Skip to main content

Technologies Microsoft dédiées à la « consumérisation »

Date de publication : 19 avril 2011

L'espace de travail évolue. Les frontières entre vies professionnelle et personnelle s'estompent. Le travail n'est plus confiné au bureau. Les employés vérifient leurs e-mails professionnels à leur domicile le soir et mettent à jour leurs réseaux sociaux au bureau dans la journée. Outre leur ordinateur de bureau, ils utilisent des ordinateurs portables, des tablettes tactiles et des smartphones.

La puissance informatique croissante actuellement disponible sur un large éventail de périphériques contribue à cette tendance. Les périphériques grand public, notamment les smartphones et les tablettes multimédias, deviennent suffisamment puissants pour pouvoir exécuter des applications qui étaient auparavant réservées aux ordinateurs portables et de bureau. Pour bon nombre d'employés, ces périphériques représentent l'avenir de l'informatique et les aident à accomplir leur travail de manière plus efficace.

Dans un monde où les infrastructures informatiques hautement gérées peuvent sembler rigides, les employés préfèrent utiliser les nombreux périphériques grand public à leur disposition. Quant aux services informatiques, ils doivent relever le défi d'intégrer la « consumérisation » tout en minimisant les risques pour l'entreprise et ses données. Un grand nombre de périphériques grand public n'ont pas été conçus initialement pour une utilisation professionnelle, les services informatiques doivent donc procéder à une planification minutieuse afin de permettre le niveau de gestion et de contrôle qu'ils exigent.

En tant que numéro un sur le marché des technologies professionnelles et grand public, Microsoft se trouve dans une position unique pour comprendre et offrir des conseils en matière d'intégration responsable de la « consumérisation » au sein des entreprises. Dans un livre blanc déjà publié, Stratégies d'intégration de la « consumérisation », vous découvrirez des stratégies spécifiques qui facilitent l'adoption des dernières tendances en matière de « consumérisation ». Cet article explore des technologies spécifiques que le livre blanc mentionné ci-dessus recommande dans le cadre de divers scénarios.

Dans cet article :


Windows Optimized Desktop

Windows Optimized Desktop offre des choix en matière d'informatique cliente afin d'améliorer la productivité des utilisateurs tout en répondant à des besoins professionnels et informatiques spécifiques. Intégré au système d'exploitation Windows 7 Entreprise, géré par Microsoft System Center et sécurisé par Microsoft Forefront Endpoint Protection, Windows Optimized Desktop comprend des technologies de virtualisation avec une gestion intégrée sur les ordinateurs virtuels et physiques, dont les infrastructures de bureau virtuelles. Ajoutez Microsoft Office 2010, Windows Internet Explorer 9 et Microsoft Desktop Optimization Pack (MDOP) et votre personnel sera plus productif, plus gérable et plus protégé.

Cette section est consacrée à des technologies spécifiques de Windows Optimized Desktop qui permettent aux services informatiques d'intégrer la « consumérisation » à des périphériques riches exécutés sous Windows 7. Ces technologies peuvent faire face à des défis tels que la gestion des applications et des données utilisateur, la protection des données, la défense du réseau et la protection de la propriété intellectuelle dans des scénarios de « consumérisation ».

Gestion des applications

Dans les scénarios de « consumérisation », la gestion des applications consiste à fournir les applications et à contrôler celles qui peuvent être exécutées par les utilisateurs sur leur ordinateur. System Center Configuration Manager 2007 et Microsoft Application Virtualization (App-V) sont des technologies de déploiement clés. De plus, AppLocker est une fonctionnalité de Windows 7 Entreprise que vous pouvez utiliser pour contrôler l'accès aux applications.

Le Gestionnaire de configuration offre un riche ensemble d'outils et de ressources susceptibles d'être utilisés pour gérer la tâche complexe qui consiste à créer, modifier et distribuer les packages d'applications sur les ordinateurs de votre entreprise. Il est extrêmement simple de déployer des applications à l'aide d'une infrastructure de Gestionnaire de configuration existante. Workflows de l'administrateur pour la distribution de logiciels, disponible sur TechNet, décrit ce processus en détail :

  1. Créer un package de distribution du logiciel contenant les fichiers d'installation de l'application.
  2. Créer un programme à inclure dans le package. Parmi d'autres options, le programme définit la commande nécessaire à l'installation du package de l'application.
  3. Distribuer le package à des points de distribution.
  4. Publier le package sur les ordinateurs de votre organisation.

