Guide pas à pas – Prise en main de Windows Intune – Partie 1

Windows Intune (actuellement en beta) vient enrichir l’offre en ligne de Microsoft (Microsoft Online Services) en se positionnant comme la solution de gestion dans le nuage (Cloud Computing) des postes de travail vous aidant à garder les ordinateurs de votre entreprise sécurisé, à jour et administrable, où qu’ils soient situés.

Nous allons dans ce document détailler le portail d’administration mis à disposition pour administrer la solution.

Pour disposer d’un compte beta Windows Intune et déployer le client sur les plateformes cibles se référer au billet : http://blogs.technet.com/b/fabricem_blogs/archive/2010/07/13/guide-pas-224-pas-installation-windows-intune-beta-partie-1.aspx

Introduction - Le portail d’administration

Le portail d’administration est disponible à l’adresse https://manage.microsoft.com

Il faut alors se signer avec son compte (Live ID) pour accéder au portail d’administration

 Vue d'ensemble du système Afficher l'état pour évaluer l'intégrité d'ensemble des ordinateurs gérés, contrôler les alertes pour étudier des problèmes principaux qui requièrent une attention particulière, exécuter des rapports et créer des groupes d'ordinateurs.

 Ordinateurs Créer et gérer des groupes d'ordinateurs, afficher les résumés et les détails des états, rechercher des ordinateurs et afficher la liste des ordinateurs.

 Mises à jour Administrer le processus de mise à jour des logiciels des ordinateurs gérés.

 Protection contre les programmes malveillants Contribuer à protéger les ordinateurs gérés contre les menaces potentielles avec la protection en temps réel et les analyses et mises à jour automatiques des définitions de programmes malveillants. Identifier et résoudre rapidement les problèmes de programmes malveillants.

 Alertes Afficher des alertes pour déterminer l'intégrité d'ensemble des ordinateurs gérés ou pour étudier les problèmes qui se produisent. Répondre aux alertes générées lorsque des utilisateurs demandent une assistance à distance.

 

Logiciel Afficher la liste des programmes qui sont installés sur des ordinateurs gérés et trier l'inventaire.

 Licences Télécharger vos informations de termes du contrat de licence Microsoft pour MVLS (Microsoft Volume License Services) et vérifier que les titres des logiciels Microsoft ont une licence.

 Stratégie Configurer des stratégies pour gérer les paramètres pour les mises à jour, la protection contre les programmes malveillants, le Pare-feu Windows et Windows Intune Center sur les ordinateurs gérés.

 Administration Télécharger le logiciel client le plus récent, gérer les comptes d'administrateur, configurer les classifications et les règles d'approbation automatique des mises à jour ainsi que les règles de notification d'alerte.

Dans cette première partie nous allons détailler les items Vue d’ensemble du système, Ordinateurs et Mises à jour

1 - Vue d'ensemble du système

Dans Windows Intune , l'item Vue d'ensemble du système fournit un résumé pour l'évaluation de l'état global d'intégrité des ordinateurs de votre organisation, en identifiant les problèmes et en exécutant des tâches de gestion de base telles que la création de groupes d'ordinateurs et l'affichage des rapports.

 

Pour évaluer l'état d'intégrité des ordinateurs, identifier les problèmes et gérer les ordinateurs, la zone Vue d'ensemble du système fournit les zones suivantes :

• Dans la zone Panneau d'affichage, les alertes fournissent des informations sur les tâches de gestion principales et les liens aux paramètres de configuration et à d'autres zones dans la console de sorte que vous puissiez exécuter des tâches telles que la configuration des approbations automatiques pour les mises à jour et le téléchargement du logiciel client Windows Intune.

• Dans la zone État du système, les récapitulatifs de l'état pour la protection contre les programmes malveillants, les mises à jour et l'intégrité de l'agent vous permettent de rapidement identifier les problèmes et de donner la priorité à ceux nécessitant votre attention immédiate.

