Prendre le contrôle de vos PC non gérés avec Intune

Prendre le contrôle de vos PC non gérés avec Intune

Épidémie de l’IT causée par la pandémie et la perturbation de la chaîne d’approvisionnement

En mars 2020, les gouvernements du monde entier ont institué des ordres de « confinement » suite à la pandémie de COVID-19.  Les centres-villes et les villes animées se sont soudainement vidés. Et les entreprises ont fait des pieds et des mains pour s’adapter à la nouvelle situation : le travail à distance.

Pendant ce temps, les chaînes d’approvisionnement n’ont pas suivi et ce dans tout les secteurs et dans le monde entier. Mais dans le secteur informatique, l’un des domaines les plus touchés a été la distribution d’ordinateurs portables. Les perturbations ont encore diminué l’offre lorsque la situation en Chine s’est aggravée avec les confinements. Gartner a récemment noté que la pandémie a entraîné « la plus forte demande de PC grand public depuis 10 ans ».

Pour beaucoup d’informaticiens, le système établi pour préparer les appareils dépendait des sites. Mais lorsque vous ne travaillez pas depuis un site sur place, ce n’est tout simplement pas possible.  Les ordinateurs portables étaient souvent livrés directement aux utilisateurs sans aucune configuration. Et ils n’étaient en fait pas plus contrôlés que des appareils BYOD.  C’était comme si l’utilisateur venait de prendre un ordinateur portable tout neuf au magasin.

Pour sécuriser, faire confiance et gérer correctement ces appareils, les administrateurs doivent reprendre le contrôle. Il existe plusieurs options pour faire passer des appareils non gérés à un état géré. Cet article se concentrera sur les outils natifs de Microsoft 365, en s’appuyant sur plusieurs scénarios d’appareils Windows 10 existants. 

Premièrement, vous apprendrez comment prendre le contrôle de ces appareils.  Ensuite, nous examinerons les meilleures pratiques avec les appareils que vous gérez maintenant. Ainsi vous pourrez préparer des déploiements évolutifs conformes à la politique de l’entreprise, idéalement sans dépendances sur site.

Explorer nos options

Concernant les appareils non gérés en cours d’utilisation, nous commençons par les ramener sous le contrôle de Microsoft 365. L’utilisateur final à distance peut exécuter 2 méthodes, sans qu’il soit nécessaire de récupérer les appareils :

• Inscription Intune à partir des paramètres de Windows 10
• Inscription Intune avec un paquet de provisioning

Microsoft recommande d’utiliser l’inscription à partir des paramètres de Windows 10. Si bien que les paquets de provisionnement sont couverts dans cet article à un niveau élevé seulement.  Les packages de provisionnement impliquent la distribution d’exécutables (ce que nous voulons vraiment éviter) et d’autres problèmes de sécurité.  Seuls les administrateurs doivent les utiliser. Les paramètres de Windows 10 eux sont idéaux pour une inscription effectuée par l’utilisateur final.

Aperçu de la gestion des périphériques dans Microsoft 365

Conceptuellement, les environnements Microsoft 365 ont un état du périphérique. A un niveau élevé, il s’agit de savoir si le périphérique peut se gérer à partir du tenant. À un niveau inférieur, l’état du périphérique peut signifier la méthode de gestion.

Configuration Manager

L’outil traditionnel d’un écosystème Microsoft pour les périphériques gérés est Active Directory (AD).  Lorsqu’un périphérique joint AD, il peut récupérer les paramètres de sécurité, conformité, aux logiciels. Le périphérique renvoie aussi des informations le concernant à AD.  Dans les grandes entreprises, Configuration Manager est un choix prédominant pour la gestion des périphériques. Il est appartient généralement à un domaine.

Leur dépendance à l’égard de l’infrastructure sur site ou du cloud IaaS (Infrastructure as a service) est essentielle.  Cependant, des problèmes de mise à l’échelle se présenteront lorsque vous prendrez le contrôle de dispositifs sans accès physique.