Les organisations qui utilisent System Center Essentials peuvent également y avoir recours pour distribuer les applications. Pour plus d'informations sur Essentials, consultez System Center Essentials. Vous trouverez des conseils techniques sur le déploiement des applications dans le Guide des opérations de System Center Essentials 2010.

Pour contrôler l'accès aux applications physiques ou virtuelles, Windows 7 Entreprise propose AppLocker. Il s'agit d'une nouvelle fonctionnalité qui remplace la fonctionnalité Stratégies de restriction logicielle disponible dans les versions précédentes de Windows. Elle ajoute des capacités qui permettent de réduire la surcharge administrative et vous aident à contrôler l'accès des utilisateurs aux fichiers programme, aux scripts et aux fichiers de Windows Installer. Grâce à l'utilisation d'AppLocker pour contrôler l'accès aux applications physiques, vous pouvez empêcher l'exécution d'applications sans licence, malveillantes et non autorisées.

Pour utiliser AppLocker, vous devez créer un objet de stratégie de groupe (GPO), puis définir les règles AppLocker à l'intérieur de cet objet. Au sein d'une règle, vous pouvez autoriser ou refuser l'accès à un fichier programme, à un script ou à un fichier Windows Installer pour un utilisateur ou un groupe donné. Vous identifiez le fichier en fonction de ses attributs, notamment l'éditeur, le nom du produit, le nom du fichier et la version du fichier, à partir de la signature numérique. Par exemple, vous pouvez créer des règles reposant sur les attributs de nom du produit et de version du fichier qui restent identiques d'une mise à jour à l'autre, ou vous pouvez créer des règles qui ciblent une version spécifique d'un fichier. Outre l'autorisation ou le refus d'accès à un fichier, vous pouvez définir des exceptions. Par exemple, vous pouvez créer une règle qui autorise l'exécution de tous les programmes fournis avec Windows 7, à l'exception de l'Éditeur du Registre (regedit.exe).

AppLocker est étonnamment facile à configurer et à déployer. Il propose des Assistants qui simplifient la définition de règles pour les fichiers programme, les scripts et les fichiers Windows Installer. Toutefois, dans la mesure où AppLocker empêche les utilisateurs d'ouvrir ou d'exécuter des fichiers qui ne sont pas définis explicitement dans une règle, il est conseillé de planifier le déploiement d'AppLocker après avoir consulté un inventaire des applications utilisées dans votre environnement. Vous trouverez plus d'informations sur AppLocker dans AppLocker sur TechNet.

Virtualisation de l'état des utilisateurs

L'intégration de la « consumérisation » doit relever un défi particulier lorsqu'elle s'applique à des personnes qui travaillent sur plusieurs ordinateurs. Ce scénario peut être douloureux pour les utilisateurs et les professionnels de l'informatique. Les utilisateurs n'emmènent pas leurs fichiers ni leurs paramètres avec eux lorsqu'ils passent d'un ordinateur à l'autre. Si un utilisateur crée un document sur son ordinateur professionnel, par exemple, ce document n'est pas disponible immédiatement lorsqu'il se connecte à une tablette tactile ou via un ordinateur virtuel auquel un PC autre que Windows accède. Pour les services informatiques, le stockage décentralisé des fichiers et des paramètres est synonyme d'un nombre accru de défis à relever. Les fichiers sont difficiles à sauvegarder. Ils sont difficiles à sécuriser. De plus, dans la mesure où ils sont disséminés sur de nombreux PC, il est difficile de gérer la disponibilité des fichiers importants.

