Plusieurs solutions de contrôle des données mobiles sur le marché prétendent avoir une solution facile, mais une seule d’entre elles m’a impressionné. Intune Endpoint Device Manager de Microsoft est extrêmement robuste et très efficace. En effet, si vous vous concentrez sur la sécurisation des données de votre entreprise sur les appareils mobiles, vous découvrirez qu’Intune a une astuce que les autres n’ont pas.
1.Comment ça fonctionne
L’avantage de Microsoft vient du fait que le logiciel qui est le plus susceptible d’être utilisé pour accéder aux données de l’entreprise est le leur, ou celui d’un de leurs partenaires. Ainsi configurer mon appareil et celui de tous mes employés est très facile. Intégré dans des apps pour appareils intelligents comme Outlook, Office, OneNote, Teams, Adobe, Box, Zoom et d’autres nom d’applications populaires, un processus vérifie la présence d’un enregistrement DNS spécial toutes les heures ou presque. Si l’enregistrement est trouvé, sa présence informe l’appareil qu’il peut y avoir une politique d’application mobile Intune configurée pour son utilisateur.
Si vous configurez une politique de gestion des applications mobiles et que vous affectez cette politique à un utilisateur, lorsque cette personne utilise ses identifiants d’entreprise avec le programme spécifié, elle sera invitée à compléter le processus de protection que vous avez spécifié. Vous pourrez également bloquer l’accès au presse-papiers, empêcher l’interaction des données de l’entreprise avec des applications non approuvées, exiger une sécurité supplémentaire des appareils, etc. En fonction des options que vous définissez dans la politique, ils perdront l’accès à la ressource s’ils refusent. Pas besoin d’envoyer des codes par e-mail aux utilisateurs, pas besoin d’essayer de leur faire suivre des instructions bizarres sur une page Web depuis leur téléphone, il leur suffit d’ouvrir l’app qu’ils ont toujours utilisée et de suivre les instructions.
Vos comptes doivent avoir une licence pour utiliser Intune avant de pouvoir commencer. Les licences sont incluses dans l’édition Business Premium de Microsoft 365, elles sont également incluses dans plusieurs versions de la licence Enterprise. Les licences pour Intune peuvent également être achetées individuellement.
Une fois que vous vous êtes occupé des licences, vous devez configurer votre locataire. En supposant que vous avez déjà configuré Microsoft 365 avec votre domaine personnalisé et vos comptes d’utilisateurs, vous devrez créer quelques enregistrements DNS pour Intune. Connectez-vous à votre hôte DNS public et créez un CNAME pour EnterpriseEnrollment.company_domain.com qui pointe vers EnterpriseEnrollment-s.manage.microsoft.com. Créez un autre enregistrement CNAME pour EnterpriseRegistration.company_domain.com qui pointe sur EnterpriseRegistration.windows.net.
2.Configuration
Une fois la configuration de base terminée, il est temps de configurer votre première politique d’application mobile. Dans ce post, nous allons créer une règle pour Outlook. Connectez-vous à votre portail d’administration Microsoft 365 et allez dans Admin -> ; Show All -> ; Endpoint Manager -> ; Apps -> ; App Protection Policies. Cliquez ensuite sur le menu déroulant à côté du bouton Créer une politique et choisissez le système d’exploitation pour lequel vous souhaitez créer une politique.
Essayez de ne pas vous laisser distraire par toutes les autres options jusqu’à ce que vous soyez plus familier avec Intune.
Sur l’écran suivant, nommez votre nouvelle politique de manière appropriée et ajoutez une description si vous le souhaitez. Cliquez sur Suivant.
Le nommage devient important lorsque vous avez beaucoup de règles, alors réfléchissez-y.
Sur l’écran Apps, faites basculer l’option Cibler tous les types de périphériques sur » Non « . Utilisez ensuite la liste déroulante pour sélectionner les types d’appareils et cochez « Non géré ». Cliquez maintenant sur le lien pour sélectionner les applications publiques et tapez le nom de l’application que vous souhaitez protéger dans le champ de recherche, dans notre cas Outlook. Sélectionnez-la et cliquez ensuite sur le bouton suivant pour continuer.