À la recherche d’un service plus évolutif, moins coûteux et plus flexible, nous sommes tombés sur Intune. Intune fonctionne sur Internet public, Microsoft gérant l’infrastructure pour que vous n’ayez pas à le faire. Un appareil inscrit est considéré comme géré si les administrateurs peuvent désormais contrôler la configuration et les applications de l’appareil.

Intune et Azure AD

En plus de s’inscrire à Intune, les appareils doivent également rejoindre Azure AD.  Dans Active Directory sur site, l’adhésion à un domaine et la possibilité d’appliquer des paramètres sont fondamentalement liées. Tandis que l’adhésion à Azure AD et Intune sont fondamentalement distinctes. Ils sont simplement complémentaires.

Bien qu’il soit possible de s’inscrire uniquement à Intune, il existe de nombreuses raisons de s’inscrire également à Azure AD. Il s’agit non seulement :

• d’un prérequis pour tout cryptage BitLocker silencieux que vous souhaitez appliquer,
• d’un prérequis pour Intune Management Extension (IME), qui permet le déploiement d’applications Win32 et de scripts PowerShell. 

La jointure Azure AD seule est plus viable lorsque vos appareils ne disposent pas encore d’un contrôle de gestion. Et donc les appareils n’ont aucun moyen d’établir des connexions aux contrôleurs de domaine.  L’inscription à Intune se fait automatiquement au moment de la jointure d’Azure AD avec la licence Azure AD Premium P1. Les paramètres de mobilité d’Azure AD définissent la portée d’Intune. 

Bien que l’appareil joigne Azure AD, le compte local utilisateur existe toujours.  L’avantage initial est que le risque de perte de données est faible. Il n’est pas nécessaire de déplacer les applications et documents vers un nouveau profil. 

Cependant, vous devez prévoir de retirer l’utilisateur du compte local dès que possible. Cela peut se faire en reprovisionnant les appareils pour éliminer les problèmes de sécurité qui peuvent subsister sur l’appareil. Nous y reviendrons plus en détail dans la suite de l’article.

Inscription à partir des paramètres de Windows 10

Cette méthode d’auto-inscription permet à vos utilisateurs d’entrer leurs informations d’identification Azure AD dans les Paramètres de Windows 10! Ils sont joints à Azure AD et gérés par Intune.  La page des paramètres spécifiques se trouve dans Paramètres > Comptes > Accès au travail ou à l’école :

L’utilisateur choisit ensuite de connecter et de joindre ce dispositif à Azure Active Directory :

L’authentification s’effectue à l’aide de la fenêtre d’authentification moderne Azure AD, ce qui vous permet d’appliquer l’accès conditionnel et l’AMF.  L’utilisateur est invité à confirmer sa participation, après quoi le dispositif est prêt à fonctionner :

Désormais, l’appareil est joint à Azure AD et inscrit à Intune, cependant quelques éléments importants sont à prendre en compte. Intune considérera les périphériques de groupe de travail uniquement inscrits avec cette méthode comme des périphériques personnels. Et il les marquera comme tels sous l’attribut de propriété d’Intune. 

Par conséquent, vous devez configurer les restrictions d’inscription d’Intune pour autoriser les appareils Windows 10 personnels.  Le risque est que les utilisateurs puissent également inscrire des PC que vous ne souhaitez pas qu’ils s’inscrivent. Et si des politiques leur sont attribuées, vous les forcez à utiliser un appareil que vous préférez ne pas avoir. 

Nous pouvons contourner ce problème en créant une deuxième restriction d’inscription avec une priorité plus élevée, réservé aux utilisateurs qui doivent le faire :

Inscription avec un paquet de provisionnement

Les packages de provisionnement sont créés par les administrateurs à l’aide de Windows Configuration Designer (WCD). Ils offrent un exécutable en un clic qui peut effectuer plusieurs tâches de provisionnement.  Dans notre cas, nous pouvons facilement joindre Azure AD et inscrire Intune sans devoir passer par différents paramètres. 

