Gestion des PC personnels dans l'entreprise, notamment des PC Windows on ARM

Conception de Windows 8

Vision en coulisses de l'équipe d'ingénierie Windows

Gestion des PC personnels dans l'entreprise, notamment des PC Windows on ARM

  • Comments 0

À l'heure où de plus en plus de salariés travaillent aussi avec leurs équipements personnels, le phénomène du BYO (« Bring Your Own PC », littéralement « Apportez votre propre PC ») prend de l'ampleur et les professionnels de l'informatique veulent être certains de pouvoir accompagner leurs clients sur cette voie. Le BYO ne modifie en rien les obligations des professionnels de l'informatique : ils doivent continuer à gérer et sécuriser les appareils, et restent responsables des ressources réseau de l'entreprise. Nous savons tous en effet que les règles écrites ne suffisent malheureusement pas.

Ce billet porte sur la gestion des PC WOA (Windows on ARM), justement conçus en prenant en compte cette « consumérisation de l'IT ». Quel que soit leur format, les PC basés sur une architecture x86/64 disposent de tous les outils de gestion nécessaires, en particulier ceux pris en charge par du code tiers exécuté sur le système. Puisque les PC WOA prennent uniquement en charge le code tiers par le biais du Windows Store et des applications WinRT, nous avons décidé de développer des fonctionnalités sophistiquées de gestion prenant en charge le BYO et les PC WOA déployés par l'entreprise. Ce billet a été rédigé par Jeffrey Sutherland, chef de projet au sein de notre groupe Systèmes de gestion.

--Steven


La « consumérisation de l'IT » constitue l'une des tendances lourdes de ces dernières années dans le monde de l'informatique. Cette expression désigne le fait que les technologies grand public, des téléphones au PC, s'immiscent peu à peu dans l'entreprise, sous différentes formes. De plus en plus, les appareils utilisés en entreprise appartiennent au collaborateur lui-même et sont sous sa responsabilité, et non plus sous la responsabilité de l'employeur. Cette tendance est particulièrement profonde dans le domaine des smartphones, mais aussi plus récemment avec l'apparition des tablettes et d'autres formats de PC, de plus en présents en entreprise. À mesure que les entreprises accompagnent cette consumérisation, les équipes informatiques doivent réfléchir au niveau de contrôle qu'elles peuvent exercer sur les appareils détenus à titre personnel par les collaborateurs et sur la notion de « gestion suffisante ». Ces interrogations ont fait partie de nos principales priorités dès les premières phases de développement de Windows 8 et en particulier lors de la conception de Windows pour l'architecture ARM. Nous avons ainsi cherché à comprendre comment continuer à proposer les PC et les logiciels dont les utilisateurs ont besoin (accès aux applications et aux données sur n'importe quel appareil, par exemple) et doter les équipes informatiques de moyens de contrôle suffisants pour s'assurer de la fiabilité des appareils, tout en évitant de mettre à mal la confidentialité de l'utilisateur sur son appareil personnel.

Dans le billet précédemment publié par Steven au sujet de Windows sur ARM (WOA), nous avions expliqué que la majeure partie de l'expérience utilisateur de Windows est la même sur ARM que sur les architectures X86/64, et que les produits partagent beaucoup de code. Si ce billet porte principalement sur WOA, bon nombre des fonctionnalités évoquées s'appliquent aux deux architectures de processeur. Dans ce billet, nous abordons les fonctionnalités du PC lui-même, et non pas l'infrastructure de gestion globale ni les outils utilisés par les équipes informatiques. Enfin, n'oubliez pas que Windows propose de nombreuses fonctions de sécurité au sein de WOA, des fonctionnalités réseau de base à des outils plus sophistiqués tels que le chiffrement des lecteurs.

