La terminaison de La protection contre la perte de données Microsoft Corporation
Dans le cadre de votre licence Microsoft 365, votre entreprise est susceptible d’adopter Microsoft Endpoint Manager, qui regroupe Microsoft Intune, Configuration Manager, Desktop Analytics, cogestion et Windows Autopilot dans une plateforme unifiée pour protéger et gérer les appareils de votre organisation et applications.
Une architecture de service cloud globale
Microsoft Intune a été conçu à partir du cloud et pour le cloud et est étroitement lié à Azure Active Directory (Azure AD). Intune s’intègre aux stratégies d’Azure AD et d’Accès conditionnel (CA) pour vous aider à gérer l’accès aux applications et appareils de votre organisation et à protéger et isoler les données d’entreprise. Intune améliore l’accès conditionnel avec la conformité basée sur les appareils et peut également prendre des signaux de risque à partir de Microsoft Defender pour point de terminaison, ainsi que les applications défense contre les menaces mobiles (MTD). Intune s’intègre également aux solutions de contrôle d’accès réseau (NAC) pour garantir que seuls les appareils conformes peuvent se connecter à votre réseau d’entreprise.
Les magasins d’applications sont des composants clés d’un déploiement Intune. Pour les appareils iOS, vous pouvez utiliser le programme d’achat en volume Apple (VPP), qui fait partie d’Apple Business Manager, ou l’App Store. Dans le cas d’Android, vous pouvez utiliser le Magasin d’applications Google Play pour les appareils d’administrateur d’appareils ou la version gérée de Google Play pour les appareils Enterprise Android. Par Windows, le Microsoft Store pour Entreprises offre une expérience de déploiement d’application excellente.
Votre expérience de gestion administrative est centralisée à partir du Centre d’administration Microsoft Endpoint Manager, qui utilise les appels Microsoft Graph vers le service Intune. Chaque action, de la configuration de l’application aux paramètres de gestion des appareils mobiles en jusqu’à la sécurité dans le Centre d’administration, est un appel Graph Microsoft. Si vous n’êtes pas familiarisé avec Graph, prenez le temps de le comprendre, en particulier la façon dont Graph s’intègre à Microsoft Intune.
Architecture de service Intune
Initialement, Intune commençait par une combinaison d’un ensemble de services s’exécutant sur des machines physiques dans un centre de données privé et d’un ensemble de services distribués s’exécutant sur Azure. En 2018, tous les services Intune ont été ré-architecturés pour s’exécuter sur Microsoft Azure. Aujourd’hui, les services cloud d’Intune reposent sur Azure Service Fabric. Tous les services sont déployés sur un cluster Service Fabric composé d’un groupe de couches frontale et intermédiaire. Nous faisons référence à ces clusters en tant qu’unité d’échelle Azure, ou ASU.
Architecture d’unité d’échelle Azure : vue globale
Détails de l’unité d’échelle Azure :
- Il existe 18 clusters répartis sur trois régions d’Amérique du Nord, d’Europe et d’Asie-Pacifique. Chaque cluster dispose d’environ 5 000 services en cours d’exécution, tous partitionné pour effectuer un scale-out.
- Les clusters sont complètement isolés et indépendants les uns des autres. Ils sont hébergés dans différents abonnements et centres de données et ne peuvent pas accéder les uns aux autres.
- Les données sont sauvegardées dans un stockage de tables/objets blob Azure persistant externe. Cela permet une récupération rapide des réplicas en cas de défaillance catastrophique.
Le passage d’ordinateurs physiques dans un centre de données privé à une architecture de micro-service basée sur le cloud a permis à Microsoft de faire passer Intune à des milliards d’appareils et d’applications et de fournir rapidement de nouvelles innovations. Les clients ont connu une fiabilité, une stabilité et des performances accrues du service. Pour plus d’informations sur le développement de cette architecture, consultez le billet de blog comment nous avons créé (reconstruit !) Intune dans un service cloud à l’échelle mondiale de premier plan.
Attachement cloud avec Gestionnaire de configuration
Microsoft Endpoint Configuration Manager, qui fait partie de Microsoft Endpoint Manager, vous aide à protéger les appareils, applications et données locaux que les membres de votre organisation utilisent pour être productifs. Si vous devez gérer uniquement les points de terminaison basés sur le cloud, vous pouvez utiliser Microsoft Intune. Si vous devez gérer uniquement les points de terminaison locaux, tels que les ordinateurs que votre organisation a attachés à votre réseau interne, vous pouvez utiliser Microsoft Endpoint Configuration Manager. Toutefois, si vous devez gérer une combinaison de points de terminaison cloud et locaux, vous pouvez utiliser l’attachement cloud pour tirer parti d’Intune et de Configuration Manager à partir de Microsoft Endpoint Manager.
