Capacité d'optimisation d'infrastructure : gestion des ordinateurs de bureau, périphériques et serveurs - du niveau de base au niveau standardisé

Sur cette page

Présentation Présentation
Exigence : distribution automatisée des correctifs aux ordinateurs de bureau et portables Exigence : distribution automatisée des correctifs aux ordinateurs de bureau et portables
Point de contrôle : distribution automatisée des correctifs aux ordinateurs de bureau et portables Point de contrôle : distribution automatisée des correctifs aux ordinateurs de bureau et portables
Exigence : images standard définies pour les ordinateurs de bureau et portables Exigence : images standard définies pour les ordinateurs de bureau et portables
Point de contrôle : images standard définies pour les ordinateurs de bureau et portables Point de contrôle : images standard définies pour les ordinateurs de bureau et portables
Exigence : gestion centralisée des périphériques mobiles Exigence : gestion centralisée des périphériques mobiles
Point de contrôle : gestion centralisée des périphériques mobiles Point de contrôle : gestion centralisée des périphériques mobiles
Exigence : validation des identités, protection des données et sauvegarde des données des périphériques mobiles Exigence : validation des identités, protection des données et sauvegarde des données des périphériques mobiles
Point de contrôle : validation des identités, protection des données et sauvegarde des données des périphériques mobiles Point de contrôle : validation des identités, protection des données et sauvegarde des données des périphériques mobiles
Exigence : consolidation des images de bureau vers deux versions de système d'exploitation Exigence : consolidation des images de bureau vers deux versions de système d'exploitation
Point de contrôle : consolidation des images de bureau vers deux versions de système d'exploitation Point de contrôle : consolidation des images de bureau vers deux versions de système d'exploitation

Présentation

La gestion des ordinateurs de bureau, périphériques et serveurs est la deuxième capacité associée à l'optimisation d'infrastructure. Le tableau suivant décrit les principaux enjeux, les solutions applicables et les avantages du passage au niveau standardisé en termes de gestion des ordinateurs de bureau, périphériques et serveurs.

Enjeux

Solutions

Avantages

Enjeux métier

Risque d'accès non autorisé aux données confidentielles sur les périphériques mobiles

Incapacité à définir des stratégies pour périphériques mobiles par organisation ou par unité

Stratégies pour les paramètres des périphériques

Absence de normes d'entreprise centralisées pour la gestion ou l'application de stratégies pour périphériques

Enjeux informatiques

Absence de normes pour le matériel, les systèmes d'exploitation et les applications

Les ordinateurs de bureau ne sont pas gérés de manière centralisée, ce qui se traduit par des coûts d'exploitation et de distribution de logiciels plus élevés

L'absence de cohésion dans la gestion des correctifs augmente le nombre de failles de sécurité

La forte réactivité du service informatique se traduit par l'utilisation de ressources pour lutter contre les problèmes imprévus

Incapacité à supprimer à distance les données des périphériques perdus ou volés

Projets

Déployer une solution de gestion des correctifs automatisée et centralisée

Implémenter une solution de déploiement Lite Touch basée sur une image

Implémenter une solution de gestion pour analyser les serveurs critiques

Implémenter une solution de configuration des périphériques mobiles, qui comprend la configuration de la stratégie de sécurité, l'effacement à distance et la mise en application de la stratégie

Avantages métier

Les employés itinérants restent à jour grâce à une connectivité directe entre les réseaux d'entreprise et les périphériques

L'utilisation d'un outil de gestion système aura pour effet de réduire les coûts de gestion par PC

Avantages informatiques

Les services d'analyse permettent de simplifier l'identification des problèmes, de déterminer rapidement la cause du problème et de restaurer efficacement les services afin d'empêcher tout problème informatique potentiel

Déploiement de PC plus rapide et moins coûteux

Diminution des coûts d'assistance et d'exploitation

Les administrateurs peuvent contribuer à la protection et à la conformité des données avec les stratégies de sécurité de l'entreprise, notamment grâce à la définition de stratégies des mots de passe et au nettoyage des périphériques à distance.

Le niveau standardisé du modèle d'optimisation d'infrastructure s'intéresse aux principaux domaines de gestion, à savoir :

  • distribution automatisée des correctifs aux ordinateurs de bureau et portables ;

  • images standard définies pour les ordinateurs de bureau et portables ;

  • consolidation des images de bureau vers deux versions de système d'exploitation ;

  • gestion centralisée des périphériques mobiles ;

  • validation des identités, protection des données et sauvegarde des données des périphériques mobiles.

Le niveau standardisé d'optimisation exige que votre organisation ait mis en place des procédures et des outils afin d'automatiser la distribution des correctifs, de gérer et consolider les images de bureau standard et de gérer de manière centralisée les périphériques mobiles connectés.

Exigence : distribution automatisée des correctifs aux ordinateurs de bureau et portables

Public visé

Nous vous recommandons de lire cette section si vous n'avez pas mis en place de processus de distribution de correctifs automatisé pour au moins 80 % de vos ordinateurs de bureau et portables.

Vue d'ensemble

Les informaticiens sont aujourd'hui confrontés à d'immenses défis lorsqu'il s'agit d'implémenter une stratégie de gestion des mises à jour logicielles efficace : le nombre de périphériques et d'utilisateurs itinérants accédant aux réseaux d'entreprise est dorénavant plus important ; des mises à jour de sécurité sont constamment mises à disposition par les fournisseurs de logiciels et de matériel ; l'espace occupé par les systèmes et les applications augmente ; de nouvelles menaces de sécurité sont identifiées de façon quasi quotidienne ; et la communauté de pirates informatiques est désormais beaucoup plus performante.

Phase 1 : analyse

La phase d'analyse est la première étape importante du processus de gestion des correctifs. Si le processus commence par une analyse, c'est parce que vous devrez identifier les éléments qui composent votre environnement de production, les menaces et les failles de sécurité auxquelles vous risquez d'être confronté, et si votre organisation est prêt à répondre à une nouvelle mise à jour logicielle d'application ou de système d'exploitation.

Dans l'idéal, vous devriez appliquer ce processus en continu afin de savoir en permanence de quelles ressources informatiques vous disposez, comment les protéger et comment vous assurer que votre architecture de distribution de logiciels est capable de prendre en charge la gestion des correctifs.

Une évaluation en continu consiste essentiellement à :

  • inventorier/détecter les ressources informatiques existantes ;

  • analyser les menaces et les failles de sécurité ;

  • identifier la meilleure source d’informations sur les mises à jour de logiciels ;

  • assurer le contrôle de version des logiciels pour maintenir les versions d'application standard ;

  • analyser l’infrastructure de distribution de logiciels existante ;

  • analyser l’efficacité de vos opérations.

Microsoft propose plusieurs outils, utilitaires et produits qui visent à faciliter la phase d'analyse du processus de gestion des correctifs. Parmi ces technologies figurent les suivantes :

Vous trouverez un comparatif de ces outils à la fin de cette section. Certains partenaires de Microsoft et éditeurs tiers proposent d'autres produits et outils que vous pouvez utiliser lors de la phase d'analyse.

Phase 2 : identification

La phase d'identification a pour objectif de :

  • détecter de nouvelles mises à jour de logiciels de manière fiable ;

  • déterminer si des mises à jour de logiciels s’appliquent à votre environnement de production ;

  • obtenir des fichiers sources de mise à jour de logiciel et de confirmer qu’ils sont sûrs et vont s’installer sans problème ;

  • déterminer si la mise à jour logicielle doit être considérée comme une urgence.

La détection d’une nouvelle mise à jour commence par la notification. Celle-ci doit être fournie via un abonnement à une source fiable mettant en œuvre des activités d’analyse et de rapport ou par tout autre mécanisme de notification fiable. Les mécanismes de notification les plus couramment utilisés sont les suivants :

Vous pouvez déterminer si une mise à jour logicielle est applicable à votre infrastructure informatique en employant les méthodes de filtrage suivantes :

  • lecture des bulletins de sécurité et des articles de la Base de connaissances ;

  • vérification de chaque mise à jour de logiciel.

