateurs de bureau Windows 10 et les attribuer à des Smart Groups spécifiques – Les administrateurs définissent des groupes personnalisables qui déterminent quels plateformes, terminaux et utilisateurs reçoivent une application, une politique de conformité et un profil de terminal. Le tableau 2 identifie les charges de configuration des profils de terminaux Windows prises en charge par AirWatch.

La protection des terminaux mobiles et des ordinateurs de bureau Windows 10 commence par l’enrôlement des points de terminaison sous la gestion de l’EMM. Cela permet de s’assurer que seuls les points de terminaison gérés ont accès aux applications, ressources et référentiels d’entreprise. Une fois les appareils enrôlés, AirWatch permet la configuration de profils de sécurité, de politiques de conformité et de restrictions sur le terminal permettant d’améliorer le contrôle et la sécurité en s’assurant que les terminaux ne sont pas altérés.

Profils des terminaux

Protéger et contrôler les terminaux Windows 10

Tableau 2 : Sections de configuration AirWatch pour les terminaux Windows 10

Co

de

d’a

ccès

Wi-

Fi

VPN

Iden

tifi

ants

Res

tric

tio

ns

Pro

tect

ion

des

d

on

née

s

Pass

po

rt f

or

Wo

rk

Pare

-feu

Mo

de

d’a

pp

licat

ion

u

niq

ue

An

tivi

rus

Ch

iffr

emen

t

Mis

es à

jour

Win

dow

s

Rac

cou

rcis

Inte

rnet

Exch

ang

e A

ctiv

e Sy

nc

SCEP

Co

ntr

ôle

d’a

pp

licat

ion

s

Serv

ices

Web

Exc

han

ge

E-m

ail

Acc

ès a

ttri

bu

é

Para

mèt

res

per

son

nal

isés

Sections de configuration

Windows Desktop

Windows Mobile

X X X X X X X X X X X X X X X X X X X

X X X X X X X X X X X X X X X X

Tableau 2 : Sections de configuration AirWatch pour les terminaux Windows 10



Restrictions du terminalLes profils des terminaux mobiles et des ordinateurs de bureau Windows 10 comprennent aussi des options d’activation de restrictions à plusieurs niveaux du terminal pour un meilleur contrôle MDM. Les administrateurs peuvent maintenant définir des restrictions autour de :

Contrôles granulaires des restrictions au niveau de l’application et du terminal

Sécuriser/Contrôler :

• Administration du terminal : autoriser, par exemple, les utilisateurs à désenrôler et réinitialiser leurs terminaux

• Sécurité et confidentialité : autoriser, par exemple, l’utilisation de services de localisation ou des données de télémétrie

• Paramètres du terminal : autoriser, par exemple, les utilisateurs à modifier la date et l’heure ou les paramètres de langue

• Fonctionnalité du terminal : autoriser, par exemple, l’utilisation de l’appareil photo, du Bluetooth et de Cortana

• Applications : autoriser, par exemple, l’utilisation des applications approuvées uniquement, et les mises à jour automatiques

• Réseau : autoriser, par exemple, l’utilisation des données mobiles en itinérance, la connexion automatique aux configurations Wi-Fi

• Navigateur : autoriser, par exemple, le remplissage automatique des formulaires de navigateur, les cookies, les pop-ups

Groupes d’applicationsAirWatch prend en charge les profils de contrôle d’applications pour Windows 10, ce qui permet aux administrateurs de créer des règles de listes blanches et noires d’applications et d’empêcher les utilisateurs de télécharger et d’installer des applications non approuvées depuis le magasin d’applications public. Les politiques AppLocker peuvent être configurées pour bloquer l’utilisation d’applications préalablement installées et qui sont désormais limitées par la configuration du contrôle d’applications définie.



Moteur de conformitéAirWatch présente un moteur de conformité en temps réel qui s’assure que tous les terminaux respectent les politiques de contrôle et de gestion définies par l’administrateur. Ces politiques de sécurité sont spécifiques des plateformes et peuvent couvrir un ensemble de critères de conformité ; c’est à dire les profils de terminaux (par ex. le code d’accès, l’antivirus, le chiffrement), la liste d’applications (par ex. liste blanche, liste noire et éléments requis), le statut de compromission (Attestation d’intégrité), et d’autres critères comme identifiés dans le tableau ci-dessous.

Les administrateurs configurent également les règles d’escalades automatisées qui exécutent des actions spécifiques (par ex. notifier les utilisateurs, bloquer l’accès aux applications) et autorisent les période de grâce lorsqu’un terminal est considéré comme non conforme. Les règles d’escalades automatisées réduisent la charge de travail des administrateurs afin qu’ils contrôlent régulièrement la conformité de la flotte de terminaux et améliorent la sécurité globale en s’assurant que seuls les terminaux conformes accèdent aux applications et aux données professionnelles.

