System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?
-
Upload
microsoft-technet-france -
Category
Technology
-
view
418 -
download
1
description
Transcript of System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?
Infrastructure, communication & collaboration
Quoi de neuf dans le BYOD
Aurélien Bonnin & Mark CochraneMVP SCCM & MVP SCCM
[email protected]@vnext.fr
vNext – Stand 99
#mstechdays Infrastructure, communication & collaboration
Une « explosion de device » qui challenge l’approche actuelle des organisations IT.
Périphériques
Déployer et gérer des applications au travers de plateformes multiples est difficile.
Apps
Les challenges du BYOS (BYO Stuff)
3
Données
Il faut maintenir la productivité des utilisateurs tout en garantissant le niveau de sécurité d’accès aux données.
Des utilisateurs qui s’attendent à pouvoir travailler de n’importe ou en ayant accès à leur applications et données.
Utilisateurs
#mstechdays Infrastructure, communication & collaboration
Protection des accès et de l’information
4
Protéger vos donnéesCentralisation des données d’entreprise pour appliquer protection et suivi en un seul point.Contrôle dépendant de preuves de “contexte d’accès” et d’identité
√
Unifier votre environnementUne identité commune pour accéder aux ressources sur site ou dans le cloud
Renforcer l’efficacité des utilisateursSimplification de l’enregistrement des périphériques en scénario BYODConnexion automatique aux ressources internes lorsque c’est nécessaireAccès aux ressources de l’entreprise depuis plusieurs types de périphériques
#mstechdays Infrastructure, communication & collaboration
Architecture
5
Sur la base de la connaissance de l’identité de l’utilisateur mais aussi de la reconnaissance du périphérique, l’IT peut publier très finement des ressources Web internes grâce à Web Application Proxy. Une authentification multi facteur (MFA) peut s’ajouter au processus de contrôle d’accès.
L’employé enregistre son appareil BYOD pour bénéficier du SSO sur l’accès aux ressources d’entreprise grâce à “Workplace Join”. Durant ce processus un certificat est installé sur son périphérique
L’utilisateur enrôle ensuite son périphérique sur Windows Intune. Il peut maintenant bénéficier d’un portail d’entreprise personnalisé.
Lors de son enregistrement, un nouvel objet “périphérique” à été créé dans Active Directory établissant un lien entre le périphérique et l’utilisateur
Les données de « Windows Intune » se synchronisent avec « Configuration Manager » afin d’obtenir une gestion unifiée de moyens d’accès à l’information de l’entreprise.
Web Application Proxy ADFS
#mstechdays Infrastructure, communication & collaboration
La protection des accès avec une authentification multi-facteur (MFA)
7 7
1. Un utilisateur se présente devant une application nécessitant une authentification MFA2. L’application contacte le service Azure AD pour provoquer un challenge MFA
3. L’utilisateur doit répondre au chalenge reçu sur son téléphone par SMS par exemple.
5. L’IT peut configurer le type et la fréquence d’usage du multi facteur pour chaque utilisateur.
4. La réponse est renvoyée vers l’application qui permet alors l’accès pour l’utilisateur.
Application authentication e.g. Active Directory, Radius,
LDAP, SQL, Custom apps
ADFSUser
#mstechdays Infrastructure, communication & collaboration
Démo
Portail utilisateur
#mstechdays Infrastructure, communication & collaboration
Gestion des appareils mobiles (MDM)
#mstechdays Infrastructure, communication & collaboration
Publier un accès aux ressources avec «Web Application Proxy »
10
Les employés accèdent aux Applications Métier et à leurs données de n’importe où
L’IT peut s’appuyer sur “Web Application Proxy” pour pré-authentifier les utilisateurs et éventuellement s’appuyer sur une authentification multi facteur
On utilise le contrôle d’accès granulaire pour définir comment et d’où il est possible d’accéder à une application
Active Directory fournit un point central d’information sur les identités utilisateurs et périphériques enregistrés
Web Application Proxy
Les Développeurs peuvent s’appuyer sur les services Windows Azure Mobile Services pour intégrer leur Apps au SI
Devices
Apps & Data
ADFS
Active Directory
Reverse proxy pass through
e.g. NTLM & Basic based apps
Published applications
Restful OAuth apps
Office Forms Based Access
Claims & Kerberos web
apps
AD Integrated
#mstechdays Infrastructure, communication & collaboration
11
Les Utilisateurs peuvent synchroniser leur données de travail sur leur machine.