Vous pouvez également ajouter les apps internes de votre entreprise, mais cela sort du cadre de ce post.
Sur l’écran de protection des données, vous choisirez les options qui, selon vous, protègent le mieux vos ressources d’entreprise. Allez-vous les laisser imprimer à partir d’Outlook ? L’appli doit-elle crypter les données sur le téléphone ou la tablette ? Qu’en est-il du copier-coller entre les applications ? Il y a beaucoup de choix et de combinaisons à faire. Heureusement, les explications sont assez simples.
Les options de connexion aux données vous permettent de contrôler la façon dont l’appareil et ses apps peuvent interagir avec vos données en nuage.
Viennent ensuite les exigences d’accès où vous choisirez les cerceaux que les appareils doivent franchir pour accéder à vos données (Outlook). Ont-ils besoin d’un code PIN pour l’appareil ? Outlook doit-il avoir son propre code PIN qui les invite à chaque fois qu’ils l’ouvrent ? Allez-vous autoriser les caractéristiques biométriques des appareils ? Il y a beaucoup de choix dans cette section. Je peux vous dire par expérience que ces choix sont ceux qui ennuieront le plus vos collègues, alors ne soyez pas plus agressif que nécessaire.
Vous ne voulez pas exagérer les conditions d’accès.
Les conditions de lancement vous permettent de contrôler certains aspects qui sont nécessaires pour que l’appareil de votre utilisateur ouvre l’app (Outlook) en premier lieu. Un choix populaire est de bloquer les appareils jailbreakés ou enracinés car ils sont plus susceptibles de contenir des logiciels malveillants. Vous pouvez également envisager d’avertir les utilisateurs lorsque leurs appareils sont sur d’anciennes versions de leurs systèmes d’exploitation.
L’onglet Assignations est l’endroit où vous sélectionnez les groupes d’utilisateurs auxquels la règle que vous avez faite s’applique, ou ceux qui en sont exclus. J’utilise généralement l’option inclusive et je crée un groupe qui correspond au nom de la règle. Si vous n’avez pas déjà un groupe qui fonctionne, vous n’avez pas besoin de quitter la session Endpoint Manager pour en créer un, vous perdrez votre progrès et devrez recommencer si vous le faites. Ouvrez simplement un autre onglet dans votre navigateur et allez dans le centre d’administration de Microsoft 365 – Groupes pour créer votre groupe et ajouter les utilisateurs. Ensuite, revenez à l’onglet Endpoint Manager et ajoutez le groupe que vous avez créé.
Sur le dernier écran, vous avez la possibilité de revoir toutes les options que vous avez sélectionnées et de créer la règle. Cela peut prendre jusqu’à huit heures avant que Microsoft déploie la règle dans votre instance d’Intune et jusqu’à huit autres avant que les appareils s’enregistrent et obtiennent l’application de la politique, soyez patient. Vous pouvez vérifier l’état de vos règles et dispositifs en utilisant le moniteur. Dans la console Endpoint Manager, allez dans Accueil -> ; Apps -> ; Monitor -> ; App Protection Status pour voir les options disponibles.
3.Conclusion
Dans le monde d’aujourd’hui, chaque entreprise devrait prendre des mesures pour protéger ses données. Jusqu’à l’ère des ransomwares, les petites entreprises étaient largement exemptes des périls des hackers. Maintenant, elles sont des cibles de choix, les données n’ont pas besoin d’avoir de la valeur sur le marché noir. Il suffit qu’elles aient de la valeur pour vous et votre entreprise. Souvent, lorsque nous pensons à la sécurité, nous nous concentrons sur les ordinateurs et les serveurs, mais nos appareils mobiles sont tout aussi accessibles et nous ne voulons pas les laisser vulnérables. Si tout cela s’avère un peu trop difficile à aborder par vous-même, ne vous laissez pas arrêter. Rapprochez-vous d’un partenaire Microsoft 365 ou de Microsoft lui-même et faites en sorte que vos terminaux mobiles soient protégés.