Applications métier et client de gestion de WOA

Le besoin d'accéder aux applications métier sur lesquelles les utilisateurs s'appuient constitue l'un des cas typiques d'utilisation des appareils « grand public » dans l'entreprise : système de messagerie, logiciels sous licence proposés par un éditeur indépendant, applications développées en interne, etc. Nous sommes convaincus que les développeurs sauront créer facilement et rapidement des applications de style Metro élégantes fonctionnant automatiquement sur n'importe quel système Windows 8, dont WOA. Il en ira de même pour les applications métier. Néanmoins, de nombreuses entreprises souhaitent contrôler et gérer directement l'accès à leurs applications métier internes, y compris au niveau de la distribution des fichiers binaires permettant de les installer. Pour ces organisations, la publication des applications métier sur le Windows Store n'a aucun sens, car il est inutile de diffuser ces applications auprès d'autres utilisateurs et de gérer leur déploiement par le biais du Windows Store. Par ailleurs, l'accès à ces ressources et aux données qu'elles exposent oblige les équipes informatiques à s'assurer que les systèmes qui y accèdent respectent leurs exigences en matière de sécurité et de protection des données.

Les entreprises savent depuis longtemps gérer les applications sur les ordinateurs x86/64, à travers différents outils et différentes méthodes, notamment des produits de gestion tels que System Center Configuration Manager et Windows Intune. La gestion des applications métier de style Metro sur x86/64 permettra d'exploiter ces mêmes outils et méthodes, et nécessite seulement de configurer le client de façon à approuver les applications issues d'une autre source que le Windows Store. Pour plus d'informations sur les fonctionnalités de base liées à l'ajout et à la suppression d'applications de style Metro sur x86/64, consultez l'article consacré à l'ajout et à la suppression d'applications. Le développement de WOA nous a cependant offert l'occasion de façonner la manière dont les applications métier peuvent être diffusées auprès des utilisateurs, de façon à répondre aux besoins des équipes informatiques tout en continuant à garantir une expérience de bout en bout fiable et cohérente pendant toute la durée de vie du PC.

Pour WOA, nous avons intégré un nouveau client de gestion qui peut communiquer avec une infrastructure de gestion cloud, pour assurer la diffusion des applications métier auprès des utilisateurs. Vous en saurez plus sur cette infrastructure de gestion prochainement à travers le blog System Center. Dans ce billet, je vais plutôt me concentrer sur les avantages et les fonctionnalités du client de gestion WOA lui-même.

Le client de gestion WOA se compose en fait de deux éléments : le composant système intégré, que nous appelons l'agent, et une application de style Metro, que nous appelons le portail en libre service ou portail SSP (Self-Service Portal), que le client utilise pour parcourir et installer les applications métier mises à sa disposition. Les deux parties du client de gestion WOA sont des applications Windows 8 au comportement respectueux à tous les niveaux : expérience utilisateur, gestion de l'alimentation et de l'autonomie, reconnaissance du réseau (dans le cas de connexions réseau limitées), fonctionnalités globales, etc.

L'agent s'occupe du gros du travail côté client. Ainsi, il configure le client pour qu'il puisse communiquer avec l'infrastructure de gestion de l'entreprise. Il se synchronise à intervalle régulier avec l'infrastructure de gestion, de façon à rechercher les éventuelles applications métier mises à jour, et applique les dernières stratégies de paramètres, configurées pour l'appareil par l'équipe informatique. Enfin, il s'occupe de télécharger et d'installer les éventuelles applications métier que l'utilisateur souhaite installer. Enfin, si l'utilisateur ou l'administrateur décide de retirer l'appareil de l'infrastructure de gestion, la configuration de l'agent est effacée et les applications métier installées par l'utilisateur à partir du portail SSP sont désactivées.

Connexion à l'infrastructure de gestion

Examinons certains de ces éléments plus en détail, en commençant par la connexion du client à l'infrastructure de gestion. Au début de cette phase, l'administrateur informatique spécifie le groupe des utilisateurs du domaine Active Directory (AD) qui sont autorisés à connecter des appareils au service. L'administrateur a également la possibilité de spécifier le nombre maximal d'appareils autorisés par utilisateur. Pour les utilisateurs autorisés, la procédure de connexion d'un appareil est relativement simple. Grâce à un nouvel applet ajouté au Panneau de configuration de l'appareil WOA, l'utilisateur indique son adresse de messagerie professionnelle et son mot de passe, comme pour configurer un compte de messagerie Exchange. L'agent réalise ensuite une recherche de service pour localiser l'infrastructure de gestion de l'entreprise, à partir de l'adresse de messagerie de l'utilisateur.