Après avoir obtenu la mise à jour, il convient d'effectuer des vérifications par le biais des opérations suivantes :

  • identification et vérification de la mise à jour de logiciel ;

  • lecture de toute la documentation associée ;

  • vérification antivirus de la mise à jour logicielle.

Phase 3 : évaluation et planification

Durant la phase d’évaluation et de planification, votre objectif est de décider de l’opportunité de déployer la mise à jour du logiciel, de déterminer les ressources dont vous avez besoin pour la déployer et de la tester dans un environnement de type production afin de vous assurer qu’elle ne compromet pas les systèmes et applications métier stratégiques.

Les principales exigences de la phase d'évaluation et de planification sont les suivantes :

  • déterminer les actions appropriées ;

  • planifier la diffusion de la mise à jour de logiciel ;

  • générer la version ;

  • mener les tests d’acceptation de la version.

Pour savoir comment réagir à la mise à disposition d'une mise à jour, vous devez :

  • établir la priorité de la demande et la classifier ;

  • obtenir l'autorisation de déploiement de la mise à jour logicielle.

Le planning de diffusion est le processus qui consiste à déterminer comment vous allez diffuser la mise à jour de logiciel dans l’environnement de production. Voici les principaux point à prendre en considération au moment de planifier la diffusion d'une nouvelle mise à jour logicielle :

  • définir la cible des correctifs ;

  • identifier les principaux problèmes et contraintes ;

  • élaborer le plan de diffusion.

Pour générer la version, vous devez développer les scripts, les outils et les procédures que les administrateurs utiliseront pour déployer la mise à jour logicielle dans l'environnement de production.

Quel que soit le degré d'importance prêté à la mise à jour logicielle, il est recommandé d'observer une phase de test qui doit déboucher sur les résultats suivants :

  • à l'issue de l'installation de la mise à jour logicielle, l'ordinateur doit redémarrer et fonctionner sans incident ;

  • la mise à jour logicielle, si elle est destinée à des ordinateurs connectés via des connexions réseau lentes ou peu fiables, peut être téléchargée sur ces liens et, une fois cette opération terminée, elle s’installe correctement ;

  • la mise à jour logicielle est fournie avec un programme de désinstallation utilisable pour sa suppression ;

  • les systèmes et les services stratégiques continuent de fonctionner après l'installation de la mise à jour logicielle. L'ordinateur a redémarré, dans le cas où il s'agissait d'une étape nécessaire.

Il est recommandé de mettre en place une infrastructure de test et de validation afin de tester les mises à jour logicielles avant leur déploiement dans l'environnement de production. Pour obtenir des conseils sur la procédure de création d'un environnement de tests et d'émulation, reportez-vous à l'article Environnements virtuels WSSRA pour le développement et les tests.

Microsoft Virtual Server 2005 R2 et Microsoft Virtual PC 2004 SP1 sont des produits téléchargeables gratuitement qui peuvent être utilisés dans le cadre de votre infrastructure de test et de validation.

Phase 4 : déploiement

Durant la phase de déploiement, votre objectif est de déployer avec succès la mise à jour du logiciel approuvée dans votre environnement de production afin de satisfaire l’ensemble des exigences des contrats de niveau de service (SLA) sur les déploiements en place.

Le déploiement d’une mise à jour de logiciel doit se composer des activités suivantes :

  • préparation au déploiement ;

  • déploiement de la mise à jour de logiciel sur les ordinateurs clients ;

  • analyse post-déploiement.

L’environnement de production doit être préparé pour chaque nouvelle version. La procédure de préparation de la mise à jour de logiciel en vue du déploiement doit être la suivante :

  • communication du planning de déploiement à l’entreprise ;

  • échelonnement des mises à jour sur les points de distribution.

Les étapes requises pour déployer une mise à jour de logiciel en production doivent être les suivantes :

  • annonce de la mise à jour de logiciel aux ordinateurs clients ;

  • surveillance de la progression du déploiement et établissement de rapports ;

  • gestion des déploiements défectueux.

La révision après implémentation doit, en règle générale, être effectuée dans les quatre semaines suivant le déploiement d’une version afin d’identifier les améliorations qui doivent être apportées par le processus de gestion des correctifs. L'analyse comprend généralement les tâches suivantes qui consistent à :

  • s’assurer que les vulnérabilités sont ajoutées à vos rapports d’analyse de vulnérabilité et aux normes de sécurité, de façon à ce que l’attaque ne puisse pas se reproduire ;

  • s’assurer que les images de la version ont été mises à jour avec les toutes dernières mises à jour de logiciels à la suite du déploiement ;

  • discuter des résultats attendus par rapport aux résultats réels ;

  • étudier les risques associés à la version ;

  • analyser les performances de votre entreprise tout au long de l’incident ; profiter de cette opportunité pour améliorer votre plan de réponse afin de tenir compte des leçons apprises ;

  • étudier les modifications dans vos plages de service.

Opérations

Le processus de gestion des correctifs est un cycle permanent et répétitif. Bien que la partie Opérations ne constitue pas une phase de gestion des correctifs du modèle d'optimisation d'infrastructure, il est nécessaire que les opérations informatiques définissent la fréquence d'application de correctifs qui répond le mieux aux besoins de votre organisation et à ses objectifs de sécurité. Votre organisation doit définir un système pour déterminer la nature critique des correctifs diffusés, ainsi qu'un niveau de service pour chaque niveau de diffusion de correctif.

Outils disponibles

La distribution et l'installation de mises à jour logicielles peuvent être automatisées grâce à divers outils et produits. Comme indiqué dans les recommandations en matière de diffusion de correctifs, il est indispensable d'exercer un contrôle manuel pour identifier les correctifs installés sur les ordinateurs gérés. L'exécution des Mises à jour automatiques ou de Microsoft Update sans aucun contrôle est contraire aux meilleures pratiques de gestion des correctifs pour les organisations ; toutefois, il est possible d'utiliser ces technologies dans certains cas, notamment lorsque le personnel informatique est limité ou que les utilisateurs se situent hors site ou ne sont pas gérés.

Il est recommandé d'utiliser Systems Management Server 2003 (SMS 2003) et Windows Server Update Services (WSUS) pour la gestion des mises à jour logicielles. Outre ces options, vous pouvez employer les outils de gestion des correctifs développés par les partenaires de Microsoft et les autres éditeurs tiers.

Le tableau suivant répertorie les outils logiciels disponibles auprès de Microsoft pour effectuer l'installation de mises à jour logicielles.

Fonctionnalité

Microsoft Update
(MU)

Windows Server Update Services
(WSUS)

Systems Management Server 2003
(SMS 2003)

Types de contenu pris en charge

Toute mise à jour de logiciel, de pilote, Service Packs (SP) et Feature Packs (FP)

Comme MU, hormis pour les pilotes (mises à jour critiques uniquement)

L'ensemble des mises à jour, SP et FP prend en charge les installations de mises à jour et d'applications Windows

Conditions d'application

Utilisateurs individuels

Petites et moyennes entreprises

Clients Entreprise

Champ d'application des outils dans le processus de correction

Le tableau suivant répertorie les principales fonctions des outils dans le processus de correction :  

Produit ou outil

Inventaire matériel et logiciel

Recherche de cible pour les mises à jour

Identification des nouvelles mises à jour

Contrôle de l'installation par l'administrateur

Déploiement automatisé

SMS 2003 avec ITMU

Tick

Tick

Tick

Tick

Tick

WSUS  

 

Tick

Tick

Tick

Tick

MBSA

 

Tick

 

 

 

ACT

Tick

 

 

 

 

SMS 2003 DCM

Tick

Tick

 

 

 

Les outils d'analyse de compatibilité des applications (ACT) ont été inclus dans ce tableau, car leurs fonctionnalités permettent d'identifier les caractéristiques techniques du matériel et l'inventaire des applications installées sur les ordinateurs clients. Ces outils effectuent également une analyse et un compte-rendu de l'impact des mises à jour sur les applications.