Deux étapes s’offrent à vous pour attacher vos appareils locaux dans le cloud. La première étape de la pièce jointe est appelée attachement de locataire, qui inscrit votre client Intune avec votre déploiement Configuration Manager. La deuxième étape est appelée cogestion, qui gère simultanément Windows 10 appareils avec Configuration Manager et Microsoft Intune. Il s’agit d’étapes progressives en vue d’un attachement total au cloud. Vous obtenez une valeur immédiate grâce à l’attachement de client et vous obtenez une valeur supplémentaire grâce à la cogestion.
Planification et déploiement
Pour réussir votre adoption ou votre migration vers Microsoft Intune, vous devez avoir un plan. Ce plan dépend de la solution actuelle de gestion des appareils de votre entreprise, des objectifs métier et des exigences techniques. En outre, vous devez inclure les principales parties prenantes qui prendront en charge et collaboreront avec le plan.
Les ressources suivantes vous aideront à planifier et à déployer Intune :
- Guide de déploiement : configurer ou passer à Microsoft Intune
- Guide de planification pour le passage à Microsoft Intune
- Configurer Microsoft Intune
Conseil
Prise en charge rapide des principes Microsoft Endpoint Manager, Planifiez votre migration vers Microsoft Endpoint Manager et Déterminez votre implémentation de gestion des points de terminaison.
Inscription de l’appareil
En utilisant Intune, vous pouvez gérer les appareils et les applications, ainsi que la façon dont ils accèdent aux données de l’entreprise. Pour utiliser la gestion des appareils mobiles (MDM) Intune, les appareils doivent d’abord être inscrits au service Intune. Quand un appareil est inscrit, il reçoit un certificat MDM. Ce certificat est utilisé pour communiquer avec le service Intune.
Les appareils peuvent être inscrits sur les plateformes suivantes. Pour connaître les différentes versions, consultez Systèmes d’exploitation pris en charge :
- Android
- iOS/iPadOS
- macOS
- Windows
Certaines plateformes peuvent avoir des exigences supplémentaires. Par exemple, les appareils iOS/iPados et macOS nécessitent un Certificat Push MDM d’Apple.
Les ressources suivantes vous aideront à en savoir plus sur l’inscription des appareils pour chaque plateforme :
- Qu’est-ce que l’inscription des appareils dans Intune ?
- Fonctionnalités de gestion des appareils inscrits de Microsoft Intune
- Options d’inscription pour les appareils gérés par Intune
- Méthodes d’inscription Intune pour les appareils Windows
- Inscription des appareils iOS/iPadOS dans Intune
- Inscrire des appareils Android
- Configurer l’inscription des appareils macOS dans Intune
Configuration des appareils
Microsoft Intune inclut des paramètres et fonctionnalités que vous pouvez activer ou désactiver sur différents appareils au sein de votre organisation. Ces paramètres et fonctionnalités sont ajoutés à des profils de configuration. Vous pouvez créer des profils pour différents appareils et différentes plateformes, notamment iOS/iPadOS, macOS, administrateur d’appareils Android, Android Entreprise et Windows. Utilisez ensuite Intune pour appliquer ou « attribuer » le profil aux appareils.
Les ressources suivantes vous aideront à comprendre comment configurer les paramètres de l’appareil :
- Configurer les paramètres des appareils
- Bases de référence Windows de sécurité
- Infrastructure de configuration de la sécurité iOS/iPadOS Enterprise
- Infrastructure de configuration de la sécurité Android Enterprise
- Paramètres et fonctionnalités d’appareil dans Microsoft Intune
- Utiliser le catalogue des paramètres pour configurer les paramètres sur les appareils Windows et macOS
- Attribuer des profils d’appareil dans Microsoft Intune
- Stratégies de configuration des applications pour Microsoft Intune
- Gérer la sécurité des points de terminaison dans Microsoft Intune
Stratégies de conformité
Les solutions de gestion des périphériques mobiles telles qu’Intune peuvent aider à définir des exigences pour les utilisateurs et les appareils afin de protéger les données organisationnelles. Dans Intune, vous gérez ces exigences avec des stratégies de conformité. Les stratégies de conformité dans Intune se composent de deux parties :
- Paramètres de stratégie de conformité Ces paramètres à l’échelle du locataire ressemblent à une stratégie de conformité intégrée que chaque appareil reçoit. Les paramètres de stratégie de conformité définissent une ligne de base pour le fonctionnement de la stratégie de conformité dans votre environnement Intune, notamment si les appareils qui n’ont pas reçu de stratégie de conformité des appareils sont conformes ou non conformes.
