Déploiement de Enterprise Data Protection

1- Introduction

Lors d’un précédent article que vous pouvez trouvez ici : nous avons pu voir une présentation de Enterprise Data Protection, ainsi que sur la mise en place d’une stratégie basée sur EDP en s’appuyant sur Microsoft Intune. Pour cet article, je vous proposes de voir comment déployer une stratégie EDP sur des postes clients en s’appuyant sur Microsoft Intune.

2- Mise en place de notre stratégie EDP

Afin de déployer notre stratégie EDP nous allons passer par les étapes suivantes :

  • Activation des licences Microsoft Enterprise Mobility Suite, ceci afin d’avoir accès à Microsoft Intune. Si vous possédez déjà Microsoft Intune, cette étape n’est pas nécessaire.
  • Rattachement d’un poste client Windows 10 à notre tenant Azure AD.
  • Configuration du déploiement de notre stratégie depuis Intune, et déploiement de celle-ci.

Ces différentes étapes nous permettra de voir comment de bout en bout mettre en place un environnement de test de la technologie Enterprise Data Protection. Ceci étant dit, nous pouvons rentrer dans le vif du sujet, et commencer la configuration de notre Azure AD.

2.1- Configuration de Azure AD pour la gestion MDM Intune

Afin de pouvoir déployer notre stratégie sur un poste Windows 10, nous allons dans un premier temps configuré un tenant Azure AD afin de déclaré Intune comme application de MDM.

Pour effectuer ces opérations, vous pouvez soit créer une nouvelle instance de Azure AD, soit vous appuyer sur un tenant de test que vous possédez.

Nous allons activer les licences EMS afin de pouvoir utiliser Intune.

Pour se faire rendez-vous sur l’onglet Licences de votre tenant Azure AD, et cliquez sur le lien essayer Enterprise Mobility Suite Maintenant afin d’activer l’offre d’essai de la suite EMS.

blog ai3 dep1 Déploiement de Enterprise Data Protection

Une fois EMS activée, rendez-vous sur l’onglet Applications de votre tenant Azure AD. Vous devriez voir l’application Microsoft Intune apparaître au niveau des application que vote société utilise.

Cliquez sur cette application afin de pouvoir la configurer.

blog ai3 dep2 Déploiement de Enterprise Data Protection

 

Configuration de l’application Intune

 

blog ai3 dep3 Déploiement de Enterprise Data Protection

 

Vous n’avez besoin de modifier aucune des Urls, celles-ci ont été configurées automatiquement par rapport à votre tenant Azure AD. Ensuite vous pouvez choisir de sélectionner les populations qui seront gérer au travers de l’outils Intune, pour cet exemple nous choisirons d’inclure tous les utilisateurs.

Une fois modifié ce paramètre vous pouvez enregistrer vos modifications.

 

blog ai3 dep4 Déploiement de Enterprise Data Protection

 

Afin de mener à bien cette installation il vous faudra aussi créer un nouvel utilisateur au niveau de votre tenant Azure AD. Nous utiliserons ce compte afin de nous connecter à l’interface d’administration Intune.

Une fois ce compte créer, n’oublier pas de lui affecter une licence EMS.

Pour activer une licence EMS pour votre utilisateur, allez sur l’onglet Licences, et sélectionnez Enterprise Mobility Suite.

 

blog ai3 dep5 Déploiement de Enterprise Data Protection

Sélectionner alors l’option Affecter des utilisateurs

 

blog ai3 dep6 Déploiement de Enterprise Data Protection

 

Sélectionner l’utilisateur pour lequel vous désirez affecter la licence EMS, et cliquez sur le bouton Attribuer.

 

blog ai3 dep7 Déploiement de Enterprise Data Protection

 

La mise en place de Enterprise Mobility Suite, et la mise en place des licences EMS étant terminée, nous allons maintenant passer à la configuration de notre poste client Windows 10.

2.2- Configuration du poste client Windows 10

Afin de pouvoir déployer notre stratégie EDP, nous allons voir, au cours de ce paragraphe, comment configurer un poste client Windows 10. Pour se faire nous allons dans un premier temps joindre notre poste client à un tenant Azure AD. Cette configuration nous permettra de pouvoir nous connecter à notre appareil avec une identité issue de notre annuaire Azure AD, mais nous permettra surtout d’inscrire notre appareil au niveau de Intune, afin de pouvoir gérer notre poste client depuis Intune, et donc de déployer notre stratégie EDP. Il est a noté que la méthode utilisée ici n’est pas la seule façon de faire, et qu’il est possible d’arriver au même résultat en effectuant les choses différemment.

Avant toute chose, nous allons vérifier au niveau de notre tenant Azure AD, que les utilisateurs ont la possibilité de pouvoir inscrire leurs appareils. Pour se faire connectez vous au portail azure , et allez sur l’onglet configuration de votre tenant Azure AD. Vérifier qu’au niveau du paramètres concernant la jonction d’appareil, l’option « tout » à bien été sélectionné.

 

blog ai3 dep8 Déploiement de Enterprise Data Protection

 

Cette vérification étant effectuée, nous allons pouvoir passer à l’enregistrement de notre Windows 10 auprès de notre tenant Azure AD. Pour ce faire, ouvrez une session au niveau de votre poste client, et ouvrez l’application de gestion des paramètres.