Moteur de conformité en temps réel avec politiques d’escalades automatisées


3 Le profil de contrôle d’applications nécessite l’utilisation de Windows 10 Enterprise ou des SKU Éducation.


AirWatch présente un moteur de conformité en temps réel qui s’assure que tous les terminaux respectent les politiques de contrôle et de gestion définies par l’administrateur. Ces politiques de sécurité sont spécifiques des plateformes et peuvent couvrir un ensemble de critères de conformité ; c’est à dire les profils de terminaux (par ex. le code d’accès, l’antivirus, le chiffrement), la liste d’applications (par ex. liste blanche, liste noire et éléments requis), le statut de compromission (Attestation d’intégrité), et d’autres critères comme identifiés dans le tableau ci-dessous.

Les administrateurs configurent également les règles d’escalades automatisées qui exécutent des actions spécifiques (par ex. notifier les utilisateurs, bloquer l’accès aux applications) et autorisent les période de grâce lorsqu’un terminal est considéré comme non conforme. Les règles d’escalades automatisées réduisent la charge de travail des administrateurs afin qu’ils contrôlent régulièrement la conformité de la flotte de terminaux et améliorent la sécurité globale en s’assurant que seuls les terminaux conformes accèdent aux applications et aux données professionnelles.

Moteur de conformité

Moteur de conformité en temps réel avec politiques d’escalades automatisées


3 Le profil de contrôle d’applications nécessite l’utilisation de Windows 10 Enterprise ou des SKU Éducation.

État

de

l’an

tivi

rus

Stat

ut

de

com

pro

mis

sio

n

Der

niè

re c

on

nex

ion

du

te

rmin

al

Ch

iffr

emen

t

Stat

ut

du

par

e-fe

u

Acc

epta

tio

n d

es c

on

dit

ion

s d

’uti

lisat

ion

Mo

dèl

e

Ver

sio

n d

’OS

Le c

od

e d

’acc

ès

En it

inér

ance

Ch

ang

emen

t d

e ca

rte

SIM

Stat

ut

de

mis

e à

jou

r au

tom

atiq

ue s

ous

Win

dow

s

Politiques de conformité

Windows Desktop

Windows Mobile

X X X X X X X X X X

X X X X X X X

Tableau 3 : Politiques de conformité AirWatch pour les terminaux Windows 10

Tableau 3 : Politiques de conformité AirWatch pour les terminaux Windows 10



État du terminalL’attestation d’intégrité pour Windows 10 contrôle l’état du démarrage (par ex. démarrage sécurisé, version du gestionnaire de démarrage) et le statut de sécurité (par ex. BitLocker, protection de périphérique) pour voir si le terminal est compromis. La console d’administration AirWatch permet aux administrateurs de choisir les attributs spécifiques d’attestation d’intégrité pour marquer le terminal comme étant compromis.

Le moteur de conformité vérifie qu’aucun de ces attributs n’échoue et prend les mesures nécessaires définies par l’administrateur. AirWatch récupérant les informations de l’attestation d’intégrité directement depuis le module de plateforme sécurisée (TPM)—un composant matériel chiffré créé dans le terminal—au lieu de l’OS, la détection fonctionne même si le noyau de l’OS est compromis.

Combinaison de contrôles logiciels et matériels pour vérifier la position du terminal




AuthenticationLes noms d’utilisateur et mots de passe peuvent être oubliés, partagés ou exploités (par ex. lors d’attaque pass-the-hash) mettant les données professionnelles en danger. Windows 10 regroupe un ensemble d’authentificateurs forts, de matériels et de sécurité basée sur la virtualisation (protection des informations d’identification). Grâce à AirWatch, les administrateurs peuvent établir des politiques d’authentification bien définies pour Windows 10 qui réduisent les risques d’exploitation des identifiants et mettent fin aux attaques pass-the-hash.

Demande

ApprouvéePreuve

Démarrage sécurisé

Chiffrement BitLocker

Antivirus

Intégrité du code

Version Windows

TPM 2.0 ou supérieur

Prouver l’intégrité du terminal

Accès



Authentification multifacteurWindows 10 présente Microsoft Passport – une authentification multifacteur créée dans l’OS et un remplacement de mots de passe plus sûr au niveau de l’entreprise. AirWatch s’intègre avec les nouvelles fonctionnalités de sécurité Windows 10 : Windows Hello (authentification biométrique) et code PIN. Avec AirWatch, Vous pouvez définir des politiques pour vérifier les actions de l’utilisateur, configurer les critères de complexité et la force du code PIN, et établir des certificats pour identifier les utilisateurs.