La virtualisation de l'état des utilisateurs offre une solution à ces défis. Elle centralise le stockage des fichiers et des paramètres des utilisateurs afin de faciliter leur sauvegarde et leur sécurisation. Il est possible de gérer les disponibilités des fichiers importants. En outre, la virtualisation de l'état des utilisateurs permet de suivre les fichiers et les paramètres des utilisateurs d'un PC vers un autre, voire vers des ordinateurs virtuels. Dans Windows 7, trois technologies prennent en charge la virtualisation de l'état des utilisateurs :

  • Les profils utilisateur itinérants vous donnent la possibilité de stocker les profils utilisateur (par exemple, les fichiers stockés dans C:\Users\Nom d'utilisateur, dont le fichier de la ruche du registre) sur un partage réseau. Windows 7 synchronise les profils utilisateur locaux et distants lorsque les utilisateurs se connectent à l'ordinateur et s'en déconnectent. Pour plus d'informations, consultez Nouveautés de la redirection de dossiers et des profils utilisateur.
  • La redirection de dossiers redirige les dossiers tels que Documents, Images et Vidéos d'un profil utilisateur vers un partage réseau. La redirection de dossiers réduit la taille des profils utilisateur itinérants et peut améliorer les performances de connexion et de déconnexion. Pour configurer la redirection de dossiers, utilisez la stratégie de groupe. Les profils utilisateur itinérants se distinguent de la redirection de dossiers parce qu'ils s'appliquent essentiellement aux paramètres, contrairement à la redirection qui concernent les documents. Pour plus d'informations, consultez Nouveautés de la redirection de dossiers et des profils utilisateur.
  • Les fichiers hors connexion, une fonctionnalité activée par défaut dans Windows 7, vous permettent de travailler avec des dossiers redirigés et d'autres contenus réseau partagés lorsque vous êtes déconnecté du réseau en mettant en cache des copies localement. Les fichiers hors connexion synchronisent les modifications dès qu'une nouvelle connexion est disponible. Pour plus d'informations, consultez Nouveautés dans les fichiers hors connexion.

Le guide Planification et conception d'infrastructure : Virtualisation de l'état des utilisateurs Windows peut vous aider à implémenter la virtualisation de l'état des utilisateurs.

Sécurité des données locales

Le chiffrement de lecteur BitLocker est une fonctionnalité de sécurité intégrale dans Windows 7 Entreprise qui permet de protéger les données stockées sur des lecteurs fixes, ainsi que sur le lecteur du système d'exploitation. BitLocker facilite la protection contre les attaques hors connexion, c'est-à-dire les attaques effectuées en désactivant ou en contournant le système d'exploitation installé ou en supprimant physiquement le disque dur pour attaquer les données séparément. BitLocker permet de s'assurer que les utilisateurs peuvent lire les données du lecteur et y inscrire des données uniquement s'ils disposent du mot de passe requis, des informations d'identification de type carte à puce ou s'ils utilisent le lecteur de données sur un ordinateur protégé par BitLocker et ayant les clés appropriées.

La protection BitLocker sur les lecteurs du système d'exploitation prend en charge une authentification à deux facteurs en utilisant le module de plateforme sécurisée (TPM) accompagné d'un code confidentiel (PIN) ou d'une clé de démarrage, ainsi qu'une authentification à un seul facteur en stockant une clé sur un disque mémoire flash USB ou simplement en utilisant le module TPM. L'utilisation conjointe de BitLocker et d'un module TPM offre une protection améliorée des données et permet de garantir l'intégrité des composants d'amorçage. Pour que vous puissiez utiliser cette option, votre ordinateur doit disposer d'une micropuce TPM et d'un BIOS compatibles :

  • une micropuce TPM compatible est définie comme TPM version 1.2.
  • Un BIOS compatible doit prendre en charge le module TPM et la racine statique de mesure d'approbation telle que définie par le Trusted Computing Group. Pour plus d'informations sur les spécifications du module TPM, consultez la section qui leur est consacrée sur le site Web du Trusted Computing Group.

Le module TPM interagit avec la protection du lecteur du système d'exploitation BitLocker afin d'offrir une protection lors du démarrage du système. Ce mode est transparent pour l'utilisateur et l'environnement d'ouverture de session utilisateur est inchangé. Toutefois, si les informations de démarrage ont changé, BitLocker passe en mode de récupération et l'utilisateur aura besoin d'un mot de passe ou d'une clé de récupération pour avoir à nouveau accès aux données.