Pour assurer la gestion d'une configuration standard, il est indispensable de vérifier que l'ensemble des mises à jour logicielles et des Service Packs souhaités est installé. Systems Management Server 2003 Desired Configuration Monitoring (DCM) a été inclus dans cette liste en raison de son aptitude à analyser la compatibilité d'un état de configuration connu et à informer les administrateurs de l'absence éventuelle des mises à jour ou des Service Packs demandés sur les ordinateurs gérés.

Dans une prochaine série de guides des ressources d'optimisation d'infrastructure pour les responsables de l'implémentation, vous trouverez des conseils sur la gestion des correctifs, avec la présentation d'outils et de procédures de gestion des mises à jour pour serveurs et périphériques mobiles.

Informations complémentaires

Pour plus d'informations sur la gestion des correctifs, accédez au site Microsoft TechNet et lancez une recherche sur « Gestion des correctifs » ou consultez le Centre de solutions de gestion de mises à jour TechNet.

Pour savoir comment Microsoft aborde la gestion des correctifs, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/dtpatchmgmt.mspx.

Point de contrôle : distribution automatisée des correctifs aux ordinateurs de bureau et portables

Tick

Exigence

 

Des processus et outils ont été implémentés pour l'inventaire matériel et logiciel.

 

Des processus et outils ont été implémentés pour vérifier la présence des mises à jour logicielles sur les ordinateurs clients.

 

Un processus a été mis en place pour identifier automatiquement les correctifs disponibles.

 

Une procédure de test standard a été définie pour chaque correctif.

 

Un logiciel de distribution des correctifs a été implémenté.

Si vous avez exécuté les étapes précédentes, votre organisation répond aux exigences minimales du niveau standardisé de l'exigence Distribution de correctifs automatisée de cette capacité, qui est basée sur le modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière d'analyse et de gestion des configurations pour vous assurer que les niveaux de correction des clients se maintiennent à un standard connu.

Passez à la question d'auto-évaluation suivante.

Exigence : images standard définies pour les ordinateurs de bureau et portables

Public visé

Nous vous recommandons de lire cette section si vous n'avez pas défini de jeu d'images de base pour au moins 80 % de vos ordinateurs de bureau.

Vue d'ensemble

Pour réussir le déploiement d'un système d'exploitation, les organisations doivent non seulement suivre les meilleures pratiques, mais également utiliser ce qui se fait de mieux en matière de processus technologiques et métier afin d'optimiser ces technologies. En développant des bases de référence pour l'environnement informatique, les organisations disposent d'une configuration fixe et connue pour le déploiement, ce qui réduit le coût de l'assistance, du dépannage et des autres opérations. Dans le cadre d'un déploiement de station de travail, la création d'images permet d'utiliser une version standard qui intègre les applications de base, le système d'exploitation et les éléments supplémentaires jugés nécessaires par l'organisation. Ce document répertorie les outils disponibles et la procédure à suivre pour automatiser et établir des images de bureau standard. Le déploiement d'images standard sera traité dans des documents ultérieurs.

Phase 1 : analyse

La plupart des informaticiens chargés de l'implémentation partagent un même objectif : créer une configuration de bureau standard, à l'échelle de la société, qui soit basée sur une image commune pour chaque version de système d'exploitation utilisée dans l'organisation. Ils pourraient ainsi appliquer à tout moment une image commune à n'importe quel ordinateur, dans quelque région que ce soit, pour ensuite la personnaliser rapidement afin de fournir des services aux utilisateurs.

Or, dans la réalité, la plupart des organisations génèrent et gèrent de nombreuses images (parfois jusqu'à 100 images différentes). Par des compromis techniques et d'assistance, des achats en matériel disciplinés et des techniques de script élaborées, certaines organisations sont parvenues à réduire le nombre d'images gérées à quelques exemplaires seulement. En règle générale, ces organisations possèdent les infrastructures de distribution de logiciels nécessaires au déploiement d'applications (souvent avant même leur première utilisation) et les tiennent à jour.

Lors de la phase d'analyse, il est important d'inventorier vos stations de travail et de déterminer le nombre de systèmes d'exploitation et d'applications actifs dans votre environnement. Nous vous recommandons d'utiliser un outil permettant d'automatiser le processus d'inventaire, tels que Systems Management Server (SMS) 2003, les outils d'analyse de compatibilité des applications ou Windows Vista Hardware Assessment.

Phase 2 : identification

Durant cette phase, vous devrez recenser les technologies de création d'images de disque et les images standard éventuellement utilisées dans votre organisation et identifier la direction, les outils et les techniques de création d'images que vous entendez implémenter. Les avancées en matière de technologie de création d'images de bureau devraient vous inciter à envisager de mettre à jour vos outils et vos pratiques en matière de création d'images.

Nombreux sont les outils qui permettent de capturer une image de bureau. La technologie de création d'images peut être basée sur le secteur et s'avérer généralement destructrice quand elle est appliquée à l'ordinateur cible, comme elle peut être basée sur un fichier et ne pas être destructrice. En utilisant une technologie de création d'images basée sur un fichier, vous pouvez installer de nouvelles images dans une partition distincte des PC visés par le déploiement, ce qui autorise des scénarios de migration sur place élaborés.

Microsoft propose un outil de ligne de commande gratuit qui permet la création d'images de disque. Cet utilitaire de création d'images, appelé ImageX, utilise le format d'image Microsoft WIM (Windows Imaging). Contrairement à un format d'image basé sur un secteur, le format d'image WIM est basé sur un fichier et n'est pas destructeur. Le Feature Pack de déploiement de système d'exploitation pour SMS 2003 utilise également la technologie ImageX et le format de fichier WIM pour créer et déployer des images de bureau.

D'autres outils disponibles dans Solution Accelerator for Business Desktop Deployment (BDD) 2007 permettent d'intégrer certaines des étapes nécessaires à la définition et au déploiement d'images de bureau. Par exemple, l'outil Deployment Workbench, qui est contenu dans BDD 2007, permet de créer des partages de distribution et de développer des images de disque. Les sections traitant du déploiement automatisé dans les prochaines versions des guides des ressources pour les responsables de l'implémentation décriront plus en détail BDD 2007 et Deployment Workbench.

Phase 3 : évaluation et planification

Au cours de la phase d'évaluation et de planification, vous discuterez des différentes approches que votre organisation peut adopter pour implémenter une stratégie de création d'images de bureau standardisée. Vous devrez mettre en balance le coût et les avantages de chaque technologie de création d'images et de chaque type d'image pour développer une stratégie qui réponde le mieux aux besoins de votre organisation. Les facteurs qui ont une incidence sur les coûts associés à la génération, à la gestion et au déploiement d'images de disque sont les coûts de développement, les coûts de test, les coûts de stockage et les coûts de réseau.

Les coûts sont proportionnels à la taille des fichiers d'image. En effet, plus les images sont volumineuses, plus les coûts de mise à jour, de test, de distribution, de réseau et de stockage associés sont importants. Même si la mise à jour ne concerne qu'une infime partie de l'image, les administrateurs d'images doivent distribuer le fichier entier aux ordinateurs clients.

Les trois principales stratégies en matière d'images standard sont les suivantes :

  • images épaisses ;

  • images fines ;

  • images hybrides.