Authentification unique (SSO)La SSO assure aux utilisateurs une authentification unique pour accéder à toutes les applications recommandées de l’entreprise, sans avoir à renouveler cette action à chaque fois. VMware Identity Manager, une solution basée dans le Cloud, offre une intégration des services d’annuaire pour les services d’annuaire sur site basés localement (LDAP) et utilise les assertions SAML pour fédérer l’identité au Cloud. Cette identité fédérée permet d’utiliser la SSO sur toutes les applications Windows 10, notamment les applications SaaS, Office 365, Outlook et mobiles. En plus de réduire le nombre d’appels passés au support technique pour “mots de passe oubliés”, la fonctionnalité SSO augmente la sécurité car les utilisateurs ne stockent/n’écrivent plus leurs mots de passe dans des endroits compromis, et l’accès à toutes les applications peut être facilement suspendu pour empêcher la fuite des données lors du départ d’un employé.

Prise en charge de l’authentification multifacteur et SSO pour une meilleure sécurité

Sécuriser/Contrôler:



La sécurité est un élément clé de la gestion de la mobilité et de la stratégie de protection contre la perte des données assurées par AirWatch. La protection des données sur les points de terminaison Windows 10 commence par un accès sécurisé aux serveurs d’application eux-mêmes de sorte que seuls les applications gérées et les utilisateurs autorisés puissent y accéder. Avec AirWatch, les administrateurs peuvent définir les politiques de protection contre la perte de données sur les terminaux Windows 10 pour contenir et protéger les données d’entreprise tout en gérant les problèmes de confidentialité relatifs aux données personnelles des employées. VMware Identity Manager s’intègre avec les fonctionnalités EMM d’AirWatch pour apporter une plus-value à l’entreprise. La solution intégrée réduit le risque de perte des données en s’assurant que seuls les terminaux gérés répondant aux politiques de conformité définies par l’entreprise accèdent aux applications, au contenu et à la messagerie.

VPN par applicationLes organisations peuvent utiliser les passerelles VPN pour assurer une connexion fiable depuis les points de terminaison. Cependant, les VPN au niveau des terminaux ne peuvent pas distinguer les applications professionnelles, personnelles et non approuvées sur un point de terminaison. Par ailleurs, le flux de trafic entre le terminal et le centre données sera autorisé tant que la connexion VPN est active.

Réduire le risque de perte des données

Licences et service VPN tiers facultatifs

Infrastructure/CapEx :

La fonctionnalité de VPN par application dans AirWatch permet d’assurer la sécurité au niveau de l’application avec microsegmentation côté client, et ce afin que seuls les utilisateurs habilités disposant de terminaux validés et utilisant des applications autorisées puissent accéder à la connexion au centre de données quand ils le souhaitent. En utilisant le profil VPN sur Windows 10, les administrateurs peuvent choisir des applications spécifiques autorisées à accéder aux ressources professionnelles, telles que les adresses IP, les ports et les emplacements intranet comme SharePoint. Les fonctionnalités de VPN par application empêchent l’accès aux données professionnelles par tout autres applications non sécurisées ou non approuvées. Le service lié au VPN—AirWatch Tunnel—supprime la nécessité d’un service tiers et les frais liés à la gestion de licences, s’assurant ainsi que le service VPN est assuré à moindre coût. En plus de prendre en charge le service VPN natif, AirWatch s’intègre aussi aux services VPN existants des organisations.



Accès conditionnelL’intégration avec VMware Identity Manager permet aux administrateurs d’accorder des accès conditionnels aux ressources d’entreprise selon que le terminal est géré ou non et répond aux critères de conformité. Le moteur de conformité AirWatch évalue sans cesse la conformité des terminaux en fonction de critères d’attribution de profils de conformité (comme identifiés dans le tableau 3) pour contrôler l’accès à toutes les applications (mobiles, de bureau, Saas, universelles), aux différents référentiels de données (via AirWatch Content Locker), aux déploiements de messagerie et à tout type de terminal.

Lorsqu’un utilisateur demande l’accès aux ressources professionnelles, VMware Identity Manager confirme que le terminal est géré et conforme comme rapporté par le moteur de conformité. Les contrôles aux accès adaptatifs prennent en charge la revendication basée sur l’authentification qui peut dépendre des utilisateurs ou des groupes, du type de terminal, d’application, de la gestion des appareils et du réseau (domaine). Les politiques d’accès conditionnel s’étendent également aux configurations EAS et Exchange Online où les administrateurs peuvent créer des politiques de liste blanche ou noire pour limiter l’accès et la distribution d’e-mails aux terminaux non gérés et non conformes.