En outre, le package est autorisé à effectuer cette action avec un jeton d’inscription groupée. Ainsi, l’utilisateur n’a pas besoin de s’authentifier, ce qui accélère encore le processus.  Intune considère tous les appareils inscrits avec des packages de provisionnement comme des appareils d’entreprise. Vous n’avez donc pas besoin de modifier vos restrictions d’inscription si vous bloquez les PC personnels.  Les appareils peuvent également être renommés selon votre convention, ce qui est utile pour l’adhésion dynamique à un groupe.

Pour les raisons exposées ci-dessus, il existe certainement des risques de sécurité associés à la distribution de packages de provisionnement. Vous permettez aux utilisateurs d’inscrire n’importe quel appareil sans authentification ni contrôle.  Par conséquent, votre meilleure option est d’utiliser l’inscription aux paramètres de Windows 10.

Résumé des approches non perturbatrices pour les dispositifs existants

Pour un examen plus complet des deux approches, la matrice suivante explique comment elles diffèrent à divers égards :

Des gains rapides après l’inscription

Administrateurs locaux

Avec les deux méthodes, l’utilisateur reste un administrateur local, ce qui, nous le savons, n’est pas idéal. Avec Intune, cependant, nous pouvons remédier à cela.  Pour Windows 20H2 ou ultérieur, nous pouvons remplacer les administrateurs locaux par une liste d’utilisateurs nommés (ou SID) à l’aide du paramètre LocalUsersAndGroups.  Ou, pour les versions antérieures, nous pouvons utiliser le paramètre ConfigureGroupMembership.  L’avantage de la première méthode est que nous pouvons la mettre à jour sans la remplacer. Avec la seconde méthode, la politique est « tatouée » et ne peut être modifiée. 

Lors d’une jointure Azure AD, le groupe des administrateurs locaux inclue les administrateurs Azure AD et les administrateurs locaux des dispositifs joints. À l’aide des politiques, nous pouvons le limiter à eux seulement, en supprimant tous les autres utilisateurs locaux. Malheureusement, il n’existe pas encore de LAPS de première partie pour les appareils joints à Azure AD.

Politiques de déploiement

Pour sécuriser et contrôler davantage les périphériques, vous devez envisager de déployer des politiques BitLocker pour crypter silencieusement le périphérique. L’objet appareil dans Azure AD stockera la clé de récupération. En outre, vous tirerez parti des déploiements d’applications et des scripts PowerShell pour déployer votre logiciel de sécurité sur les terminaux pris en charge.

Vous voudrez également configurer une stratégie Windows Update for Business pour mettre à jour les appareils dès que possible. Car jusqu’à ce stade, nous savons que l’appareil était hors gestion et qu’il est probablement dangereusement obsolète. Un deuxième avantage à cela est l’activation de plus de fonctionnalités, comme le paramètre LocalUsersAndGroups. Ce dernier s’appliquera lorsque les ordinateurs dépassés atteindront la version 20H2 de Windows 10 ou plus.

N’oubliez pas que tous les paramètres et toutes les applications doivent s’associer à des groupes Azure AD. Réfléchissez à la manière dont vous allez constituer ces groupes, idéalement en vous basant sur des requêtes dynamiques.

Un autre avantage des appareils gérés par Intune est le rapport sur les applications découvertes. Il est alimenté par l’extension de gestion Intune qui est déployée.  C’est là que vous trouverez la page des applications découvertes sur le logiciel d’inventaire des appareils. L’idéal est de repartir à zéro et de s’assurer que seules les applications que vous déployez y figurent.

Planification à plus long terme

Autopilot

Vous devez mettre ces appareils dans un état de sécurité conformément aux normes en vigueur.  Vous devez être certain que tous les logiciels inappropriés sont inopérants. Les utilisateurs s’authentifient désormais avec leur compte Azure AD.

