Windows Intune et gestion de l’identité
La gestion de l’identité avec Windows Intune est un sujet important qui nécessite clarification. En effet de nombreuses options existent et suivant le besoin du client, telle ou telle option peut être la mieux adaptée. L’objectif de cet article est de clarifier au mieux les différentes options.
Tout d’abord, deux points fondamentaux:
. Client déjà sous Office 365: un client qui utilise déjà Office 365 et a donc déjà mis en place la gestion de l’identité, n’a pas besoin de le faire à nouveau avec Windows Intune. En effet (si les deux solutions partagent le même environnement bien sûr), les deux solutions utilisent le même referential utilisateurs.
. Gestion de l’identité non obligatoire dans certains cas. La gestion de l’identité est nécessaire uniquement dans les cas suivants: mise à disposition d’applications pour les postes de travail (mode ‘pull’) et gestion des telephones mobiles/tablettes. Dans le cas ‘simple’ où le client souhaite uniquement gérer ses postes de travail, les mettre à jour, forcer l’installation de logiciels, cette notion d’identité n’est pas nécessaire.
Dans le cas où le client souhaite gérer les utilisateurs et ne l’a pas déjà realisé avec Office 365, voice les points importants à comprendre:
1. Création des comptes utilisateurs
Cette creation peut se réaliser de différentes façons:
. Manuelle: les utilisateurs sont créés un à un. Très pratique lors d’un test simple
. Import de fichier csv
. Intégration avec l’Active Directory en utilisant l’outil dirsync. Cet outil – fourni avec le service Windows Intune – (qui doit être installé sur un serveur interne) permet de synchronizer les données de l’Active Directory vers Windows Intune.
2. Gestion des mots de passe
Même dans le cas de la synchronisation avec l’Active Directory (AD), les mots de passe ne sont pas synchronisés pour des raisons de sécurité. Par défaut donc, un utilisateur aura un mot de passe sur son AD et un autre mot de passe pour les services Online (Windows Intune). Pour éviter d’avoir deux mots de passe différents, deux solutions peuvent être envisagées:
. Synchronisation du ‘hash’ des mots de passe: ‘Password synchronization’. Depuis peu, l’outil de synchronization de de l’AD (cf. #1 au-dessus) propose une option supplémentaire pour synchronizer le ‘hash’ des mots de passe. Si cette option est activée, l’utilisateur aura le meme mot de passe pour son AD et pour les services Online (ici Windows Intune).
. Utilisation de la Fédération d’identité: ADFS. En installant un serveur ADFS en interne chez le client, un utilisateur qui se connecte sur son AD, récupèrera également un jeton du serveur ADFS, lequel jeton permettra d’accéder aux services Online (ici Windows Intune) sans avoir besoin de s’authentifier à nouveau.
L’intérêt d’ADFS est de permettre un véritable SSO (Single Sign On). A noter toutefois dans le cas de l’usage d’ADFS:
. la nécessité de maintenir les serveurs ADFS. Il faut en effet en avoir un (voire 2 pour la redondance) en interne, un (voire 2) en DMZ
. le ‘Single Point of Failure’ d’ADFS. Si le serveur ADFS est indisponible, l’utilisateur ne pourra pas accede aux services Online (ici Windows Intune).
Les clients peuvent également héberger cet outil de synchronization d’annuaire et ces serveurs ADFS sur Windows Azure, modulo la licence Windows Azure requise.
Pour plus d’informations, je vous recommande:
. Ce Papier Blanc. Il est spécifique à Office 365 mais s’applique parfaitement et en tout point à Windows Intune.
. Cet article qui explique bien les différentes méthodes pour la gestion des mots de passe.