- Stratégie de conformité des appareils – Il s’agit de règles spécifiques à la plateforme que les administrateurs peuvent configurer et déployer sur des groupes d’utilisateurs ou d’appareils. Ces règles définissent les exigences relatives aux appareils, comme les systèmes d’exploitation minimaux ou l’utilisation du chiffrement de disque. Les appareils doivent respecter ces règles pour être considérés comme conformes.
Les articles suivants vous aideront à comprendre comment créer et surveiller des stratégies de conformité dans Intune, ainsi que comment intégrer des solutions MTD et NAC, ainsi que l’accès conditionnel :
- Stratégies de conformité d’appareils dans Microsoft Intune
- Créer une stratégie de conformité dans Microsoft Intune
- Activer le connecteur Mobile Threat Defense dans Microsoft Intune
- Appliquer la conformité pour Microsoft Defender pour point de terminaison avec l’accès conditionnel dans Intune
- Intégration du contrôle d’accès réseau avec Microsoft Intune
- Intégrer avec l’accès conditionnel
- Accès conditionnel basé sur l’application avec Intune
- Scénarios d’accès conditionnel
- Surveiller les stratégies de conformité d’appareils dans Microsoft Intune
Stratégies de protection des applications Intune
Les stratégies de protection des applications Intune (APP) vous permettent de protéger les données organisationnelles au sein d’une application. Avec les fonctionnalités de configuration d’application, vous pouvez implémenter la gestion des applications mobiles (GAM) dans Intune pour protéger les données sensibles accessibles à partir d’appareils gérés et non gérés. Avec GAM sans inscription (MAM-WE), vous pouvez utiliser Intune pour gérer les applications professionnelles ou scolaires, y compris les applications de productivité telles que les applications Microsoft Office, sur presque n’importe quel appareil, y compris les appareils personnels dans les scénarios BYOD (apportez votre propre appareil). Consultez la liste officielle des applications protégées par Microsoft Intune accessibles au public.
Pour obtenir une vue d’ensemble des stratégies de protection des applications et de leur fonctionnement, consultez les articles suivants :
- Vue d’ensemble des stratégies de protection des applications
- Infrastructure de protection des données utilisant des stratégies de protection des applications
- Comprendre les délais de distribution des stratégies de protection des applications
- Guide pratique pour créer et affecter des stratégies de protection des applications
- Comment gérer les transferts de données entre applications iOS dans Microsoft Intune
- Comment surveiller les stratégies de protection des applications
- Consulter les journaux de la protection des applications clientes
- Forum Aux Questions sur la Gestion des applications mobiles (GAM) et la protection des applications
Fourniture d’applications aux appareils
Intune prend en charge un large éventail d’applications, notamment les applications du Store pour iOS, macOS, Android et Windows, ainsi que les applications métier. Vous pouvez gérer le déploiement d’applications à partir Centre d’administration Microsoft Endpoint Manager. En outre, vous pouvez utiliser Intune pour orchestrer le déploiement d’applications du Store avec des Google Play managés, apple App Store et Microsoft Store.
Consultez ces ressources pour savoir comment ajouter et gérer des applications avec Intune :
- Qu’est-ce que la gestion des applications dans Microsoft Intune ?
- Ajouter des applications à Microsoft Intune
- Ajouter et affecter des applications gérées Google Play à des appareils d’entreprise Android
- Ajouter des applications de l’App Store iOS dans Microsoft Intune
- Guide pratique pour gérer les applications iOS et macOS achetées par le biais d’Apple Business Manager avec Microsoft Intune avec Microsoft Intune
- Déploiement d’applications Windows 10 à l’aide de Microsoft Intune
- Protection de vos données d’application d’entreprise avec Microsoft Intune
- Gérer des applications système Android Enterprise dans Microsoft Intune
Confidentialité et données personnelles dans Intune
Vous devez comprendre comment Intune collecte, stocke, conserve, traite, sécurisation, partage, audit et exporte des données personnelles. Microsoft Intune n’utilise aucune des données personnelles collectées dans le cadre de la fourniture du service à des fins de profilage, de publication ou de marketing.
