Gestion de Windows 10 et des applications dans l'entreprise moderne

Antoine Journaux

Julien Chabas

@AntoineJournauxIngénieur Avant-Ventes Windows

@Julien_MSFT Ingénieur Avant-Ventes Mobilité

Windows 10 en mobilité

Intégration dans un Domaine Active Directory

• Accès aux services depuis un lieu de travail

• Utilisation de PC fournis par l’entreprise

• Accès aux ressources disponibles sur un réseau local

• Accès distant via VPN

Une gestion traditionnel de l’ITPérimètre Active Directory

N° 4

On-premises

Storage, corp data

Users

66% des salariés utilisent de périphériques personnels pour travailler

25% des logiciels seront disponible “as a Service” (SaaS) d’ici 2020

33% des salariés travaillent en mobilité

Un monde hybride

N° 5

Les contraintes du monde hybride ?L’identité au coeur des usages

N° 6

AppsApps

Identités publiques

On-premises

Storage, corp data

Users

Gestion de devicesSécurité des donnéesAccès aux ressources

Identité

L’identité au coeur de la mobilité

N° 7

AppsApps

Identités publiques

On-premises

Storage, corp data

Users

Windows 10 et Azure AD Join

Windows 10 Azure AD Joined Devices

Intune / MDMauto-enrollment On-premises

apps

La jonction à Azure AD rend possible de connecter des périphériques mobiles d’entreprise Windows 10 à votre sociétés

auto-enrollment dans IntuneAccès conditionnel

Support des environnements hybrides

SSO dans les applications cloud ou onPrem sans VPN

Les choix d’identité avec Windows 10

N° 9

Windows 10

PC joint à Azure AD

Windows 10

PC joint à AD (équivalent à Windows 7)

Windows 10

PC joint à AD et enregistré dans Azure AD

Azure AD Connect

Azure AD Connect

PC joint à l’AD et enregistré dans AAD

N° 10

Windows 10

5

4

1 & 2

5Machine

store

3 ADFS

L’enregistrement dans Azure AD

1. GPO to tell the device to register in AAD

2. The device get the information to locate AAD

3. The computer gets access to Azure DRS

4. The computer generate CSR (private/public key pair) for device registration

5. The computer register in AAD DRS, Cert is saved in the machine store

Azure AD Connect

- Déployer Windows Hello sans devoir attendreNouvelle méthode d’authentification deux facteurs standardisée disponible nativement dans Windows 10 permettant d’utiliser la Biométrie pour s’authentifier dans Windows, les applications, les sites web, les plugins VPN, etc.

- Profiter de l’itinérance des paramètres utilisateurs entre machines (au lieu d’un compte Microsoft)

- Débloquer de nouveaux scénarios liés à Azure AD (accès conditionnel, Windows Store for business, etc.)

Pourquoi enregistrer un PC dans Azure AD ?

N° 11

Démo

Comment connaitre mon état ?

N° 12

Control d’accès conditionnel

N° 13On-premises applications

ApplicationBusiness sensitivity

OtherNetwork location

DevicesIntune/ConfigMgr managed Compliant with Intune/ConfigMgr policiesDomain joined

User attributesUser identity Group membershipsAuth strength (MFA)

No need for on-premises

infrastructure

Azure AD is the control plane

Microsoft Azure

Allow | Enforce MFA | Block

N° 14

Accès conditionnel avec Windows 10

N° 15

1. Access please

2. Prove to me you are

compliant

5. Here is my proof

4. Approval3. Request

Corporate network

• Intégration avec Windows health attestation service

• Règle de conformité supplémentaires :• Patché ?• Firewall actif ?• Antivirus et protection

temps-réelle actif ?• Et bien plus…

Analyse des composants lié au boot

L’analyse est signée et stockée dans la TPM

Le client Health Attestation envoie l’analyse à un service cloud pour validation

SecureBoot est proactifHealth Attestation est réactif

Remote Health Attestation

N° 16

Démo

Conditional Access

N° 17

Windows Store pour Entreprises

Pas besoin de droits d’administrateur pour les installer

Ces applications sont containerisé et disposent de privilèges très faibles

La sécurité de ces applications est basée sur les niveaux d’intégrité et sur des capacités restreintes

Ces capacités peuvent être gérées par l’utilisateur et/ou l’administrateur

Les applications du Windows Store

Windows Store Public

N° 21

• Toutes les applications du Windows Store

• Nécessite un Microsoft Account (MSA)

• Les utilisateurs doivent cliquer sur Installer

• Les MSA ne peuvent être gérés par les sociétés

Windows Store

Windows Store pour Entreprises

N° 22

Volume acquisition and distribution

Acquire Store apps and Line-of-Business appsFlexible deployment to meet your needs

Designed for organizations

Curated for businessApps owned and managed by your organization

Easy and familiar for your users

Simple discovery and installation of appsAutomatic app updates by default

To find, acquire, manage, and distribute apps on Windows 10

Distribution des applications

N° 23

Offline licensing

Computer imaging

Manual deployment

MDM/EMM Solutions

• Compte Azure AD necessaire uniquement pour la partie administration IT

• Applications téléchargés et déployés via l’infrastructure client

• Pas de suivi d’utilization des licences• Mises à jour via Windows Update• Action des développeurs pour rendre

disponible leurs Apps en mode Offline

• Compte Azure AD pour tous les utilisateurs

• Installation depuis l’application Windows Store

• Suivi d’utilization des licences avec Windows Store pour Entreprises

• Mises à jour via Windows Update• Disponibilité des toutes les

applications du Windows Store pour Entreprises

Private store Direct Assignment

MDM/EMM Solutions

Online licensing

Distribution des Apps en mode HybrideMDM/EMM Solution

N° 24

Organizational apps acquired

Apps acquired in volume in Windows Store for BusinessIncludes internal line-of-business and public Store free and paid appsPaid apps are paid for in bulk during acquisition

Inventory synchronize

d

Management Tool connects with Windows Store for Business APIsApps, metadata and licensing information is synchronized

Policies and

distribution defined

Administrator defines necessary policies and distributions Distribution is performed

Deployed to users

Apps get deployed to Windows 10 users and policies enforcedApp updates can happen from the Store or managed with Management Tools

Management ToolsWindows Store for Business

Windows 10

Démo

Windows Store pour Entreprises

Intune + Configuration Manager

N° 26

N° 27

@microsoftfrance @Technet_France @msdev_fr

N° 28

Notez cette sessionEt tentez de gagner un Surface Book

Doublez votre chance en répondant aussi au questionnaire de satisfaction globale* Le règlement est disponible sur demande au commissariat général de l’exposition. Image non-

contractuelle