• Dans la zone Alertes par type, une liste de toutes les alertes actives groupées par type et triées par niveau de gravité fournit un outil supplémentaire pour évaluer l'état d'intégrité des ordinateurs de votre organisation et pour faire face aux problèmes de manière proactive.

2 - Ordinateurs

L’item Ordinateurs permet de créer et de gérer des groupes d'ordinateurs de manière simple et flexible. La création de groupes sera fonction des besoins de votre organisation (par exemple, par lieux géographique, service ou caractéristiques du matériel). Il sera ensuite possible de déplacer les ordinateurs dans les groupes. Il est important de noter qu’un ordinateur peut appartenir à plus d'un groupe. Il est egalement possible de créer des groupes dans un groupe.

Windows Intune fournit deux groupes d'ordinateurs intégrés qui ne peuvent pas être supprimés : Le groupe Tous les ordinateurs et le groupe Ordinateurs non attribués.

Le groupe Tous les ordinateurs est une liste de tous les ordinateurs gérés. Cette liste est renseignée automatiquement par Windows Intune lorsque vous installer les nouveaux ordinateurs clients.

Le groupe Ordinateurs non attribués est une liste de tous les ordinateurs gérés qui ne sont pas attribués à un groupe créé par l'utilisateur (par défaut à l’installation tous les ordinateurs sont dans ce groupe

La page Vue d'ensemble des ordinateurs fournit des récapitulatifs des états pour les alertes, les Mises à jour afin que vous puissiez rapidement évaluer l'intégrité des ordinateurs de votre organisation et la protection contre les programmes malveillants.

Création d'un groupe d'ordinateurs et ajout d'ordinateurs au groupe

Par défaut, Windows Intune place les ordinateurs nouvellement installés dans le groupe Ordinateurs non attribués. Pour une gestion facile et souple, il est souhaitable de regrouper les ordinateurs de la façon qui répond le mieux aux besoins de votre organisation.

Le portail d’administration Windows Intune permet de créer une hiérarchie de groupes répondant à vos besoins. Par exemple, vous pourriez vouloir organiser vos groupes de la façon suivante :

• Par lieu géographique (par exemple :  « Paris », « Marseille» et « Toulouse »)

• Par service ou fonction (par exemple :  « Ventes », «Marketing » et « IT »)

• Par caractéristiques physiques du matériel ou système d’exploitation (par exemple « Windows 7 », « Windows Vista » ou « Windows XP » ).

Pour créer un groupe : dans la page Vue d'ensemble des ordinateurs, sous Tâches, cliquez sur Créer un groupe d'ordinateurs.

Complétez avec les informations correspondantes au nouveau groupe

• Sous Nom, saisissez un nom pour le groupe

• Sous Description, saisissez une description pour le groupe (facultatif).

• Sous Groupe parent, sélectionnez le groupe parent où le groupe doit être créé (obligatoire). Par défaut, le groupe est créé sous Tous les ordinateurs. Ou bien, vous pouvez sélectionner un autre groupe si vous voulez que le nouveau groupe soit un enfant de ce groupe.

• Sous Membres, cliquez sur Ajouter (facultatif, vous pouvez ajouter des membres plus tard).

• Cliquez sur Créer un groupe d'ordinateurs.

Il est également possible à postériori de rajouter des membres dans les groupes

Au final, on retrouve ces informations en sélectionnant les ordinateurs, par exemple

Voilà, nous avons à présent créé notre hiérarchie.

3 - Mises à jour

L’item Mises à jour permet d’administrer le processus de mise à jour des logiciels pour tous les ordinateurs gérés de votre organisation. Le portail d’administration Windows Intune permet d’afficher, de gérer et d’administrer les mises à jour en proposant notamment des rapports : résumés et détails de l’état des mises à jour)

Lorsqu'une mise à jour est manquante sur ordinateur géré par Windows Intune de votre organisation, une notification de mise à jour s'affiche dans le portail d’administration Windows Intune. Chaque mise à jour contient un ensemble de règles d'application. L'applicabilité d'une mise à jour est déterminée par le matériel et les logiciels installés sur l'ordinateur géré : par exemple le système d’exploitation. En fonction des résultats de cette évaluation, vous pouvez décider d'approuver la mise à jour.