La préoccupation ci-dessus nous amène à provisionner, ou à reprovisionner, les appareils Windows 10 avec Autopilot. Autopilot peut se définir comme une solution d’amorçage.  Bien qu’il ne crée pas l’image d’un périphérique, il lance le provisionnement automatique des périphériques. 

Lors du premier démarrage, l’utilisateur s’authentifie auprès du tenant auquel l’appareil appartient. Le pilote automatique applique les paramètres d’automatisation que vous avez spécifiés (type de jointure de domaine, inscription MDM, langue et région, acceptation des conditions générales, etc) :

Autopilot passe ensuite le relais à la solution MDM Intune, qui présente à l’utilisateur une page d’état d’inscription (ESP), qui suit la progression des applications et des paramètres déployés.  Le bureau s’affiche ensuite et l’utilisateur peut maintenant se mettre au travail :

Pour que vos appareils entrent dans le pilote automatique, il faut les enregistrer auprès du tenant.  Il s’agit d’un identifiant unique au périphérique, basé sur les différents numéros de série de ses composants matériels. Lorsque Windows 10 démarre pour la toute première fois dans l’expérience « out-of-box » (OOBE), il se connecte au cloud. Puis il vérifie s’il existe un profil Autopilot dans le tenant, le récupère et est maintenant prêt pour le provisionnement. 

Les hachages matériels fonctionnent mieux lorsque le fournisseur les injecte directement dans votre tenant. Vous achetez des appareils, ils s’enregistrent comme appareils Autopilot, puis vous pouvez les distribuer directement aux utilisateurs. 

Appareils existants

Mais qu’en est-il de tous les appareils existants dont vous venez de prendre la gestion ?  Eh bien, vous pouvez générer et télécharger un CSV des informations requises avec PowerShell. Mais cela ne s’adapte pas particulièrement bien. Pour les PC Windows 10 inscrits dans Intune, vous pouvez facilement les enregistrer en tant que dispositifs Autopilot. Une simple case à cocher dans le profil de déploiement et Autopilot s’en charge :

Pour vos appareils existants désormais gérés, il existe deux services à prendre en compte. Ils faciliteront la vie des utilisateurs lors d’une migration : Edge sync et OneDrive for Business.  Avec Edge, vous pouvez déployer des politiques à partir d’Intune pour synchroniser les comptes utilisateurs vers le cloud. De sorte que lors d’un changement de système, ils retrouvent les ressources importantes telles que les signets et l’historique. 

OneDrive for Business offre une solution similaire appelée Known Folder Move (KFM).  KFM, (parfois appelé sauvegarde de dossier), synchronise les bibliothèques Documents, Bureau et Images vers le cloud. Ainsi cela représente une protection contre la perte de données.

Si vous effacez un périphérique à distance à partir d’Intune, vous pouvez maintenant vraiment tirer parti d’Autopilot.  Avec un système Autopilot bien implémenté, vous pourriez être en excellente position pour déployer rapidement de nouveaux appareils. Ou encore vous pourriez redéployer des appareils, en vous assurant qu’ils ne se retrouvent jamais dans un état non géré.

Pour vos appareils Intune, vous accompagnerez le plan de réapprovisionnement de campagnes de communication à l’intention de vos utilisateurs. Vous devez détailler le  » quoi « , le  » pourquoi  » et le  » quand « . Mais aussi vous devrez inclure la synchronisation KFM et Edge en demandant aux utilisateurs de se connecter à ces services.  Une fois que l’appareil de l’utilisateur revient à l’écran OOBE, il est prêt à l’utilisation.

Conclusion

Cet article peut vous aider à reprendre le contrôle de ces appareils avec Intune. Néanmoins, vous devez réfléchir à la façon dont vous allez vous protéger contre ce type de situation inédite. Aussi troublante que soit cette idée, il n’y a aucun moyen de savoir si une autre pandémie peut se reproduire. Il faut donc s’assurer que vous serez prêt à effectuer des déploiements conformes à la politique de l’entreprise.