Images épaisses

Les images épaisses contiennent le système d'exploitation, des applications et d'autres fichiers types de la société. L'avantage des images épaisses est la simplicité : le déploiement s'effectue en une seule étape, car tous les fichiers sont déployés simultanément. De même, les applications sont disponibles dès la première exécution. Leurs inconvénients sont les coûts de maintenance, de stockage et de réseau. Par ailleurs, les images épaisses offrent une souplesse limitée. Soit tous les ordinateurs reçoivent l'ensemble des applications, qu'elles soient utiles ou pas, soit il convient de développer et de gérer de nombreuses images épaisses distinctes. L'utilisation d'images épaisses est une approche courante assez ancienne.

Images fines

Les images fines contiennent peu ou pas d'applications. Les avantages des images fines sont nombreux. Leur coût de génération, de maintenance et de test est moins élevé. Les coûts de réseau et de stockage sont inférieurs. Elles offrent une souplesse bien plus importante. Toutefois, cette souplesse se traduit par une augmentation des coûts de déploiement et de mise en réseau.

Images hybrides

Les images hybrides représentent un compromis entre les images épaisses et les images fines. Dans une image hybride, l'image de disque est configurée de façon à installer les applications à la première exécution, ce qui l'apparente à une image fine, sauf que les applications sont installées à partir d'une source réseau. Les images hybrides offrent la plupart des avantages des images minces, sans les inconvénients liés à leur développement complexe et à la nécessité de disposer d'une infrastructure de distribution de logiciels. En revanche, les temps d'installation sont plus longs, ce qui peut augmenter les coûts de déploiement initiaux.

Il existe une alternative qui consiste à commencer avec une image fine testée et de générer une image épaisse par-dessus. La phase de test de l'image fine est réduite au minimum, car le processus de création d'image est pour l'essentiel identique à un déploiement normal.

L'autre solution est d'ajouter un nombre minimale d'applications de base à une image mince. Il peut s'agir d'antivirus et d'applications sectorielles (LOB) dont doivent être équipés tous les ordinateurs de la société.

Développement

Vous trouverez des conseils en matière de développement d'images de bureau dans Solution Accelerator for Business Desktop Deployment (BDD) 2007 et dans le Guide d'équipe technique des systèmes d'image d'ordinateur. BDD 2007 évoque les technologies de création d'images mises à disposition par Microsoft et la façon dont elles sont utilisées pour personnaliser, générer, capturer et déployer des images de disque pour les systèmes d'exploitation d'ordinateurs de bureau Windows XP SP2 et Windows Vista™.

Protocole de test

Une autre partie importante de la phase de développement est celle de la création d'un protocole de test. Vous devez identifier tous les scénarios de configuration dans lesquels l'image de disque doit fonctionner. Ces configurations englobent à la fois le matériel et les processus métier pris en charge par les ordinateurs clients. Il est important de disposer d'un mécanisme de rapport et de suivi des bogues pour veiller à la résolution de tous les problèmes survenus lors des tests.

Stabilisation

L'image et le processus de déploiement créés durant la phase de développement doivent être entièrement testés et stabilisés avant le déploiement dans l'entreprise. Vous devez suivre scrupuleusement le protocole de test créé à l'étape de planification. Tous les problèmes rencontrés doivent être consignés et suivis à l'aide d'un système de rapport de bogues. Une fois que tous les bogues ont été résolus, les images finales peuvent être déployées sur les ordinateurs clients.

Phase 4 : déploiement

La phase de déploiement d'images est également traitée dans le guide à destination des équipes en charge de la fonctionnalité de déploiement qui se trouve dans BDD 2007. Le niveau standardisé d'optimisation d'infrastructure recommande une installation Lite Touch (LTI) des images de disque standard.

L'installation Lite Touch de BDD 2007 nécessite une infrastructure minimale. Vous pouvez déployer les systèmes d'exploitation cibles sur un réseau par le biais d'un dossier partagé ou bien en local en utilisant un support de stockage amovible, tel qu'un CD, un DVD, un disque dur USB ou tout autre dispositif. Les paramètres de configuration de chaque ordinateur individuel sont généralement fournis manuellement pendant le processus de déploiement. Pour plus d'informations, consultez le guide à destination des équipes en charge de la fonctionnalité de déploiement de BDD 2007.

Opérations

La maintenance des images finales est un processus permanent. Les mises à jour qui portent sur le système d'exploitation, les pilotes de périphériques et les applications doivent être analysées pour déterminer si elles sont salutaires pour votre entreprise. Soit elles doivent être intégrées à l'image existante, soit il convient de générer des images entièrement nouvelles. Vous devez ensuite tester et valider les images finales avant de pouvoir les déployer sur les ordinateurs clients.

Outils disponibles

Technologies Microsoft

Produit, outil ou utilitaire

Utilisation

Business Desktop Deployment 2007 (BDD 2007)

Méthodologies et outils globaux de création, capture et déploiement d'images. Utilise Deployment Workbench pour intégrer une grande partie des outils et des utilitaires répertoriés dans ce tableau.

Kit d'installation automatisée (Windows AIK)

Windows AIK est un jeu d'outils de déploiement qui prend en charge les dernières versions de Windows ; il comprend des méthodes, des outils et des consignes pour déployer Windows.

Windows Preinstallation Environment (Windows PE)

Composant de Windows AIK. Windows PE est un outil démarrable Microsoft qui fournit des fonctionnalités de système d'exploitation pour l'installation, le dépannage et la récupération.

Windows System Image Manager (Windows SIM)

Composant de Windows AIK. Windows SIM permet la création de fichiers de réponse (Unattend.xml) et de partages réseau ou la modification des fichiers contenus dans un jeu de configuration.

System Preparation Tool (Sysprep)

Composant de Windows AIK. Sysprep facilite la création d'images et permet de les préparer à un déploiement sur plusieurs ordinateurs clients.

ImageX

Composant de Windows AIK. Outil de ligne de commande qui capture, modifie et applique les images d'installation à déployer.

Image Windows

Fichier unique compressé contenant une collection de fichiers et de dossiers qui dupliquent une installation Windows sur un volume de disque. Une image Windows se présente sous la forme d'un fichier WIM et peut être créée à l'aide d'ImageX ou du Feature Pack de déploiement de système d'exploitation pour Systems Management Server 2003.

Autres produits disponibles

Produit

Fournisseur

Ghost

Symantec

PowerQuest

Symantec

Point de contrôle : images standard définies pour les ordinateurs de bureau et portables

Tick

Exigence

 

Des outils sont utilisés pour capturer une image standard.

 

Une stratégie a été définie pour les images standard.

 

Un jeu d'images de disque standard (système d'exploitation et applications) a été défini pour toutes les types de matériel.

 

Des outils de déploiement ont été mis en place pour l'installation d'images à partir du réseau ou hors connexion.

Si vous avez exécuté les étapes précédentes, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Images standard définies pour les ordinateurs de bureau et portables des capacités Gestion des ordinateurs de bureau, périphériques et serveurs du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière de gestion des images, lesquelles sont abordées dans le guide des équipes en charge de la fonctionnalité de système de création d'images d'ordinateur qui se trouve dans BDD 2007.

Passez à la question d'auto-évaluation suivante.

Exigence : gestion centralisée des périphériques mobiles

Public visé

Nous vous recommandons de lire cette section si vous ne disposez pas d'une solution centralisée de suivi, de gestion et de mises à jour de vos périphériques mobiles.

Vue d'ensemble

Partout dans le monde, les organisations utilisent des périphériques mobiles pour accélérer le cycle des affaires, accroître la productivité, réduire les charges d'exploitation et développer leur infrastructure. Devant l'utilisation croissante de périphériques mobiles, il est essentiel que les administrateurs maîtrisent leur environnement mobile pour s'assurer que les utilisateurs disposent d'un accès sécurisé au réseau de l'entreprise et pour offrir de nouvelles fonctionnalités tout en exploitant l'infrastructure existante.