Le Guide de déploiement du chiffrement de lecteur BitLocker pour Windows 7 propose des conseils détaillés sur le déploiement de BitLocker. En outre, de nombreux paramètres de stratégie de groupe sont disponibles pour gérer BitLocker. Pour en savoir plus sur ces paramètres, consultez la Référence sur la stratégie de groupe BitLocker. Vous pouvez configurer BitLocker lors du déploiement à l'aide de Microsoft Deployment Toolkit (MDT) 2010 ou du Gestionnaire de configuration. Pour plus d'informations, consultez la documentation sur MDT 2010.

Windows 7 Édition Familiale Premium et Windows 7 Professionnel ne comprennent pas BitLocker. Si vous autorisez les employés à utiliser des périphériques qui exécutent ces systèmes d'exploitation, vous pouvez utiliser le système de fichiers EFS afin de protéger les données d'entreprise sur ces ordinateurs. Toutefois, le système EFS n'offre pas de chiffrement de volume complet comme c'est le cas de BitLocker. En revanche, les utilisateurs choisissent les dossiers et les fichiers qu'ils souhaitent chiffrer. Pour plus d'informations sur EFS dans Windows 7, consultez Le système de fichiers EFS.

Remarque : les utilisateurs qui exécutent Windows 7 Édition Familiale Premium ou Windows 7 Professionnel peuvent utiliser l'Achat de mise à niveau en ligne pour acheter une mise à niveau de Windows 7 Édition Intégrale. Ils peuvent ainsi se procurer BitLocker. Pour plus d'informations sur l'Achat de mise à niveau en ligne, consultez Achat de mise à niveau en ligne.

Stockage amovible

Dans Windows 7 Entreprise, BitLocker To Go étend BitLocker aux lecteurs portables tels que les disques mémoire flash USB. Les utilisateurs peuvent chiffrer les lecteurs portables à l'aide d'un mot de passe ou d'une carte à puce. Les utilisateurs autorisés peuvent consulter les informations sur tout PC qui exécute Windows 7, Windows Vista ou Windows XP à l'aide du Lecteur BitLocker To Go. De plus, grâce à la stratégie de groupe, vous pouvez demander la protection des données lors de l'écriture sur un périphérique de stockage amovible, tout en permettant aux périphériques de stockage non protégés d'être utilisés en mode lecture seule.

Le Guide de déploiement du chiffrement de lecteur BitLocker pour Windows 7 propose des conseils détaillés sur l'utilisation de BitLocker To Go. En outre, de nombreux paramètres de stratégie de groupe sont disponibles pour gérer BitLocker To Go, comme le décrit la Référence sur le groupe de stratégie BitLocker.

Sauvegardes

La fonctionnalité de sauvegarde et de restauration de Windows 7 crée des copies de sécurité des fichiers personnels les plus importants des utilisateurs. Ils peuvent laisser Windows choisir ce qui doit être sauvegardé ou sélectionner des dossiers, des bibliothèques et des lecteurs à sauvegarder, selon la planification qui leur convient le mieux. Windows prend en charge la sauvegarde sur un autre lecteur ou un DVD. Windows 7 Professionnel, Windows 7 Édition Ultimate et Windows 7 Entreprise prennent également en charge la sauvegarde des fichiers sur un emplacement du réseau.

Tandis que Windows 7 offre une fonctionnalité de sauvegarde intégrée à laquelle les utilisateurs peuvent avoir recours sur leurs propres périphériques, System Center Data Protection Manager (DPM) 2010 permet à une organisation de créer une solution de sauvegarde à deux niveaux qui combine le côté pratique et la fiabilité des disques pour les sauvegardes à court terme (qui représentent la plupart des demandes de récupération) à la sécurité d'une bande ou d'autres supports amovibles pour l'archivage à long terme. Ce système à deux niveaux permet d'éviter les problèmes associés aux solutions de sauvegarde sur bande, tout en permettant la maintenance des archives à long terme stockées hors site.

Important dans le cadre des scénarios de « consumérisation », DPM 2010 ajoute la prise en charge permettant de protéger les ordinateurs clients, par exemple les ordinateurs de bureau et les tablettes tactiles, qui ne sont pas toujours connectés au réseau. En outre, les utilisateurs peuvent récupérer leurs propres données sans attendre l'administrateur de sauvegarde. Pour en savoir plus sur DPM 2010, consultez System Center Data Protection Manager 2010.

