Android Enterprise et Microsoft Intune
Sécurité de l’entreprise ou vie privée: Le choix ultime
Les cybermenaces se sont multipliées ces dernières années, faisant de la sécurité une priorité absolue pour toutes les entreprises.
Posez-vous la question suivante: y a-t-il une place pour la coexistence lorsque nous parlons de sécurité et de vie privée ? Si les employés travaillent à distance ou dans un environnement décentralisé, si des appareils personnels contenant des informations importantes pour l’entreprise sont perdus, voulez-vous vraiment que vos employés utilisent un ordinateur portable, une tablette ou un smartphone personnel comme appareil de travail?
À ce stade, il s’agit vraiment d’un choix fondamental. Vous pouvez faire confiance à vos employés et ne rien faire à ce sujet. Vous pouvez aller un peu plus loin et introduire des mesures extrêmes qui interdisent l’utilisation d’appareils personnels pendant les heures de travail. Les deux approches constitueraient une sorte d’arme à double tranchant.
La séparation des données personnelles et des données d’entreprise et la protection de ces dernières sont les défis ultimes si nous voulons que les choses restent sûres et adaptées aux employés. Microsoft Intune pourrait être la réponse parfaite à ces questions et à d’autres.
Microsoft Intune, le fournisseur de MDM et MAM pour vos appareils
La plupart des gens pensent à Microsoft Intune comme à un outil de gestion des PC Windows qui fonctionne comme une alternative cloud à (ou une extension de) System Center, mais sa portée plus large en fait un outil puissant pour gérer Android et iOS, ainsi que pour distribuer des logiciels d’entreprise aux appareils. Sa nature « low-touch » vous offre un choix d’options de gestion, du contrôle minimal au contrôle total, avec la possibilité de laisser les utilisateurs choisir les fonctionnalités déployées sur leurs appareils et le degré de contrôle qu’ils sont prêts à abandonner.
Microsoft Intune est un service basé sur le cloud qui se concentre sur la gestion des appareils mobiles (MDM) et des applications mobiles (MAM). Vous contrôlez la façon dont les appareils de votre organisation sont utilisés, notamment les téléphones mobiles, les tablettes et les ordinateurs portables. Vous pouvez également configurer des politiques spécifiques pour contrôler les applications. Par exemple, vous pouvez empêcher l’envoi d’e-mails à des personnes extérieures à votre organisation. Intune permet également aux employés de votre organisation d’utiliser leurs appareils personnels pour l’école ou le travail. Sur les appareils personnels, Intune contribue à garantir que les données de votre entreprise restent protégées et peut isoler les données de l’entreprise des données personnelles.
Enregistrement des appareils
Les appareils gérés doivent être enregistrés dans Intune. Il existe deux options: BYOD ou dédié. Les appareils BYOD sont le propre matériel de l’utilisateur, tandis que les appareils dédiés appartiennent à l’entreprise et sont souvent utilisés une seule fois. Cette option est la plus adaptée aux appareils tels que le matériel de gestion d’entrepôt Android avec des lecteurs de codes-barres intégrés ou le matériel de gestion du travail délivré aux techniciens de terrain. En pratique, il s’agit de trouver un équilibre entre les appareils dédiés aux travailleurs à la tâche et le BYOD pour les travailleurs intellectuels.
Les appareils BYOD inscrits dans Intune sont configurés avec des profils Android Enterprise. Ceux-ci créent un espace de travail séparé et sécurisé pour les applications et les données gérées. Une fois qu’un profil est configuré, vous pouvez l’utiliser pour contrôler la plupart des fonctions d’un téléphone, depuis la configuration des comptes de messagerie et l’accès Wi-Fi à un réseau d’entreprise jusqu’à la garantie qu’un utilisateur peut faire des captures d’écran des applications professionnelles. Vous n’avez pas à vous soucier de trouver des téléphones spécifiques prenant en charge Android Enterprise: Il s’agit d’une fonctionnalité présente dans toutes les versions actuelles d’Android.
Les profils Android Enterprise créent un espace de travail distinct et sécurisé pour les applications et les données gérées. Source: Microsoft
Scénarios de déploiement d’Android Enterprise avec Intune
Source: https://www.petervanderwoude.nl/
Commençons par un bref aperçu des différents scénarios de déploiement d’Android Enterprise disponibles dans Microsoft Intune. La figure ci-dessous donne un aperçu des différents scénarios de déploiement. Comme il s’agit principalement des fonctionnalités d’Android Enterprise, le scénario MAM pur a été ignoré. Pour un premier filtrage, les scénarios de déploiement sont triés par le propriétaire de l’appareil et par le type d’employés pour l’appareil.
L’étape suivante pour une meilleure vue d’ensemble est le tableau ci-dessous. Ce tableau décrit les principales caractéristiques des différents scénarios de déploiement. Il montre des caractéristiques importantes telles que les principaux cas d’utilisation d’un scénario de déploiement, si l’utilisation personnelle est possible, si la protection des données peut être assurée, la portée administrative et d’autres caractéristiques connues.
| Scénario d’utilisation | Cas d’utilisation | Utilisation personnelle | Protection des données garantie | Méthode d’enregistrement | Gamme de gestion | Réinitialisation nécessaire | Affinité avec l’utilisateur |
|---|---|---|---|---|---|---|---|
| Profil professionnel | Bring Your Own Device (BYOD) | Oui | Oui | Application du portail de l’entreprise | Propriétaire du profil | No | Oui |
| Profil professionnel de l’entreprise | Corporate Owned, Personally Enabled (COPE) | Oui | Oui | Near Field communication, Token-input, QR-Code ou Zero Touch | Propriétaire du profil avec des paramètres au niveau de l’appareil | Oui | Oui |
| Entièrement géré | Corporate Owned, Business Only (COBO) | No | No | Near Field communication, Token-input, QR-Code ou Zero Touch | Propriétaire de l’appareil | Oui | Oui |
| Dédié | Corporate Owned, Single Use (COSU) | No | No | Near Field communication, Token-input, QR-Code ou Zero Touch | Propriétaire de l’appareil | Oui | No |
Assurer la conformité
L’un des aspects les plus importants de l’utilisation d’Intune pour gérer Android est la prise en charge de la certification de conformité. Dans Intune, vous pouvez créer une politique de conformité qui couvre les caractéristiques clés des appareils Android d’entreprise. Commencez par la version minimale du système d’exploitation pour vous assurer que les versions du système d’exploitation qui corrigent les principaux bugs sont requises. Vous pouvez également définir le niveau maximal du système d’exploitation afin de verrouiller les versions bêta non testées et de limiter les appareils qui ont été rootés. D’autres paramètres exigent le type de mots de passe utilisés et si vous voulez appliquer l’authentification biométrique lorsqu’elle est disponible.
Il existe une intégration avec d’autres outils de gestion Android tels que la plateforme de sécurité Lookout. Cela vous permet de définir le niveau de menace d’un appareil et d’utiliser Lookout pour gérer les évaluations de risques des appareils. Intune peut également s’assurer que les appareils utilisent un stockage crypté et qu’ils n’utilisent que des sources connues. De même, il vérifie que les utilisateurs ont installé la version appropriée du portail d’entreprise.