La gestion de périphériques mobiles étant un concept relativement nouveau, les offres de Microsoft et de ses partenaires pour compléter les outils de gestion de périphériques de type client et serveur sont encore limitées.

Phase 1 : analyse

Lors de la phase d'analyse, il est important de faire l'inventaire des périphériques mobiles connectés à votre infrastructure et de déterminer le nombre de personnes qui en utilisent actuellement. Les organisations doivent suivre et gérer plusieurs éléments liés à l'utilisation de périphériques mobiles. Pour passer du niveau de base au niveau standardisé, vous devez gérer de manière centralisée les domaines suivants :

  • détection et suivi du matériel mobile ;

  • suivi, distribution et mise à jour des logiciels « mobiles » ;

  • synchronisation des données ;

  • sécurité proactive et réactive des données ;

  • procédures définies pour la mise hors service des périphériques mobiles réformés.

Cette section fournit des informations sur les outils et les processus qui permettent de gérer ces domaines. Les sections suivantes présentent les outils Microsoft destinés à gérer les périphériques mobiles.

Phase 2 : identification

Durant la phase d'identification, votre organisation doit développer et mettre en œuvre une solution de détection permanente des périphériques mobiles connectés à votre réseau et déterminer la stratégie de gestion des périphériques mobiles à un niveau conforme à vos besoins. Selon votre entreprise et ses besoins en matière de sécurité des données, les utilisateurs finaux peuvent se connecter à votre réseau avec des périphériques personnels plus ou moins contrôlés ou avec des périphériques gérés fournis par la société. L'identification des périphériques connectés peut se faire manuellement à partir des informations fournies spontanément par les utilisateurs ou à l'aide d'outils destinés à détecter les périphériques se connectant au réseau.

Phase 3 : évaluation et planification

Lors de la phase d'évaluation et de planification, votre organisation doit examiner les outils ou les technologies qu'elle peut utiliser pour faciliter la gestion des périphériques mobiles. Les principaux produits actuellement disponibles auprès de Microsoft sont Microsoft® Exchange Server avec ActiveSync®, Direct Push, Remote Wipe et le pack de gestion des appareils Systems Management Server (SMS) 2003. D'autres produits de gestion de périphériques mobiles sont proposés par des partenaires de Microsoft et des éditeurs de logiciels, tels qu'Odyssey Software, Bluefire ou iAnywhere.

Exchange Server 2003 et Exchange Server 2007

Avec Exchange Server 2003 et Exchange Server 2007, Microsoft a introduit de nouvelles fonctionnalités en matière de gestion de périphériques mobiles Windows. Les technologies pour périphériques mobiles intégrées à Exchange Server 2003 et Exchange Server 2007 sont ActiveSync, les stratégies de sécurité des périphériques appliquées à distance et la fonctionnalité d'effacement à distance.

La synchronisation sans fil des périphériques Microsoft® Windows Mobile® à l'aide de la technologie intégrée Exchange ActiveSync exige la présence d'au moins un serveur exécutant Exchange Server dans votre infrastructure de messagerie. Notez que pour utiliser cette fonctionnalité, il n'est pas nécessaire de déployer entièrement Exchange 2003 ou Exchange 2007 dans l'ensemble de l'environnement de votre organisation.

Pour plus d'informations sur l'installation des composants Exchange Server 2003 requis, reportez-vous au guide de déploiement d'Exchange Server 2003 (plus particulièrement au chapitre 8) : https://www.microsoft.com/technet/prodtechnol/exchange/2003/library/depguide.mspx.

Consultez également le livre blanc relatif à l'architecture d'Exchange Server 2003 ActiveSync : https://www.microsoft.com/exchange/techinfo/administration/mobiledevices.asp.

Il est à noter que les versions antérieures d'Exchange Server n'intègrent pas de fonctionnalités de synchronisation. Vous devez utiliser Exchange Server 2003 ou Exchange Server 2007 pour permettre aux utilisateurs de synchroniser leurs périphériques Windows Mobile sans fil.

Active Directory

Pour assurer le fonctionnement d'ActiveSync, votre infrastructure doit comporter des contrôleurs de domaine Active Directory. Vous devez également vous assurer que vos serveurs Exchange Server 2003 sont membres d'un domaine Windows Active Directory.

Les contrôleurs de domaine Active Directory doivent s'exécuter sous Windows 2000 Server SP3 ou Windows Server 2003, ce dernier offrant des performances optimales.

Gestion d'Exchange ActiveSync

Par défaut, Exchange ActiveSync est activé aussitôt que le rôle de serveur d'accès au client est installé sur le serveur Exchange 2007. Pour pouvoir utiliser Exchange ActiveSync, les utilisateurs finaux doivent simplement configurer leurs périphériques mobiles de telle sorte qu'ils se synchronisent avec l'ordinateur Exchange Server. Exchange ActiveSync permet aux administrateurs d'effectuer diverses tâches de gestion. Ils peuvent notamment configurer les stratégies de boîte aux lettres Exchange ActiveSync et configurer l'authentification pour une sécurité renforcée. Ces tâches peuvent être effectuées pour partie dans la console de gestion Exchange et en totalité dans Exchange Management Shell.

Gestion des utilisateurs d'Exchange ActiveSync

Par défaut, si le rôle de serveur d'accès au client est installé dans une organisation Microsoft Exchange qui exécute Exchange Server 2007, Exchange ActiveSync est activé pour tous les utilisateurs. Vous pouvez désactiver Exchange ActiveSync pour un utilisateur ou un groupe d'utilisateurs, de même que vous pouvez gérer divers paramètres pour vos utilisateurs Exchange ActiveSync.

Pour simplifier la gestion de vos utilisateurs Exchange ActiveSync, vous pouvez créer des stratégies de boîte aux lettres Exchange ActiveSync. Ces stratégies vous permettent d'appliquer des paramètres spécifiques à un utilisateur ou à un groupe d'utilisateurs. Les paramètres disponibles sont les suivants :

  • Exiger un mot de passe ;

  • Exiger un mot de passe alphanumérique ;

  • Autoriser le téléchargement des pièces jointes sur le périphérique ;

  • Autoriser l'accès à des documents Microsoft Windows SharePoint® Services ;

  • Activer le chiffrement du périphérique.

Pour plus d'information sur les stratégies de boîte aux lettres Exchange ActiveSync, consultez l'article Gestion d'Exchange ActiveSync avec des stratégies.

Pour plus d'informations sur la façon de gérer un utilisateur Exchange ActiveSync à partir de la console de gestion Exchange, reportez-vous aux rubriques suivantes :

Stratégies de sécurité des périphériques appliquées à distance

Exchange Server 2003 SP2 et Exchange Server 2007 permettent de configurer et de gérer une stratégie centrale qui exige que tous les utilisateurs d'un périphérique mobile protègent leur appareil par un mot de passe pour accéder au serveur Exchange. Par ailleurs, vous pouvez également spécifier la longueur du mot de passe, exiger l'utilisation d'un caractère ou d'un symbole, et indiquer le délai d'inactivité du périphérique au-delà duquel l'utilisateur est invité à entrer de nouveau le mot de passe.

Un autre paramètre permet de supprimer toutes les données du périphérique après que l'utilisateur a entré un mot de passe erroné un certain nombre de fois. Dans ce cas, une boîte de dialogue signale l'effacement possible et le nombre de tentatives restantes avant cet événement.

Un autre paramètre vous permet de spécifier si la synchronisation des périphériques non compatibles est possible. Les périphériques sont considérés comme non compatibles s'ils ne prennent pas en charge la stratégie de sécurité que vous avez définie. Dans la plupart des cas, il s'agit de périphériques qui n'ont pas été configurés avec le pack sécurité et messagerie d'Exchange Server.

