Cette session vise à présenter les nouveautés apportées à la fois par System Center 2012 R2 et par Windows 8.1 et Windows Server 2012 R2 pour répondre de manière plus adaptée aux différents scénarii de BYOD. Cela passe par différentes briques natives à Windows 8.1 ou Windows Server 2012 R2 telles que : - Workplace Join - Work folders - Open MDM - Dynamic Access Control - Web Application Proxy - Nouveautés VDI/RDS Ou encore par l'intégration de solution telles que Windows Intune et System Center 2012 R2 Configuration Manager pour proposer des fonctionnalités de MDM/UDM, de gestion des Work Folders ou encore Wipe selectif, notion de périphérique personnel ou d'entreprise... Cette session sera rythmée par des démonstrations des fonctionnalités clés et aura donc pour but final d'offrir une vision plus précise des scénarios envisageables au travers des technologies Microsoft.
Speakers : Mark Cochrane (Vnext), Aurélien Bonnin (Vnext)
Protéger ses données, identités & appareils avec Windows 10
System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?
1.
2. Quoi de neuf dans le BYOD
Aurélien Bonnin & Mark Cochrane
MVP SCCM & MVP SCCM
aurelien.bonnin@vnext.fr
mark.cochrane@vnext.fr
vNext – Stand 99
Infrastructure, communication & collaboration
3. Les challenges du BYOS (BYO Stuff)
Utilisateurs
Des utilisateurs qui
s’attendent à pouvoir
travailler de n’importe ou
en ayant accès à leur
applications et données.
#mstechdays
Périphériques
Une « explosion de device »
qui challenge l’approche
actuelle des organisations IT.
Apps
Déployer et gérer des
applications au travers de
plateformes multiples est
difficile.
Infrastructure, communication & collaboration
Données
Il faut maintenir la
productivité des utilisateurs
tout en garantissant le
niveau de sécurité d’accès
aux données.
4. Protection des accès et de l’information
Renforcer l’efficacité des utilisateurs
Simplification de l’enregistrement des
périphériques en scénario BYOD
Unifier votre environnement
Protéger vos données
Une identité commune pour accéder
aux ressources sur site ou dans le cloud
Centralisation des données
d’entreprise pour appliquer
protection et suivi en un seul point.
Connexion automatique aux
ressources internes lorsque c’est
nécessaire
Contrôle dépendant de preuves de
“contexte d’accès” et d’identité
Accès aux ressources de l’entreprise
depuis plusieurs types de
périphériques
4#mstechdays
Infrastructure, communication & collaboration
5. Architecture
L’utilisateur enrôle ensuite son
périphérique sur Windows Intune. Il peut
maintenant bénéficier d’un portail
d’entreprise personnalisé.
L’employé enregistre son
appareil BYOD pour
bénéficier du SSO sur l’accès
aux ressources d’entreprise
grâce à “Workplace Join”.
Durant ce processus un
certificat est installé sur son
périphérique
#mstechdays
Sur la base de la connaissance de l’identité de
l’utilisateur mais aussi de la reconnaissance du
périphérique, l’IT peut publier très finement des
ressources Web internes grâce à Web Application
Proxy. Une authentification multi facteur (MFA) peut
s’ajouter au processus de contrôle d’accès.
Infrastructure, communication & collaboration
Les données de « Windows
Intune » se synchronisent avec
« Configuration Manager » afin
d’obtenir une gestion unifiée de
moyens d’accès à l’information de
l’entreprise.
Lors de son enregistrement, un
nouvel objet “périphérique” à été
créé dans Active Directory
établissant un lien entre le
périphérique et l’utilisateur
6. La protection des accès avec une authentification
multi-facteur (MFA)
1. Un utilisateur se présente
devant une application
nécessitant une
authentification MFA
2. L’application contacte le
service Azure AD pour
provoquer un challenge MFA
3. L’utilisateur doit répondre au
chalenge reçu sur son
téléphone par SMS par
exemple.
4. La réponse est renvoyée vers
l’application qui permet alors
l’accès pour l’utilisateur.
5. L’IT peut configurer le type et
la fréquence d’usage du multi
facteur pour chaque utilisateur.