Fenêtre Système du Panneau de configuration, derrière une boîte de dialogue permettant d'entrer les informations d'identification de l'entreprise, pour l'accès aux applications et aux ressources de l'entreprise
La connexion à l'infrastructure de gestion est très simple : il vous suffit d'entrer votre adresse de messagerie professionnelle et votre mot de passe

Une fois que l'agent a trouvé l'adresse correcte, il établit une connexion sécurisée avec l'infrastructure de gestion en utilisant une authentification serveur SSL, puis authentifie l'utilisateur. Si l'utilisateur est correctement authentifié et a été autorisé par l'administrateur à connecter des appareils, le service émet un certificat utilisateur destiné à l'utilisateur qui a initialisé la connexion. Ce certificat est ensuite renvoyé à l'agent, aux côtés du certificat racine de l'entreprise et d'instructions destinées à l'agent. Celui-ci utilise ces informations pour configurer ses communications régulières avec l'infrastructure de gestion. L'ensemble du processus prend quelques secondes seulement et ne nécessite pas d'autre intervention de la part de l'utilisateur. Au terme de l'opération, l'utilisateur est invité à installer le portail SSP, pendant que l'agent termine d'établir la connexion en arrière-plan.

Fenêtre Système du Panneau de configuration, derrière une boîte de dialogue Connexion en cours

Fenêtre Système du Panneau de configuration, derrière une boîte de dialogue indiquant que l'utilisateur est connecté au réseau de l'entreprise

Dernière phase de l'opération de connexion

L'agent démarre ensuite une session automatiquement auprès de l'infrastructure de gestion, en utilisant le certificat de l'utilisateur pour s'authentifier. Cette session et les sessions suivantes utilisent l'authentification SSL mutuelle pour garantir la sécurité de la connexion. Cette session initiale termine l'enregistrement de l'appareil auprès du service, en fournissant des informations de base sur l'appareil (marque et modèle, version du système d'exploitation, fonctionnalités, autres informations matérielles). Ainsi, les administrateurs informatiques peuvent surveiller les types d'appareils qui se connectent à l'entreprise, de façon à améliorer sur le long terme les applications et les services proposés aux utilisateurs.

Après la session initiale, l'agent est amené à initialiser une communication avec l'infrastructure de gestion dans deux cas spécifiques :

  • En premier lieu, sous forme de tâche de maintenance exécutée chaque jour, à une heure que l'utilisateur peut configurer sur le client. Les activités réalisées au cours de ces sessions de maintenance servent à signaler à l'infrastructure de gestion les informations sur le matériel mis à jour, à appliquer des modifications aux stratégies de paramètres de l'appareil, à envoyer les rapports de conformité à l'infrastructure de gestion, et à appliquer les mises à jour des applications aux applications métier ou à retenter les installations d'applications métier précédemment initialisées depuis le portail SSP qui ont échoué.
  • Par ailleurs, l'agent communique avec l'infrastructure de gestion chaque fois que l'utilisateur initialise une installation d'application à partir du portail SSP. Ces sessions initialisées par l'utilisateur portent exclusivement sur l'installation d'applications et n'effectuent pas les activités de maintenance et de gestion décrites dans le premier cas.

Que la session ait été initialisée automatiquement par une tâche de maintenance planifiée ou manuellement par l'utilisateur, le client de gestion WOA continue à se comporter de façon respectueuse, en fonction de l'état de la batterie de l'appareil et de ses conditions réseau actuelles.

