System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?

Infrastructure, communication & collaboration

Quoi de neuf dans le BYOD

Aurélien Bonnin & Mark CochraneMVP SCCM & MVP SCCM

[email protected]@vnext.fr

vNext – Stand 99

mailto:[email protected]

mailto:[email protected]

#mstechdays Infrastructure, communication & collaboration

Une « explosion de device » qui challenge l’approche actuelle des organisations IT.

Périphériques

Déployer et gérer des applications au travers de plateformes multiples est difficile.

Apps

Les challenges du BYOS (BYO Stuff)

3

Données

Il faut maintenir la productivité des utilisateurs tout en garantissant le niveau de sécurité d’accès aux données.

Des utilisateurs qui s’attendent à pouvoir travailler de n’importe ou en ayant accès à leur applications et données.

Utilisateurs


Protection des accès et de l’information

4

Protéger vos donnéesCentralisation des données d’entreprise pour appliquer protection et suivi en un seul point.Contrôle dépendant de preuves de “contexte d’accès” et d’identité

√

Unifier votre environnementUne identité commune pour accéder aux ressources sur site ou dans le cloud

Renforcer l’efficacité des utilisateursSimplification de l’enregistrement des périphériques en scénario BYODConnexion automatique aux ressources internes lorsque c’est nécessaireAccès aux ressources de l’entreprise depuis plusieurs types de périphériques


Architecture

5

Sur la base de la connaissance de l’identité de l’utilisateur mais aussi de la reconnaissance du périphérique, l’IT peut publier très finement des ressources Web internes grâce à Web Application Proxy. Une authentification multi facteur (MFA) peut s’ajouter au processus de contrôle d’accès.

L’employé enregistre son appareil BYOD pour bénéficier du SSO sur l’accès aux ressources d’entreprise grâce à “Workplace Join”. Durant ce processus un certificat est installé sur son périphérique

L’utilisateur enrôle ensuite son périphérique sur Windows Intune. Il peut maintenant bénéficier d’un portail d’entreprise personnalisé.

Lors de son enregistrement, un nouvel objet “périphérique” à été créé dans Active Directory établissant un lien entre le périphérique et l’utilisateur

Les données de « Windows Intune » se synchronisent avec « Configuration Manager » afin d’obtenir une gestion unifiée de moyens d’accès à l’information de l’entreprise.

Web Application Proxy ADFS


La protection des accès avec une authentification multi-facteur (MFA)

7 7

1. Un utilisateur se présente devant une application nécessitant une authentification MFA2. L’application contacte le service Azure AD pour provoquer un challenge MFA

3. L’utilisateur doit répondre au chalenge reçu sur son téléphone par SMS par exemple.

5. L’IT peut configurer le type et la fréquence d’usage du multi facteur pour chaque utilisateur.

4. La réponse est renvoyée vers l’application qui permet alors l’accès pour l’utilisateur.

Application authentication e.g. Active Directory, Radius,

LDAP, SQL, Custom apps

ADFSUser


Démo

Portail utilisateur


Gestion des appareils mobiles (MDM)


Publier un accès aux ressources avec «Web Application Proxy »

10

Les employés accèdent aux Applications Métier et à leurs données de n’importe où

L’IT peut s’appuyer sur “Web Application Proxy” pour pré-authentifier les utilisateurs et éventuellement s’appuyer sur une authentification multi facteur

On utilise le contrôle d’accès granulaire pour définir comment et d’où il est possible d’accéder à une application

Active Directory fournit un point central d’information sur les identités utilisateurs et périphériques enregistrés

Web Application Proxy

Les Développeurs peuvent s’appuyer sur les services Windows Azure Mobile Services pour intégrer leur Apps au SI

Devices

Apps & Data

ADFS

Active Directory

Reverse proxy pass through

e.g. NTLM & Basic based apps

Published applications

Restful OAuth apps

Office Forms Based Access

Claims & Kerberos web

apps

AD Integrated


11

Les Utilisateurs peuvent synchroniser leur données de travail sur leur machine.