Accès au réseau

Forefront Unified Access Gateway (UAG) offre des points de terminaison clients distants avec accès aux applications, aux réseaux et aux ressources internes d'entreprise via un site Web. Les points de terminaison clients comprennent non seulement les ordinateurs qui exécutent Windows, mais également des périphériques autres que Windows. UAG prend en charge les scénarios suivants :

  • Forefront UAG en tant que serveur de publication. Vous pouvez configurer Forefront UAG pour publier des applications et des ressources d'entreprise, ainsi que pour permettre aux utilisateurs distants d'accéder à ces applications de façon contrôlée à partir d'un éventail varié de points de terminaison et d'emplacements.
  • Forefront UAG en tant que serveur DirectAccess. Vous pouvez configurer Forefront UAG en tant que serveur DirectAccess, ce qui vous permet d'étendre les avantages de DirectAccess à toute votre infrastructure afin d'améliorer l'évolutivité et de simplifier le déploiement et la gestion continue. Forefront UAG DirectAccess offre une expérience de connexion transparente à votre réseau interne pour les utilisateurs disposant d'un accès Internet. Les demandes en ressources internes sont dirigées en toute sécurité vers le réseau interne sans nécessiter de connexion VPN.
  • Déploiement d'un seul et de plusieurs serveurs. Vous pouvez configurer un seul serveur en tant que serveur de publication et serveur Forefront UAG DirectAccess, ou déployer un groupe de serveurs à des fins d'évolutivité et de disponibilité élevée.

Planification et conception d'infrastructure : Forefront Unified Access Gateway sur TechNet offre des conseils sur la conception du déploiement de Forefront UAG. Vous trouverez des conseils techniques détaillés supplémentaires dans Forefront Unified Access Gateway (UAG) sur TechNet.

Sécurité réseau

La protection d'accès réseau (NAP) comprend des composants clients et serveur qui vous permettent de créer et de faire appliquer les stratégies d'exigence d'intégrité qui définissent le logiciel et les configurations système requis pour les ordinateurs connectés à votre réseau. La protection NAP permet d'appliquer les exigences en matière d'intégrité en inspectant et en évaluant l'intégrité des ordinateurs clients, en limitant l'accès réseau lorsque les ordinateurs clients ne sont pas conformes et en mettant à jour les ordinateurs clients non conformes en vue d'un accès réseau illimité. Cette protection fait appliquer les exigences d'intégrité sur les ordinateurs clients qui tentent de se connecter à un réseau. Elle peut également proposer une application continue de la conformité en matière d'intégrité pendant qu'un ordinateur client conforme est connecté à un réseau.

L'application de la protection NAP se produit lorsque les ordinateurs clients tentent d'accéder au réseau via les serveurs d'accès réseau, par exemple un serveur de réseau privé virtuel (VPN) qui exécute le routage et l'accès distant (RRAS), ou lorsque les clients tentent de communiquer avec d'autres ressources réseau. Le mode d'application de cette protection dépend de la méthode d'application que vous choisissez. La protection NAP applique les exigences en matière d'intégrité pour les éléments suivants :

  • Communications protégées par la sécurité du protocole Internet (IPsec)
  • Connexions authentifiées par l'IEEE (Institute of Electrical and Electronic Engineers) 802.1X
  • Connexions VPN
  • Configuration du protocole DHCP (Dynamic Host Configuration Protocol)
  • Connexions à la passerelle des services Terminal Server (Passerelle TS)

Le Guide de la conception de la protection d'accès réseau peut vous aider à concevoir un déploiement de protection NAP. Le Guide du déploiement de la protection d'accès réseau offre des conseils techniques détaillés pour les scénarios ci-dessus.

Dans le Gestionnaire de configuration, la protection NAP vous permet d'inclure les mises à jour de logiciels dans les exigences de votre système en matière d'intégrité. Les stratégies NAP du Gestionnaire de configuration définissent les mises à jour de logiciels à inclure et un point du programme de validation d'intégrité système du Gestionnaire de configuration passe l'état d'intégrité conforme ou non conforme du client au serveur NPS. Ce serveur NPS détermine ensuite si le client bénéficie d'un accès total ou restreint au réseau et si les clients non conformes seront corrigés afin de devenir conformes. Pour plus d'informations sur la protection NAP dans le Gestionnaire de configuration, consultez Protection d'accès réseau dans le Gestionnaire de configuration.