Figure 6 : Tunneling par application d’AirWatch et VPN par application

App Level VPN



Protection contre la perte de donnéesLes administrateurs peuvent exécuter les fonctionnalités avancées de protection contre la perte de données qui empêchent les utilisateurs de copier/coller les fichiers ou pièces jointes professionnels en dehors d’un conteneur sécurisé (AirWatch Content Locker). La solution de gestion de contenu d’AirWatch permet le chiffrement au niveau du document, autorise la mise sur liste blanche et noire en fonction des types de fichiers et protège les données en transit et inactives à l’aide du chiffrement AES 256 bits. En outre, les fonctionnalités de gestion d’e-mails d’AirWatch empêchent la fuite de données depuis la messagerie professionnelle en s’assurant que les pièces jointes et les lien hypertextes s’ouvrent seulement dans un conteneur sécurisé, un navigateur géré ou la boîte aux lettres gérée.

Protection des données d’entreprise (EDP)En plus des fonctionnalités de protection contre la perte des données, AirWatch se réjouit de travailler avec Microsoft sur la prise en charge des fonctions de protection des données d’entreprise pour les organisations prenant part au programme TAP et à certains builds Windows Insiders. Les fonctions AirWatch de protection des données professionnelles pour Windows Insiders permettent aux administrateurs de désigner les applications modernes ou de bureau fiables qui sont autorisées à ouvrir ou à déchiffrer les données professionnelles. Les administrateurs peuvent configurer les limites de protection de l’entreprise—plages d’adresses IP, noms de domaine, ou serveurs proxy—qui sont des emplacements sécurisés pour les données professionnelles. Toute information issue d’applications approuvées au sein des limites de protection de l’entreprise sera chiffrée. La flexibilité des niveaux de mise en œuvre dans AirWatch autorise ou non certains groupes d’utilisateurs à déplacer les données et partager les fonctions telles que Copier/Coller, Glisser – Déplacer, etc.

Meilleure sécurité de bout en bout avec microsegmentation côté client, accès conditionnel et protection contre la fuite des données




Le secteur de la mobilité évolue rapidement vers un espace numérique de travail qui donne aux employés les outils appropriés – les terminaux qui leur conviennent le mieux, les processus métier et l’accès aux ressources et données d’entreprise – leur permettant d’assurer un travail de qualité. En passant d’un ancien modèle centré sur les PC à un OS moderne indépendant des terminaux, Windows 10 donne aux entreprises l’occasion d’adopter de véritables scénarios de mobilité qui supportent de la même façon les administrateurs, les développeurs et les utilisateurs :

Alors que les entreprises se projettent dans le futur de la mobilité, leurs dirigeants doivent adopter une solution logique qui apporte une expérience « simple pour le client et sûre pour l’entreprise » à toutes les parties prenantes. Les solutions EUC de VMware sont conçues pour relever les défis fréquemment rencontrés par l’adoption d’initiatives en matière de mobilité. Avec AirWatch Enterprise Mobility Management et VMware Identity Manager, la solution de gestion des points de terminaison réduit les frais et les problèmes de gestion organisationnelle de la flotte Windows 10, assure un contrôle granulaire pour surveiller et sécuriser les points de terminaison, et active les fonctions de protection contre la perte de données.

• En adoptant l’EMM comme un outil de gestion de facto, Windows 10 permet aux administrateurs informatiques de prendre en charge efficacement un grand nombre de types de terminaux et de cas d’utilisation de propriété.

• La plateforme d’applications universelles permet aux développeurs de créer ou de réorganiser les principaux processus métier à l’aide d’une seule base de code et de déployer les terminaux à travers une interface unifiée.

• L’OS est conçu pour travailler facilement sur une plateforme unifiée de terminaux mobiles et d’ordinateurs de bureau, donnant une expérience de productivité cohérente aux utilisateurs quels que soient leurs déplacements.

Résumé

4 Tirez profit d’AirWatch Mobile Access Gateway (MAG) pour l’envoi de données à l’aide de SSL.



Pour plus d’informations, visitez : www.air-watch.com/fr

Pour demander un essai gratuit d’AirWatch, consultez www.air-watch.com/lp/fr/free-trial

Pour plus d’informations, visitez www.dell.com/datasecurity ou contactez-nous sur [email protected].

Ressources supplémentaires

VMware, Inc. 3401 Hillview Avenue Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.comCopyright © 2017 VMware, Inc. All rights reserved. This product is protected by U.S. and international copyright and intellectual property laws. VMware products are covered by one or more patents listed at http://www.vmware.com/go/patents. VMware is a registered trademark or trademark of VMware, Inc. in the United States and/or other jurisdictions. All other marks and names mentioned herein may be trademarks of their respective companies. Item No: 8215_AW_Redefine_Windows_10_Mgmnt_WPP_FR MONTH 1/17

redéfinir la gestion de windows 10 - dell united...

Documents