L’IT peut imposer des conditions à l'accès aux données sur ce mode.

L’IT peut publier l'accès aux données à synchroniser. En s’appuyant sur “Web Application Proxy” on pourra filtrer cet accès aux périphériques préalablement enregistrés.

L’IT configure un serveur de fichiers pour fournir à chaque utilisateur un accès en synchronisation sur des répertoires de travail “Work Folder”. Le tout restant compatible avec Rights Management

L’IT peut effacer de manière sélective les données d’entreprise synchronisées depuis Windows 8.1

Devices

Apps & Data

Rendre les données d’entreprise accessibles au travers des “Work Folders”

Reverse Proxy

Web Application Proxy

Une découverte basée sur des enregistrement de l’Active Directory permet d’optimiser les accès en déplacement

File Services

Domain joined devices

Access Policy

Active Directory


Solutions de synchronisation


Workplace Join


Démo

Et en vrai ça donne quoi…?


Protéger vos données

16

Challenges Solutions

Un utilisateur peut avoir besoin d’utiliser un périphérique lui appartenant pour accéder aux données de l’entreprise localement depuis ce périphérique inconnu pour l’IT.

L’IT à besoin de classer et de sécuriser le patrimoine informationnel de l’entreprise afin d’appliquer les protections nécessaires lorsque ces données se retrouvent sur un périphérique mobile.

« Domain Join », les dossiers de travail mais aussi des technologies de protection déjà présentes avant la vague 2012 R2 ( RMS, Dynamic ACL) permettent, lorsqu’ils sont utilisés de concert, une ouverture de ce genre de scénario sans perte de contrôle sur la protection des données.

L’IT peut appliquer en un point central des politiques d’usage et d’audit des données, basées sur la sensibilité des informations qu’elles contiennent.

√


Desktop Virtualization

L’accès contrôlé aux informations de l’entreprise

17

L’IT publie des ressources au travers de “web application proxy” et développe une stratégie d’accès à authentification multiple sur la base de critères liés aux conditions d’accès ou à la sensibilité des données

L’IT peut auditer les accès utilisateur aux données de manière centralisée.

Les utilisateurs accèdent aux données d’entreprise indépendamment de l’endroit ou du périphérique utilisé grâce aux dossiers de travail et au déport d’affichage d’application ou de bureau

L’IT fournit aux utilisateurs connectés un accès aux applications manipulant des données plus sensibles depuis partout grâce au technologies « VDI » et « RemoteApp ».

Centralized Data

RD Gateway

Distributed Data

Devices

LOB AppsWeb Apps

Session host

Files

VDI

Access Policy


Protéger vos données avec « Dynamic Access Control »

18

Le contrôle d’accès et l’audit se gèrent de manière centrale depuis une console Windows Server Active Directory.

Classification Automatique basée sur le contenu. La classification s’applique à la création ou modification des fichiers.

Intégration avec Active Directory Rights Management Services permet de protéger automatiquement vos documents.

Cette gestion centralisée s’effectue au travers de multiples serveurs de fichiers

La classification, les contrôles d’accès et les droits d’usage (RMS) fonctionnent sur les Work Folders.

File Services

Active Directory


Dynamic Access Control


Contrôle d’accès basé sur des expressions


Adoption progressive de DAC


DAC

FileShare

Classification

FSRM

Win12 Domain

AD AdminCenter Claim Types

Central Access Policy

Central Access Rule Conditionsdefine

Add to

define

create

Apply (GPO)Computer/Policies/Windows/

Security/File/CAP

Enable ClaimsGPO

Available Classification Classification Props/refresh

Properties/Classification

View effective access

Resource Propertiesdefine

OU


Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

http://notes.mstechdays.fr/

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business

System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?

Technology

Transcript of System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?