Les ressources suivantes vous aideront à comprendre la confidentialité et les données personnelles dans Intune :
- Confidentialité et données à caractère personnel dans Intune
- Données de diagnostic facultatives provenant d’applications clientes Intune
- Collecte des données dans Intune
- Stockage et traitement des données dans Intune
- Auditer, exporter ou supprimer des données personnelles dans Intune
Mises à jour du service Intune
Les nouvelles versions de fonctionnalités pour Intune ont généralement une cadence de six à huit semaines, de la planification à la publication, appelée sprint. Les versions Intune utilisent une convention d’affectation de noms AAMM. Par exemple, 2107 serait une version de juillet 2021.
Publication des mises à jour
Notre processus de publication mensuelle est une mise à jour méthodique de nombreux environnements différents, d’abord dans plusieurs services Azure, puis dans le Centre d’administration qui le rend disponible pour utilisation. Un environnement interne appelé Auto-hôte est le premier environnement à recevoir la version. Il est utilisé uniquement par les équipes d’ingénierie Intune. Nous allons ensuite déployer sur le client Microsoft, qui gère plus de 650 000 appareils. Une fois que nous avons validé l’absence de problèmes clés avec les services, nous commençons ensuite à déployer les environnements clients dans une approche progressive. Une fois que tous les locataires ont été mis à jour, nous mettons à jour le Centre d’administration Microsoft Endpoint Manager. Cette approche progressive nous permet d’identifier les problèmes avant qu’ils n’impactent le service ou nos clients.
La mise à jour de l’application Portail d’entreprise est un processus différent. Microsoft est soumis aux exigences et processus de mise en production d’Apple App Store et Google Play, et parfois aux opérateurs mobiles. Il n’est pas toujours possible d’aligner les mises à jour de publication Intune avec les mises à jour du Portail d’entreprise. Pour plus d’informations, consultez Mises à jour de l’interface utilisateur pour les applications de l’utilisateur final Intune pour plus d’informations sur les mises à jour de Portail d’entreprise.
Comment savoir si une mise à jour du service est terminée pour mon locataire ?
- Connectez-vous au Centre d’administration Microsoft Endpoint Manager.
- Sélectionnez Administration du locataire > État du locataire pour afficher le nom et l’emplacement de votre locataire, l’autorité GPM, l’état du compte et le numéro de version du service. Dans l’exemple ci-dessous, le locataire dispose de la version du service 2104 (avril 2021).
Mise à jour des publication
Rester à jour sur les versions et les modifications est une partie importante de votre déploiement Intune. Intune offre plusieurs façons de rester informé des dernières mises à jour du service :
- nouveautés d’Intune – Découvrez les nouveautés chaque semaine dans Microsoft Intune, notamment une vue d’ensemble de la version actuelle, des avis, des informations sur les versions antérieures et d’autres informations. Le contenu est publié à la fin du sprint actuel une fois que les mises à jour de l’interface utilisateur commencent à être déployées dans le Centre d’administration Microsoft Endpoint Manager.
- Centre de messages – Lorsque la mise à jour du service est entièrement déployée, un message est publié dans état du locataire – Centre de messages et Service Health, ou vous pouvez afficher les mêmes messages dans le Centre de messages à portal.office.com. Nous utilisons des API de service pour extraire uniquement les messages de Microsoft Endpoint Manager d’Office dans l’interface utilisateur du Centre d’administration Microsoft Endpoint Manager.
- Page État du locataire Microsoft Intune : un hub centralisé dans lequel vous pouvez afficher les informations et les communications actuelles sur le service Intune et l’état de votre locataire.
- Accédez au Centre d’administration Microsoft Endpoint Manager.
- Sélectionnez Administration du locataire > État du locataire > Service Health > Centre de messages. 3.Sélectionnez un message sous CENTRE DE MESSAGES INTUNE pour le lire.
- Pour obtenir les dernières annonces de Twitter, consultez @IntuneSuppTeam.
Intune partage également des informations sur les mises à jour en cours de développement, publie des incidents de service dans le Centre d’administration Microsoft Endpoint Manager et peut envoyer des notifications par e-mail. Pour savoir comment rester à jour avec ces informations, consultez Rester à jour sur les nouvelles fonctionnalités, les modifications de service et les d’intégrité du service Intune.
Nous espérons que vous avez trouvé cette vue d’ensemble d’Intune utile. Découvrez Conseils et astuces pour gérer Intune afin de continuer à apprendre à tirer le meilleur parti de votre déploiement Intune.
Views: 30