Effacement à distance des données du périphérique

La fonctionnalité d'effacement à distance permet de gérer le processus d'effacement à distance des données des périphériques mobiles perdus, volés ou mis en péril de quelque autre manière. Si le périphérique était connecté à l'aide de la technologie Direct Push, le processus d'effacement s'enclenche immédiatement et aboutit en quelques secondes. Si vous avez utilisé la stratégie de sécurité par verrouillage forcé, le périphérique est protégé par un mot de passe et le nettoyage local, de sorte que le périphérique ne pourra effectuer aucune autre opération sinon recevoir la notification d'effacement à distance et un rapport d'effacement.

Les stratégies de sécurité des périphériques sont gérées à partir de la fenêtre Services mobiles du Gestionnaire système Exchange. De cette fenêtre, vous pouvez :

  • afficher la liste de tous les périphériques utilisés par un utilisateur donné ;

  • sélectionner ou désélectionner les périphériques à nettoyer à distance ;

  • afficher l'état des demandes d'effacement à distance en cours pour chaque périphérique ;

  • afficher un journal de transactions désignant les administrateurs qui ont émis des commandes d'effacement à distance, en plus des périphériques qui ont été la cible de ces commandes.

Authentification par certificat

Si l'authentification de base Secure Sockets Layer (SSL) ne répond pas à vos exigences de sécurité et que vous disposez d'une infrastructure de clés publiques (PKI) utilisant Microsoft Certificate Server, vous pouvez utiliser la fonctionnalité d'authentification par certificat d'Exchange ActiveSync. Si vous utilisez cette fonctionnalité conjointement avec d'autres fonctionnalités décrites dans ce document, telles que l'effacement local des données du périphérique ou l'utilisation forcée d'un mot de passe à la mise sous tension, vous pouvez transformer le périphérique mobile proprement dit en carte à puce. La clé privée et le certificat pour l'authentification client sont stockés dans la mémoire du périphérique. Toutefois, si un utilisateur non autorisé tente une attaque en force brute sur le mot de passe de mise sous tension du périphérique, toutes les données utilisateur sont effacées, y compris le certificat et la clé privée.

Microsoft a créé un outil destiné à déployer l'authentification par certificat Exchange ActiveSync. Pour télécharger cet outil et la documentation associée depuis le Centre de téléchargement Microsoft, rendez-vous à l'adresse : https://go.microsoft.com/fwlink/?LinkId=63271.

Messagerie chiffrée par S/MIME

Le pack sécurité et messagerie pour Windows Mobile 5.0 offre une prise en charge native de la messagerie signée et chiffrée numériquement. Lorsque le chiffrement S/MIME (Secure/Multipurpose Internet Mail Extension) est déployé, les utilisateurs finaux peuvent consulter et envoyer des messages chiffrés par S/MIME sur leur périphérique mobile.

Le contrôle S/MIME présente les caractéristiques suivantes :

  • il s'agit d'une norme de sécurité améliorée pour les messages électroniques qui utilisent une infrastructure de clés publiques pour partager des clés ;

  • il offre une authentification des expéditeurs par le biais de signatures numériques ;

  • il peut être chiffré pour préserver la confidentialité ;

  • il fonctionne correctement avec n'importe quel client de messagerie compatible avec la norme.

Pour obtenir des conseils sur la mise en œuvre du contrôle S/MIME avec Exchange Server 2003 SP2, consultez le guide relatif à la sécurité des messages avec Exchange Server à l'adresse : https://go.microsoft.com/fwlink/?LinkId=63272.

Pack de gestion des appareils SMS 2003

Grâce au pack de gestion des appareils Systems Management Server 2003, SMS 2003 est en mesure de gérer les périphériques mobiles exécutant Microsoft Windows® CE (version 3.0 ou ultérieure) et les logiciels Windows Mobile pour Microsoft Pocket PC (version 2002 ou ultérieure), ainsi que Windows Mobile 5.0 et Windows Mobile Pocket PC Phone Edition 5.0. Ce pack permet aux administrateurs de capturer les caractéristiques des ressources, les paramètres de configuration et les stratégies de sécurité des périphériques mobiles. Il leur permet également de mettre à jour et de déployer de nouvelles applications avec un délai d'interruption minimum pour l'utilisateur final, ce qui réduit considérablement les coûts de déploiement et de gestion des périphériques.

Avec le pack de gestion, vous pouvez effectuer les opérations suivantes :

  • détecter et recueillir des informations d'inventaire à partir de clients mobiles et sur site exécutant Windows CE 4.2 ou des logiciels Windows Mobile 2003 pour Pocket PC et Pocket PC Phone Edition, ainsi que Windows Mobile 5.0 et Windows Mobile Pocket PC Phone Edition 5.0 ;

  • détecter et recueillir l'inventaire des clients mobiles et sur site exécutant Windows CE 3.0, des logiciels Pocket PC 2002, Windows Mobile 5.0 et Windows Mobile Pocket PC Phone Edition 5.0, ainsi que des logiciels Windows Mobile, y compris les téléphones intelligents, par le biais d'offres complémentaires de partenaires ;

  • distribuer des mises à jour logicielles et des applications à ces périphériques ;

  • prendre en charge des scénarios d'itinérance régionale pour le téléchargement de packages SMS en renvoyant les clients à des points de distribution locaux ;

  • implémenter une stratégie visant à imposer des mots de passe sécurisés pour ces périphériques ;

  • déployer des logiciels clients SMS sur des périphériques dotés d'une connexion ActiveSync à un ordinateur exécutant le client SMS avancé ;

  • utiliser le protocole HTTP ou HTTP sécurisé (HTTPS) pour communiquer avec l'infrastructure de serveur SMS.

Grâce à ces technologies, vous pouvez contrôler les périphériques mobiles utilisant des systèmes d'exploitation et des logiciels Microsoft. Les fonctionnalités de gestion de périphériques d'Exchange Server constituent le jeu de fonctionnalités minimal requis pour atteindre le niveau standardisé du modèle d'optimisation d'infrastructure.

Phase 4 : déploiement

La phase de déploiement a pour objectif d'implémenter les technologies choisies ou les fonctionnalités nécessaires à la prise en charge de votre stratégie de gestion de périphériques. Les configurations réseau et les stratégies de sécurité d'entreprise étant disparates, le processus de déploiement varie à chaque installation d'un système de messagerie mobile. Ce processus de déploiement comprend les étapes obligatoires et les étapes recommandées pour le déploiement d'une solution de messagerie mobile utilisant Exchange Server 2003 SP2 et des périphériques basés sur Windows Mobile 5.0.

Pour obtenir des conseils détaillés sur la façon de déployer une messagerie mobile sécurisée en utilisant Microsoft Exchange Server, consultez le Guide pas à pas pour le déploiement des périphériques basés sur Windows Mobile avec Microsoft Exchange Server 2003 SP2.

Opérations

Les opérations en continu visent à garantir la sécurité et la haute disponibilité de l'environnement de messagerie mobile pour les utilisateurs finaux. Accédez au Centre Windows Mobile sur Microsoft TechNet pour obtenir des conseils sur la façon de gérer votre environnement de messagerie mobile.

Informations complémentaires

Pour plus d'informations sur la gestion des périphériques mobiles, accédez au site Microsoft TechNet et lancez une recherche sur « gestion des périphériques mobiles ».

Pour savoir comment Microsoft aborde les différents aspects de la gestion des périphériques mobiles, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/mobmess_tcs.mspx.

Point de contrôle : gestion centralisée des périphériques mobiles

Tick

Exigence

 

Des logiciels visant à détecter et à surveiller les périphériques mobiles ont été installés dans votre organisation.

 

Un accès contrôlé par mot de passe a été mis en place.

 

Une synchronisation centralisée des données et des logiciels a été mise en place.

 

Un contrôle a été effectué pour s'assurer que les périphériques mis hors service ne contiennent plus d'informations sur la société.