 

blog ai3 dep9 Déploiement de Enterprise Data Protection

 

Sélectionner l’option concernant la partie système. C’est en effet au niveau de la partie système que nous trouverons les options qui vont nous permettre de joindre notre appareil à Azure AD.

 

blog ai3 dep10 Déploiement de Enterprise Data Protection

Sélectionner au niveau du menu de gauche la section « About ». Et cliquez sur le bouton « Join Azure AD ».

 

blog ai3 dep11 Déploiement de Enterprise Data Protection

Au niveau du premier écran du Wizard, cliquez sur Next.

Au niveau du second écran entrez les informations de login de l’utilisateur devant utiliser l’appareil. Dans notre cas cela sera l’adresse mail et le mot de passe de l’utilisateur que nous avons créer lors d’une étape précédente.

blog ai3 dep12 Déploiement de Enterprise Data Protection

Si c’est la première fois que vous utilisez ce compte, il vous sera demandé de mettre à jour le mot de passe de celui-ci.

blog ai3 dep13 Déploiement de Enterprise Data Protection

Une nouvelle fenêtre vous permet de vérifier les informations concernant le tenant vers lequel vous êtes sur le point de vous rattacher, ainsi que les informations sur le compte que sera utilisé pour se connecter au tenant Azure AD. Cliquez sur le bouton « Join » afin de lancer l’opération de rattachement.

blog ai3 dep14 Déploiement de Enterprise Data Protection

Le rattachement de votre appareil au tenant Azure AD va alors se lancer. Cette opération devrait être normalement assez rapide (de l’ordre de quelques dizaines de secondes). Une fois terminée vous verrez une fenêtre vous indiquant que l’opération s’est correctement déroulée.

blog ai3 dep15 Déploiement de Enterprise Data Protection

Félicitations, votre Windows 10 est maintenant associé à votre tenant Azure AD.

Si vous vous connectez à votre tenant Azure AD, et que vous allez sur le profil de l’utilisateur que vous avez utilisé afin de joindre votre machine Windows 10, vous devriez voir apparaître au niveau de l’onglet appareil, la machine que vous venez de joindre, comme on peut le voir dans l’image ci-dessous.

blog ai3 dep16 Déploiement de Enterprise Data Protection

Connectez-vous à votre portail Intune afin de vérifier que votre appareil est connu en temps qu’appareil managé. Au niveau des appareils vous devriez voir la machine que vous venez de joindre à votre tenant Azure AD (si vous ne voyez pas immédiatement votre machine, un peu de patience, l’information peut des fois prendre quelques minutes avant de remonter).

blog ai3 dep17 Déploiement de Enterprise Data Protection

Notre poste client étant maintenant joint à notre tenant Azure AD, ainsi qu’à notre instance de service Intune, nous allons pouvoir passer à la dernière étape de notre processus, à savoir le déploiement de notre stratégie EDP. Pour se faire au niveau du menu sélectionnez l’onglet stratégie, et sélectionnez ensuite l’option Stratégie de configuration. Au niveau de la liste des stratégie, sélectionnez celle correspondant à la stratégie EDP, et cliquez sur le lien Gérer le déploiement se trouvant en haut de la liste.

blog ai3 dep18 Déploiement de Enterprise Data Protection

 

Un nouvel écran permettant de sélectionner les appareils concernés par notre stratégie apparaît. A ce niveau, sélectionnez tous les appareils, et cliquer sur le bouton ajouter. Ceci étant fait, cliquez sur le bouton OK. Il est clair que dans un environnement de production, il serait possible de créer plusieurs groupes d’appareils afin d’affiner le déploiement des différentes stratégies, mais dans un soucis de clarté nous resterons sur des choses simples.

blog ai3 dep19 Déploiement de Enterprise Data Protection

Il ne vous reste plus qu’à attendre que le déploiement s’effectue sur le poste client, et de tester le comportement pour voir si celui-ci est en adéquation avec la stratégie que vous avez définie. Afin de forcer le déploiement de la stratégie, vous pouvez vous connecter à l’application portail d’entreprise et demander une évaluation de la conformité du poste.

Durant votre phase de déploiement il se pourrait que vous rencontriez des erreurs, comme celles que nous pouvons voir si la copie d’écran ci-dessous. Et c’est là que les choses se gâtent, car un des points négatif, à mon sens, concerne la remontée des erreurs de déploiement au niveau de Intune. Si nous nous appuyons sur l’exemple ci-dessous, j’ai des erreurs des définitions sur les emplacements réseaux, des erreurs sur la définition des applications, et enfin des erreurs concernant le certificat de gestion des backups des clé de chiffrement. si jamais vous tombez sur ce genre d’erreur il vous faudra reprendre chacun des paramètres définies au niveau de votre stratégie, et voir si vous n’avez où se trouve l’erreur, car vous n’avez absolument aucun détails concernant le problème remonté par Intune. Dans pareil cas, il peut arriver de perdre beaucoup de temps dans la résolution des problèmes. Donc si vous voulez un bon conseil, commencez par des règles simples, déployée votre stratégie, vérifiez qu’aucune erreur n’est remontée, et enrichissez votre stratégie au fur et à mesure.

Il est a espéré que dans les évolutions à venir, les logs d’erreurs de déploiement seront enrichies et nous permettront d’avoir plus de détails concernant celle-ci.

blog ai3 dep20 Déploiement de Enterprise Data Protection

Voilà c’est la fin de cet article, en esperant que celui-ci vous aura été utile.

David Moîsa.

Cloud, Security and Developement in mind.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.