Au fur et à mesure que des mises à jour sont approuvées et installées sur les ordinateurs gérés, l'état de la mise à jour change afin de refléter la réussite ou l'échec de l'installation.

Certaines tâches de configuration sont nécessaires pour la gestion des mises à jour

1.      Sélectionner les classifications et les produits cibles

2.      Configurer les paramètres d’approbation automatique

3.      Approuver manuellement les mises à jour en fonction des alertes

Configuration des paramètres de gestion des mises à jour

En cliquant sur la tâche, il est alors possible de configurer les paramètres du serveur pour les mises à jour

Catégorie de produit

            Permet de définir les produits que l’on souhaite prendre en compte

Par défaut sont actives les mises à jour pour : Office, Silverlight, Windows, Windows Live et Works

Classification de la mise à jour

Permet de définir les classifications à prendre en compte pour les mises à jour

Par défaut sont activés : Mise à jour critique, Mise à jour de la sécurité, Ensemble de mises à jour, Mises à jour de définitions et les Services Pack

Règles d’approbation automatique

Permet d’approuver automatique certaines mises à jour par exemple nous allons créer une approbation automatique pour les mises à jour de sécurité pour Windows

Cliquez sur Nouveau

Dans l’assistant donnez un nom à la règle :

Sélectionnez la catégorie Windows

Sélectionnez les mises à jour de la sécurité

Puis ciblez les machines

Cliquez sur Terminer

Cliquez sur Enregistrer pour valider la règle

 

Il faut ensuite cliquez sur le bouton Exécuter les éléments sélectionnés pour exécuter la règle (car la règle est nouvelle)

L’approbation s’est faite sur les mises à jour de la sécurité

Par  défaut, l’installation des mises à jour se fera sur la machine à 3h du matin (ps : il est possible de forcer cette installation en lançant en tant qu’administrateur du poste la commande wuauclt /detectnow)

 

A noter : l’interface d’administration me permet de disposer des informations sur les mises à jour selon différents critères et leur état

Les mises à jour sont publiées, mises à disposition dans votre environnement en vue de leur déploiement et sont ensuite disponibles pour être approuvées ou refusées par l'administrateur. Les mises à jour passent par plusieurs états, la plupart étant affichés dans la console d'administration en tant que statistiques liées ou filtres d'affichage. Le tableau ci-après décrit ces différents états. Sauf mention contraire, les états décrits se rapportent à une seule mise à jour sur un seul ordinateur.

État	Application	Description
État spécifique à une mise à jour (s'applique uniquement à une mise à jour)	Approbation accordée	À l'aide de la fenêtre Approuver, l'administrateur a spécifié les groupes pour lesquels l'opération Installer, Ne pas installer ou Désinstaller doit être effectuée pour cette mise à jour.
	Refusé	L'administrateur a refusé la mise à jour, de sorte qu'elle ne sera déployée sur aucun ordinateur.
État spécifique à un ordinateur et une mise à jour (s'applique aussi bien à un ordinateur qu'à une mise à jour)	Inconnu	La mise à jour a été publiée et est prête pour le déploiement dans la console d'administration, mais elle n'a pas encore été évaluée par l'ordinateur.
	Requis	L'ordinateur a évalué les règles d'applicabilité de la mise à jour et a demandé qu'elle soit déployée pour l'installation, via son appartenance à un groupe.
	Échec	L'ordinateur a tenté d'installer la mise à jour mais a échoué.
	En attente	L'administrateur a indiqué que la mise à jour devait être installée sur l'ordinateur mais ce dernier n'a pas encore commencé l'installation.
	Mises à jour supplémentaires requises	L'administrateur a décidé de ne pas installer la mise à jour sur l'ordinateur mais ce dernier demande que l'installation soit effectuée (comme défini par les règles d'applicabilité).