Si vous avez exécuté les étapes précédentes, votre organisation a satisfait à la condition minimale du niveau standardisé de l'exigence Suivi, gestion et mise à niveau centralisés des périphériques mobiles. Nous vous recommandons de suivre les meilleures pratiques en matière de gestion des périphériques mobiles, lesquelles sont abordées dans le Centre Windows Mobile sur Microsoft TechNet.

Passez à la question d'auto-évaluation suivante.

Exigence : validation des identités, protection des données et sauvegarde des données des périphériques mobiles

Public visé

Nous vous recommandons de lire cette section si vous n'avez de dispositif de validation des identités utilisateur, de protection et de sauvegarde des données pour les périphériques mobiles.

Vue d'ensemble

Les périphériques mobiles perdus ou volés peuvent porter atteinte à la confidentialité des informations de l'entreprise et permettre un accès à ses réseaux. Vous devez donc protéger ces ressources en implémentant des stratégies et des logiciels complets. Dans cette section du guide, nous examinons les domaines pour lesquels, moyennant certaines mesures, vous pouvez sécuriser les informations d'entreprise et les réseaux de votre organisation. Ces domaines sont les suivants :

  • Accès utilisateur

    • Mots de passe

    • Verrouillage des périphériques

    • Certificats

  • Accès aux données

    • Chiffrement des données

    • Effacement à distance des données

Pour plus d'informations sur les solutions de sécurité des périphériques mobiles proposées par Microsoft, rendez-vous à l'adresse : https://www.microsoft.com/windowsmobile/business/5/default.mspx.

Phase 1 : analyse

La phase d'analyse vise essentiellement à déterminer la façon dont les utilisateurs accèdent aux données et à identifier les besoins de l'entreprise pour assurer un accès sécurisé et une protection des données pour les périphériques mobiles. La plupart de ces principes ont été abordés lors des phases de planification et de déploiement de la section Gestion centralisée des périphériques mobiles du présent guide. Cette capacité du modèle d'optimisation d'infrastructure souligne l'importance de la sécurité des données et du contrôle d'accès des utilisateurs.

Phase 2 : identification

Durant la phase d'identification, vous allez identifier les options technologiques et définir des exigences afin de répondre aux besoins de votre organisation en matière d'accès utilisateur, de sécurité et de sauvegarde des données. Reportez-vous à la section « Exigence : gestion centralisée des périphériques mobiles » de ce guide pour obtenir des informations détaillées sur les technologies et les fonctionnalités disponibles dans Microsoft Exchange Server 2003, Microsoft Exchange Server 2007 et Systems Management Server 2003.

De même, visitez le Centre Windows sur Microsoft TechNet pour plus de détails.

Phase 3 : évaluation et planification

La phase d'évaluation et de planification a pour objectif de mettre au point une stratégie détaillée en vue d'un accès utilisateur sécurisé et d'assurer la sécurité et la protection des données des périphériques mobiles gérés. Les principaux éléments d'appréciation de ces objectifs sont décrits dans cette section.

Accès utilisateur

Le premier rempart contre un accès non autorisé aux données d'un périphérique mobile réside dans l'identification et la validation des utilisateurs par des mots de passe ou des certificats.

Mots de passe

L'accès à chaque périphérique mobile de votre organisation doit se faire obligatoirement par mot de passe. Les mots de passe peuvent être simples (numériques) ou forts (composés de lettres, de nombres et de caractères spéciaux), selon la stratégie de mots de passe mise en place par votre société.

Verrouillage des périphériques

Si un utilisateur ne réussit pas à entrer le mot de passe correct au bout d'un certain nombre de tentatives (en général, de trois à cinq), le périphérique mobile passe en principe en mode verrouillé. Dès lors, tout nouvel accès n'est possible que par une réinitialisation administrative.

Certificats

Un certificat de clé publique, généralement appelé simplement certificat, est une déclaration signée numériquement et couramment utilisée pour l'authentification et la sécurisation des données sur des réseaux ouverts. Un certificat lie en toute sécurité une clé publique à l'entité qui détient la clé privée correspondante. L'autorité de certification émettrice signe les certificats, qui peuvent dès lors être émis pour un utilisateur, un ordinateur ou un service. Vous devez avoir mis en place des procédures pour pouvoir révoquer les certificats en cas de perte ou de vol d'un périphérique mobile.

Accès aux données

Dès qu'un ordinateur mobile se trouve hors des limites physiques de sécurité de l'organisation, le vol du périphérique informatique et des données qu'il contient est une source de préoccupation majeure. En cas de vol, le problème initial de la perte de données peut s'aggraver par l'intrusion d'une personne non autorisée sur le réseau via un accès à distance sans fil ou par ligne commutée. De par leur conception, les ordinateurs mobiles et bon nombre de périphériques portables de nouvelle génération présentent un risque de vol plus élevé qu'un périphérique fixe. Souvent, ces appareils contiennent des données d'entreprise importantes et représentent un risque de sécurité en cas de vol.

Chiffrement des données

Vous pouvez utiliser un système de fichiers chiffrés sur les périphériques mobiles de façon à brouiller les données contenues sur le disque dur et les rendre inutilisables aux personnes ne disposant des informations d'identification correctes.  Ce système protège les données contre l'accès d'un individu en possession d'un périphérique perdu ou volé.

Effacement à distance des données du périphérique

La fonctionnalité de nettoyage de périphérique à distance d'Exchange Server permet à un administrateur ou à un utilisateur autorisé d'effacer à distance toutes les informations contenues sur un périphérique mobile, ce qui a pour effet de restaurer efficacement son état par défaut initial.

À titre de mesure réactive, vous pouvez utiliser l'effacement à distance pour bloquer l'accès non autorisé aux données d'un périphérique perdu ou volé. Vous utiliserez l'effacement à distance si vous déduisez que d'autres conditions d'accès telles que des mots de passe ou des certificats n'étaient pas en place ou avaient été mis en péril. Dans ce cas de figure, une commande de nettoyage du périphérique est envoyée à partir d'un serveur.

À titre préventif, l'effacement à distance peut être un autre outil à employer avec l'authentification utilisateur et le chiffrement de données afin de vous assurer que l'accès aux données d'entreprise et au réseau de la société peut être bloqué si le périphérique mobile a été volé. Dans ce cas, le périphérique se nettoie lui-même en fonction de la stratégie de sécurité incorporée.

Sauvegarde des données

La sauvegarde des données confidentielles de messagerie, de calendriers et de listes d'adresses de la société est une première étape essentielle du processus de sauvegarde des données des périphériques mobiles. La sauvegarde de données pour les informations synchronisées de messagerie, de listes d'adresses et de calendriers est assurée par l'infrastructure Exchange Server via les procédures standard de sauvegarde et de récupération serveur. Reportez-vous à la section de ce guide relative au niveau standardisé de l'exigence Services de sauvegarde et restauration pour les serveurs critiques. Par ailleurs, certains partenaires de Microsoft proposent des logiciels qui permettent d'effectuer des sauvegardes de données non synchronisées au niveau du périphérique.  

Phase 4 : déploiement

La phase de déploiement a pour objectif d'implémenter la stratégie choisie par votre organisation afin de gérer l'accès des utilisateurs, la sécurité des données et la sauvegarde des données. Pour obtenir des conseils détaillés sur la façon de déployer les technologies décrites dans ce guide, consultez le Guide pas à pas pour le déploiement des périphériques basés sur Windows Mobile avec Microsoft Exchange Server 2003 SP2.

Opérations

Les opérations en continu visent à assurer un accès utilisateur sécurisé, de même que la sécurité et la sauvegarde des données au sein de votre environnement de messagerie mobile. Accédez au Centre Windows Mobile sur Microsoft TechNet pour obtenir des conseils sur la façon de gérer votre environnement de messagerie mobile.