Gestion de la stratégie de paramètres

Comme nous l'avons déjà évoqué, l'accès aux applications métier requiert en général l'utilisation de systèmes respectant les règles élémentaires de sécurité et les stratégies relatives à la protection des données. À partir de l'infrastructure de gestion, l'administrateur informatique peut configurer différentes stratégies qui sont d'après nous indispensables pour offrir aux équipes informatiques toutes les garanties dont elles ont besoin, sans affecter significativement l'expérience utilisateur de l'appareil :

  • Autorisation des dispositifs d'ouverture de session pratiques pour l'utilisateur
  • Nombre maximal d'échecs de saisie de mot de passe
  • Délai maximal de verrouillage en cas d'inactivité
  • Nombre minimal de caractères complexes dans le mot de passe de l'appareil
  • Longueur minimale du mot de passe
  • Mot de passe activé
  • Expiration du mot de passe
  • Historique du mot de passe

Malgré le fait que notre nouveau client de gestion WOA ne puisse se connecter directement qu'à une seule infrastructure de gestion à la fois, nous sommes susceptibles d'ajouter d'autres sources de stratégies avant la commercialisation de Windows 8. L'architecture du système de stratégies a d'ailleurs été prévue pour s'adapter à cette éventualité. Lorsqu'il existe plusieurs stratégies pour un même appareil Windows 8, les stratégies sont fusionnées et la configuration la plus restrictive est sélectionnée pour chacun d'entre eux. La stratégie ainsi obtenue s'applique à tous les utilisateurs disposant de privilèges d'administration sur l'appareil Windows 8 et à tous les utilisateurs normaux pour lesquels un compte Exchange a été configuré. La stratégie ne s'applique pas aux utilisateurs normaux qui ne disposent pas d'un compte Exchange, mais Windows 8 empêche déjà ces utilisateurs d'accéder aux données stockées dans les profils des autres utilisateurs et dans les emplacements privilégiés, ce qui protège automatiquement vos données d'entreprise.

En plus des stratégies configurables décrites ci-dessus, l'agent peut également être utilisé pour configurer automatiquement un profil VPN pour l'utilisateur, de façon à ce que les appareils WOA puissent se connecter facilement à un réseau d'entreprise sans la moindre intervention de l'utilisateur. Enfin, l'agent peut également surveiller la conformité des appareils WOA et générer des rapports sur les critères suivants :

  • État de chiffrement des lecteurs
  • État des mises à jour automatiques
  • État de l'antivirus
  • État du logiciel anti-espion

Forts de ces informations de conformité, les administrateurs informatiques peuvent contrôler plus efficacement l'accès aux ressources de l'entreprise, si jamais un appareil semble présenter des risques. Là encore, l'expérience utilisateur offerte par l'appareil reste intacte et la confidentialité de l'utilisateur est assurée.

Avant de continuer, étudions de plus près quelques-unes des stratégies mentionnées ci-dessus, ainsi que leur incidence concrète sur un système Windows 8. Examinons tout d'abord la stratégie Allow Convenience Logon (Autorisation des dispositifs d'ouverture de session pratiques pour l'utilisateur). Windows 8 propose des fonctionnalités très pratiques pour l'ouverture de session, par exemple l'identification biométrique et l'ouverture de session avec un mot de passe image. Ces options garantissent un niveau de sécurité élevé sur les appareils Windows 8 et permettent de résoudre du même coup d'un des principaux casse-tête des utilisateurs et des équipes informatiques : l'oubli des mots de passe. Certaines entreprises auront sans doute besoin d'un peu de temps pour adopter ces autres méthodes d'ouverture de session. Aussi, l'option Allow Convenience Logon permet aux équipes informatiques de décider quand autoriser ces dispositifs pratiques d'ouverture de session dans leur entreprise.

Examinons maintenant comment le chiffrement des lecteurs et la stratégie Maximum Failed Password Attempts (Nombre maximal d'échecs de saisie de mot de passe) fonctionnent en parallèle. Vous connaissez sans doute des personnes dont l'intégralité du smartphone a été effacée suite à la saisie répétée de mots de passe erronés par leur petit dernier. Fort heureusement, cela ne peut pas arriver sur votre appareil Windows 8 ! Windows 8 intègre une fonctionnalité prête à l'emploi de protection renforcée des données. Par conséquent, lorsqu'un utilisateur dépasse le nombre de saisies successives de mot de passe, Windows verrouille par cryptographie tous les volumes chiffrés et redémarre l'appareil en mode Console de récupération de Windows 8. Si votre appareil a été perdu ou volé, il devient alors illisible. En revanche, si vous avez juste été victime d'une tentative répétée d'accès à Angry Birds sur votre appareil, orchestrée par votre petit dernier ou vos neveux alors que l'appareil était verrouillé, vous pouvez récupérer facilement l'accès en utilisant une clé de récupération que Windows 8 peut stocker automatiquement dans votre compte SkyDrive. Vous pouvez ainsi reprendre vos activités rapidement, sans devoir réinstaller toutes vos applications et copier vos données.