7#mstechdays
Infrastructure, communication & collaboration
9. Publier un accès aux ressources avec «Web Application Proxy »
AD Integrated
Les Développeurs peuvent s’appuyer
sur les services Windows Azure Mobile
On utilise le contrôle d’accès
Published applications
Services pour intégrer leur Apps au SI
granulaire pour définir
comment et d’où il est
possible d’accéder à une
application
Devices
Les employés accèdent
aux Applications Métier
et à leurs données de
n’importe où
#mstechdays
10
Apps & Data
L’IT peut s’appuyer sur “Web
Application Proxy” pour préauthentifier les utilisateurs et
éventuellement s’appuyer sur une
authentification multi facteur
Infrastructure, communication & collaboration
Active Directory fournit un
point central d’information
sur les identités utilisateurs
et périphériques enregistrés
10. L’IT peut effacer de manière
sélective les données
d’entreprise synchronisées
depuis Windows 8.1
Devices
Les Utilisateurs peuvent
synchroniser leur
données de travail sur
leur machine.
L’IT peut imposer des
conditions à l'accès aux
données sur ce mode.
#mstechdays
11
L’IT configure un serveur de
fichiers pour fournir à chaque
utilisateur un accès en
synchronisation sur des
répertoires de travail “Work
Folder”. Le tout restant
compatible avec Rights
Management
Apps & Data
L’IT peut publier l'accès aux
données à synchroniser. En
s’appuyant sur “Web
Application Proxy” on pourra
filtrer cet accès aux
périphériques préalablement
enregistrés.
Infrastructure, communication & collaboration
Une découverte basée
sur des enregistrement
de l’Active Directory
permet d’optimiser les
accès en déplacement
13. Et en vrai ça donne quoi…?
Démo
#mstechdays
Infrastructure, communication & collaboration
14. Protéger vos
données
Challenges
Solutions
Un utilisateur peut avoir besoin d’utiliser un périphérique lui
appartenant pour accéder aux données de l’entreprise
localement depuis ce périphérique inconnu pour l’IT.
« Domain Join », les dossiers de travail mais aussi des
technologies de protection déjà présentes avant la vague
2012 R2 ( RMS, Dynamic ACL) permettent, lorsqu’ils sont
utilisés de concert, une ouverture de ce genre de scénario
sans perte de contrôle sur la protection des données.
L’IT à besoin de classer et de sécuriser le patrimoine
informationnel de l’entreprise afin d’appliquer les
protections nécessaires lorsque ces données se retrouvent
sur un périphérique mobile.
#mstechdays
L’IT peut appliquer en un point central des politiques d’usage
et d’audit des données, basées sur la sensibilité des
informations qu’elles contiennent.
Infrastructure, communication & collaboration
15. L’accès contrôlé aux informations de l’entreprise
Desktop
Virtualization
L’IT fournit aux utilisateurs connectés un
accès aux applications manipulant des
données plus sensibles depuis partout
grâce au technologies « VDI » et
« RemoteApp ».
Centralized Data
Devices
Les utilisateurs accèdent
aux données d’entreprise
indépendamment de
l’endroit ou du périphérique
utilisé grâce aux dossiers de
travail et au déport
d’affichage d’application ou
de bureau
#mstechdays
Distributed Data
L’IT publie des ressources au travers de
“web application proxy” et développe
une stratégie d’accès à authentification
multiple sur la base de critères liés aux
conditions d’accès ou à la sensibilité des
données
Infrastructure, communication & collaboration
L’IT peut auditer les accès
utilisateur aux données de
manière centralisée.
1
16. Protéger vos données avec « Dynamic Access
Control »
Classification
Automatique basée sur
le contenu. La
classification s’applique
à la création ou
modification des
fichiers.
#mstechdays
La classification, les
contrôles d’accès et les
droits d’usage (RMS)
fonctionnent sur les Work
Folders.
Le contrôle d’accès et
l’audit se gèrent de
manière centrale
depuis une console
Windows Server Active
Directory.
Intégration avec Active
Directory Rights
Management Services
permet de protéger
automatiquement vos
documents.
Infrastructure, communication & collaboration
Cette gestion centralisée
s’effectue au travers de
multiples serveurs de fichiers
1
20. define
DAC
AD AdminCenter
Resource Properties
define
create
Claim Types
Central Access Rule
define
Conditions
Add to
Central Access Policy
Apply (GPO)
Available Classification
Classification Props/refresh
Computer/Policies/Windows/
Security/File/CAP
FSRM
Classification
Properties/Classification
Win12 Domain
GPO
Enable Claims
FileShare
OU
View effective access
#mstechdays
Infrastructure, communication & collaboration
21. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Infrastructure, communication & collaboration