Informations complémentaires

Pour plus d'informations sur l'effacement à distance, rendez-vous à l'adresse :
https://www.microsoft.com/technet/prodtechnol/exchange/e2k7help/7b2cb90a-67f5-45d5-8c7a-26309faa7d9e.mspx?mfr=true.

Point de contrôle : validation des identités, protection des données et sauvegarde des données des périphériques mobiles

Tick

Exigence

 

Une stratégie d'accès par mot de passe a été mise en place et est en cours d'application ou des certificats de clé publique sont utilisés pour l'identification des utilisateurs.

 

Tous les transferts sont chiffrés, pour la distribution de données aux périphériques mobiles comme pour la sauvegarde des données issus de ces derniers.

 

Un système de verrouillage des périphériques a été implémenté sur les périphériques mobiles.

 

Il a été vérifié que les informations de la société peuvent être supprimées à distance en cas de perte ou de vol d'un périphérique mobile.

Si vous avez exécuté les étapes précédentes, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Validation des identités, protection des données et sauvegarde des données des périphériques mobiles. Nous vous recommandons de suivre les meilleures pratiques en matière de gestion des périphériques mobiles, lesquelles sont abordées dans le Centre Windows Mobile sur Microsoft TechNet.

Passez à la question d'auto-évaluation suivante.

Exigence : consolidation des images de bureau vers deux versions de système d'exploitation

Public visé

Nous vous recommandons de lire cette section si vous gérez plus de deux versions de système d'exploitation dans votre environnement informatique fixe.

Vue d'ensemble

Les éléments à prendre en considération au moment de déployer différents systèmes d'exploitation au sein d'une entreprise sont les suivants :

  • gestion de plusieurs images standard ;

  • disponibilité de correctifs et de mises à jour ;

  • coût des contrats de maintenance étendus ;

  • productivité des utilisateurs ;

  • compatibilité des applications.

Ce guide met l'accent sur les principaux éléments d'appréciation à prendre en compte au moment de consolider vos images de bureau pour deux systèmes d'exploitation.

Phase 1 : analyse

Dans le cadre de la consolidation d'images, la phase d'analyse a pour objectif de déterminer le nombre de systèmes d'exploitation gérés actuellement par votre organisation. Nous vous recommandons d'utiliser un outil permettant d'automatiser le processus d'inventaire, tel que Systems Management Server (SMS) 2003, les outils d'analyse de compatibilité des applications ou Windows Vista Hardware Assessment.  

Phase 2 : identification

La première étape de la phase d'identification consiste à déterminer les dépendances des systèmes d'exploitation détectés lors de votre inventaire et leur rapport avec les applications utilisées, ainsi que les caractéristiques du matériel.

Phase 3 : évaluation et planification

La phase d'évaluation et de planification a pour objectif de discuter des différentes options pour consolider vos images de bureau en deux images standard, notamment de l'avantage en termes de gestion, de l'avantage métier et de l'ordre de priorité des mises à niveau des utilisateurs. Cette section présente de nombreux éléments d'appréciation concernant l'évaluation de la consolidation d'images de bureau.

Plusieurs images standard

La rubrique « Images standard définies pour les ordinateurs de bureau et portables » située plus haut dans ce document décrit les avantages liés à la définition et à la gestion d'une image de système d'exploitation d'ordinateur de bureau standard, et présente les avantages et les inconvénients des images épaisses, fines et hybrides. Les coûts de création et de gestion de plusieurs images épaisses et hybrides et les coûts associés augmentent proportionnellement au nombre de systèmes d'exploitation que votre organisation doit prendre en charge. Pour passer du niveau de base du modèle d'optimisation d'infrastructure au niveau standardisé, vous devez limiter à deux au maximum le nombre de systèmes d'exploitation à prendre en charge dans votre organisation, même si se cantonner à une seule version offre des avantages substantiels et demeure la solution à privilégier.

Correctifs et mises à jour

Les correctifs et les mises à jour applicables aux systèmes d'exploitation et aux applications doivent être testés avant leur distribution aux utilisateurs. Le temps et les dépenses inhérents au test d'une application augmentent proportionnellement au nombre de systèmes d'exploitation sur lesquels l'application s'exécute. Le simple suivi de l'ensemble des correctifs et des mises à jour disponibles peut devenir fastidieux et coûteux.

Contrats de maintenance

Si votre organisation achète des contrats de maintenance pour ses systèmes d'exploitation et applications, les coûts peuvent augmenter à mesure que le nombre de titres de logiciels augmente. Ceci est particulièrement vrai pour les anciens systèmes d'exploitation et applications, des logiciels qui ont été retirés de la vente par leur éditeur.

Productivité des utilisateurs

Lorsque les utilisateurs passent d'un système d'exploitation à un autre, il y a une période d'apprentissage dont les effets sur la productivité ne sont pas neutres. L'utilisateur doit s'arrêter et réfléchir à la manière d'effectuer une tâche qu'il faisait instinctivement sur le système d'exploitation précédent.

Compatibilité des applications

À mesure que les applications et les systèmes d'exploitation sont mis à niveau, les fichiers de données sur lesquels ces applications s'exécutent ne sont pas toujours compatibles avec les versions plus récentes. En standardisant un ou deux systèmes d'exploitation et leurs applications compatibles, vous réduirez au minimum les problèmes liés aux fichiers de données incompatibles.

Exceptions

Il n'est pas toujours possible de faire fonctionner un ou deux systèmes d'exploitation pour chaque situation ou chaque besoin de l'organisation. L'utilisation de périphériques mobiles se développe et leurs systèmes d'exploitation sont différents de ceux d'un ordinateur de bureau ou portable. Certains utilisateurs finaux, tels que les infographistes ou les ingénieurs, les utilisateurs distants ou les fournisseurs qui se connectent à votre réseau peuvent utiliser des systèmes d'exploitation différents du standard de l'organisation. Le service informatique doit tenir compte de ces exceptions et adapter les recommandations de ce guide à ces situations.

En revanche, certaines exceptions ne sont pas du ressort du service informatique. Par exemple, les organisations de développement de logiciels doivent s'assurer que les logiciels qu'elles développent s'exécuteront sur plusieurs systèmes d'exploitation. Ce document n'aborde pas la question des laboratoires de tests chargés d'évaluer les nouveaux systèmes d'exploitation et les mises à niveau.

Phase 4 : déploiement

Après avoir défini la stratégie de consolidation d'images, la phase de déploiement va consister à se pencher sur la façon de générer, déployer et gérer les images. Reportez-vous au Guide des équipes en charge de la fonctionnalité de système de création d'images d'ordinateurs qui se trouve dans BDD 2007 ou reportez-vous aux conseils de la ressource Exigence : images standard définies pour les ordinateurs de bureau et portables.

Opérations

Après avoir mené à bien un projet de consolidation de systèmes d'exploitation, il est important de comprendre que la parution de nouveaux produits et technologies de système d'exploitation d'ordinateur de bureau demande une attention particulière. Se préparer au nouveau système d'exploitation implique dans la plupart des cas le retrait progressif du plus ancien des deux systèmes d'exploitation actifs pour laisser place à l'image du nouveau système d'exploitation. Vous serez ainsi assuré de conserver l'avantage de maintenir deux images de système d'exploitation.   

Point de contrôle : consolidation des images de bureau vers deux versions de système d'exploitation

Tick

Exigence

 

Une stratégie de consolidation des images a été implémentée.

 

Le nombre de systèmes d'exploitation de production a été réduit à deux maximum.

Si vous avez suivi les étapes précédentes, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Consolidation des images de bureau vers deux versions de système d'exploitation des capacités Gestion des ordinateurs de bureau, périphériques et serveurs du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière de consolidation et de gestion d'images, lesquelles sont abordées dans le guide des équipes en charge de la fonctionnalité de système de création d'images d'ordinateur disponible dans BDD 2007.

Passez à la question d'auto-évaluation suivante.