Gestion des applications métier

Si les fonctionnalités que nous avons décrites portent sur les mécanismes liés au client de gestion et à l'infrastructure et sur les besoins de l'administrateur informatique, au final c'est l'utilisateur lui-même qui profite de l'accès à ses applications métier. Sans cet immense avantage, l'utilisateur n'aurait d'ailleurs pas besoin d'utiliser l'infrastructure de gestion de l'entreprise. Examinons maintenant comment les applications métier sont diffusées sur la plateforme WOA.

Dans notre précédent billet consacré à WOA, nous avons expliqué que les clients récupèrent tous les logiciels par le biais du Windows Store et de Microsoft Update ou Windows Update. Avec l'introduction du client de gestion WOA, nous ajoutons une quatrième source de logiciels fiable pour la plateforme WOA. Comme nous l'avons déjà évoqué, le portail d'applications de style Metro en libre-service (ou portail SSP) est l'interface utilisée au quotidien par le collaborateur pour accéder à l'infrastructure de gestion de son entreprise. Il peut ainsi parcourir les applications métier mises à sa disposition par l'administrateur informatique. Les équipes informatiques peuvent publier quatre types d'applications destinées aux utilisateurs via le portail SSP :

  • Applications de style Metro développées en interne et non publiées sur le Windows Store.
  • Applications développées par des éditeurs de logiciels indépendants et concédés sous licence à l'entreprise en vue d'une distribution interne.
  • Liens Web ouvrant des sites Web et des applications Web directement dans le navigateur.
  • Liens vers les descriptions des applications du Windows Store. Cette solution permet aux équipes informatiques de signaler facilement la présence d'applications métier utiles disponibles publiquement.

Comme l'utilisateur a spécifié ses informations d'identification d'entreprise lors de la connexion initiale auprès de l'infrastructure de gestion, l'administrateur informatique peut ensuite indiquer quelles applications doivent être publiées auprès de chaque utilisateur, en fonction du compte d'utilisateur de domaine AD de l'utilisateur ou des groupes d'utilisateurs AD dont l'utilisateur fait partie. Ainsi, l'utilisateur voit uniquement les applications qui le concernent dans le portail SSP.

Application Woodgrove Center dans le portail SSP, avec des menus déroulants permettant de filtrer les catégories et les noms ; boutons Applications, Mes appareils et Centre informatique ; applications disponibles en téléchargement : Woodgrove Supplier, Woodgrove Asset Request, Woodgrove Expenses, etc.

Passage en revue des applications métier dans le portail en libre-service d'une société fictive appelée Woodgrove
REMARQUE : Cette capture d'écran montre un prototype de travail du portail SSP et peut ne pas correspondre au produit final.

Pour que des applications métier puissent être diffusées via l'infrastructure de gestion, deux opérations doivent être réalisées sur le client. En premier lieu, une clé d'activation est émise par l'infrastructure de gestion et appliquée à l'appareil WOA, de façon à autoriser l'agent à installer des applications. En second lieu, les certificats utilisés pour signer les applications métier doivent être ajoutés au magasin de certificats de l'appareil. Dans la plupart des cas, la clé d'activation et les certificats racine sont appliqués automatiquement au cours de la première session, une fois que la connexion avec l'infrastructure de gestion a été établie. Dans le cas contraire, ils sont déployés automatiquement lors d'une session ultérieure, une fois que l'administrateur informatique a activé la fonctionnalité dans l'infrastructure de gestion.

Lorsque l'utilisateur décide d'installer une application à partir du portail SSP, la demande est envoyée à l'infrastructure de gestion et un lien de téléchargement est fourni à l'agent. L'agent télécharge ensuite l'application, contrôle la validité du contenu, vérifie la signature, puis installe l'application. Tout ceci se déroule généralement en quelques secondes, sans que l'utilisateur voie le processus. Si une erreur survient au cours du processus (par exemple si l'emplacement du contenu est indisponible), l'agent met l'application en file d'attente en vue d'une nouvelle tentative, qui aura lieu au cours de la prochaine session de maintenance planifiée. Dans tous les cas, l'agent indique l'état de l'installation à l'infrastructure de gestion.