L’IT peut imposer des conditions à l'accès aux données sur ce mode.
L’IT peut publier l'accès aux données à synchroniser. En s’appuyant sur “Web Application Proxy” on pourra filtrer cet accès aux périphériques préalablement enregistrés.
L’IT configure un serveur de fichiers pour fournir à chaque utilisateur un accès en synchronisation sur des répertoires de travail “Work Folder”. Le tout restant compatible avec Rights Management
L’IT peut effacer de manière sélective les données d’entreprise synchronisées depuis Windows 8.1
Devices
Apps & Data
Rendre les données d’entreprise accessibles au travers des “Work Folders”
Reverse Proxy
Web Application Proxy
Une découverte basée sur des enregistrement de l’Active Directory permet d’optimiser les accès en déplacement
File Services
Domain joined devices
Access Policy
Active Directory
#mstechdays Infrastructure, communication & collaboration
Solutions de synchronisation
#mstechdays Infrastructure, communication & collaboration
Workplace Join
#mstechdays Infrastructure, communication & collaboration
Démo
Et en vrai ça donne quoi…?
#mstechdays Infrastructure, communication & collaboration
Protéger vos données
16
Challenges Solutions
Un utilisateur peut avoir besoin d’utiliser un périphérique lui appartenant pour accéder aux données de l’entreprise localement depuis ce périphérique inconnu pour l’IT.
L’IT à besoin de classer et de sécuriser le patrimoine informationnel de l’entreprise afin d’appliquer les protections nécessaires lorsque ces données se retrouvent sur un périphérique mobile.
« Domain Join », les dossiers de travail mais aussi des technologies de protection déjà présentes avant la vague 2012 R2 ( RMS, Dynamic ACL) permettent, lorsqu’ils sont utilisés de concert, une ouverture de ce genre de scénario sans perte de contrôle sur la protection des données.
L’IT peut appliquer en un point central des politiques d’usage et d’audit des données, basées sur la sensibilité des informations qu’elles contiennent.
√
#mstechdays Infrastructure, communication & collaboration
Desktop Virtualization
L’accès contrôlé aux informations de l’entreprise
17
L’IT publie des ressources au travers de “web application proxy” et développe une stratégie d’accès à authentification multiple sur la base de critères liés aux conditions d’accès ou à la sensibilité des données
L’IT peut auditer les accès utilisateur aux données de manière centralisée.
Les utilisateurs accèdent aux données d’entreprise indépendamment de l’endroit ou du périphérique utilisé grâce aux dossiers de travail et au déport d’affichage d’application ou de bureau
L’IT fournit aux utilisateurs connectés un accès aux applications manipulant des données plus sensibles depuis partout grâce au technologies « VDI » et « RemoteApp ».
Centralized Data
RD Gateway
Distributed Data
Devices
LOB AppsWeb Apps
Session host
Files
VDI
Access Policy
#mstechdays Infrastructure, communication & collaboration
Protéger vos données avec « Dynamic Access Control »
18
Le contrôle d’accès et l’audit se gèrent de manière centrale depuis une console Windows Server Active Directory.
Classification Automatique basée sur le contenu. La classification s’applique à la création ou modification des fichiers.
Intégration avec Active Directory Rights Management Services permet de protéger automatiquement vos documents.
Cette gestion centralisée s’effectue au travers de multiples serveurs de fichiers
La classification, les contrôles d’accès et les droits d’usage (RMS) fonctionnent sur les Work Folders.
File Services
Active Directory
#mstechdays Infrastructure, communication & collaboration
Dynamic Access Control
#mstechdays Infrastructure, communication & collaboration
Contrôle d’accès basé sur des expressions
#mstechdays Infrastructure, communication & collaboration
Adoption progressive de DAC
#mstechdays Infrastructure, communication & collaboration
DAC
FileShare
Classification
FSRM
Win12 Domain
AD AdminCenter Claim Types
Central Access Policy
Central Access Rule Conditionsdefine
Add to
define
create
Apply (GPO)Computer/Policies/Windows/
Security/File/CAP
Enable ClaimsGPO
Available Classification Classification Props/refresh
Properties/Classification
View effective access
Resource Propertiesdefine
OU
#mstechdays Infrastructure, communication & collaboration
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business