Page détaillée de l'application Woodgrove Expenses : Éditeur, Catégorie, Description et bouton Installer.
Page détaillée
d'une application dans le portail SSP, à partir de laquelle l'utilisateur peut lancer l'installation
REMARQUE : Cette capture d'écran montre un prototype de travail du portail SSP et peut ne pas correspondre au produit final.

Dans le cadre de ses sessions de maintenance périodique, l'agent réalise un inventaire des applications métier actuellement installées et signale ces informations à l'infrastructure de gestion, pour permettre à l'administrateur informatique de gérer plus efficacement ses applications métier. Seules les applications de style Metro installées par le biais du portail SSP et du client de gestion sont incluses dans l'inventaire issu de l'appareil WOA. Les applications installées à partir du Windows Store ne figurent jamais dans cet inventaire.

Chaque fois que l'administrateur informatique publie une mise à jour pour une application installée sur un appareil WOA, l'agent télécharge automatiquement la mise à jour dès la session de maintenance périodique suivante, puis installe cette mise à jour.

Déconnexion de l'infrastructure de gestion

Enfin, examinons comment déconnecter un appareil de l'infrastructure de gestion. La déconnexion peut être initialisée localement par l'utilisateur ou à distance, par l'administrateur informatique. Si elle est demandée par l'utilisateur, la déconnexion se déroule de la même manière que la connexion initiale, à partir du Panneau de configuration. Les utilisateurs peuvent décider de se déconnecter de l'infrastructure pour différentes raisons, par exemple lorsqu'ils quittent l'entreprise ou lorsqu'ils font l'acquisition d'un nouvel appareil et qu'ils n'ont plus besoin d'accéder à leurs applications métier sur l'ancien appareil. Lorsque la déconnexion est demandée par l'administrateur, l'agent procède à la déconnexion lors de la session de maintenance périodique suivante. Les administrateurs peuvent décider de déconnecter l'appareil d'un utilisateur lorsque celui-ci quitte l'entreprise ou s'il a enfreint à plusieurs reprises la stratégie de paramètres de sécurité.

Lors de la déconnexion, l'agent effectue les opérations suivantes :

  • Il supprime la clé d'activation qui autorisait l'agent à installer des applications métier. Une fois cette clé supprimée, les applications de style Metro qui ont été installées par le biais du portail SSP et du client de gestion sont désactivées. Sachez cependant que les applications ne sont pas supprimées automatiquement de l'appareil : elles ne peuvent simplement plus être lancées et l'utilisateur ne peut plus installer d'autres applications métier.
  • Il supprime les certificats fournis par l'agent.
  • Il arrête d'appliquer les stratégies de paramètres appliquées par l'infrastructure de gestion.
  • Il signale la réussite de la désactivation à l'infrastructure de gestion, si l'administrateur est à l'origine de la procédure.
  • Il supprime la configuration de l'agent, y compris la tâche de maintenance planifiée. Une fois l'opération terminée, l'agent devient dormant, jusqu'à ce que l'utilisateur le reconnecte à l'infrastructure de gestion.

Résumé

En raison du phénomène de « consumérisation de l'IT » et suite à l'introduction de WOA avec Windows 8, nous souhaitions repenser la manière dont s'effectue la gestion des systèmes. Nous nous sommes efforcés de trouver un juste équilibre entre les besoins parfois contradictoires des administrateurs informatiques et de l'utilisateur, qui se sert de son appareil au quotidien. En permettant au nouveau client de gestion WOA de se connecter à une infrastructure de gestion cloud, nous pensons avoir rempli cet objectif. Nous espérons que vous serez du même avis dès lors que vous aurez pu tester ces outils en pratique !

-- Jeffrey Sutherland

  • Loading...
Leave a Comment
  • Please add 7 and 3 and type the answer here:
  • Post