Protection des informations

Outre la sécurisation des données locales et de l'accès réseau, la protection de l'accès aux informations professionnelles, par exemple à la propriété intellectuelle, est un point important dont vous devez tenir compte si vous intégrez la « consumérisation ». Deux technologies sont disponibles pour la protection de ces informations :

  • Services RMS (Rights Management Services). Grâce aux services AD RMS (Active Directory Rights Management Services) et au client AD RMS, vous pouvez accroître la stratégie de sécurité de votre organisation en protégeant les informations via des stratégies d'utilisation persistantes qui restent avec les informations quel que soit l'emplacement vers lequel celles-ci sont déplacées. Vous pouvez utiliser AD RMS pour éviter que des informations sensibles (par exemple, des rapports financiers, des spécifications de produits, des données clientes et des messages électroniques confidentiels) ne tombent entre les mauvaises mains intentionnellement ou par accident. Microsoft Exchange Server 2010 et Microsoft Office SharePoint Server 2010 sont des exemples d'applications qui s'intègrent à AD RMS. Pour en savoir plus sur AD RMS, consultez Services AD RMS (Active Directory Rights Management Services).
  • Infrastructure de classification de fichiers. Pour réduire les coûts et les risques associés à ce type de gestion des données, l'infrastructure de classification de fichiers disponible dans Windows Server 2008 R2 offre une plateforme qui vous permet de classer les fichiers et d'appliquer des stratégies en fonction de cette classification. L'ensemble de stockage n'est pas concerné par les exigences en matière de gestion des données et vous pouvez vous adapter plus aisément à un environnement réglementaire et professionnel en évolution. Les fichiers peuvent être classés de différentes façons. En outre, vous pouvez spécifier des stratégies de gestion des fichiers, en fonction de la classification d'un fichier, et appliquer automatiquement les exigences d'entreprise pour la gestion des données par rapport à la valeur ajoutée. Vous pouvez aisément modifier les stratégies et utiliser les outils qui prennent en charge la classification pour gérer leurs fichiers. Par exemple, vous pouvez gérer automatiquement les droits des fichiers contenant le terme confidentiel. Pour en savoir plus sur l'infrastructure de classification de fichiers, consultez Utilisation de la classification de fichiers.

Services en nuage Windows

Pour les organisations qui ne disposent pas de ressources ni d'infrastructure pour prendre en charge Windows Optimized Desktop, Windows Intune peut apporter les bases en termes de gestion et de sécurité. Les organisations ayant déployé Windows Optimized Desktop peuvent gérer des poches d'ordinateurs non gérés (ordinateurs de bureau ou familiaux et périphériques grand public exécutant Windows et apportés par les utilisateurs sur leur lieu de travail) grâce à Windows Intune (voir la figure 1).

Interface Windows Intune

Figure 1. Windows Intune

Windows Intune vous permet de gérer et de sécuriser les ordinateurs de votre environnement via une combinaison de services en nuage Windows et de licences de mise à niveau. Windows Intune offre des fonctionnalités de gestion et de sécurité en nuage via une seule console d'administration Web. Grâce à Windows Intune, vous pouvez gérer des ordinateurs depuis presque partout ; vous avez uniquement besoin d'une connexion Internet et du client Windows Intune installé sur chaque ordinateur géré. En outre, avec un abonnement actif à Windows Intune, vous disposez des droits de mise à niveau vers les versions futures de Windows, avec les mêmes services du programme Microsoft Software Assurance pour Windows.

La console Administrateur Windows Intune organise les tâches de gestion dans les espaces de travail suivants que vous pouvez gérer à partir de n'importe quel navigateur prenant en charge Microsoft Silverlight :

  • Vue générale du système. L'espace de travail Vue générale du système offre un point de départ pour évaluer l'intégrité globale des ordinateurs au sein de votre organisation, identifier les problèmes et effectuer des tâches de gestion de base telles que la création de groupes d'ordinateurs et l'affichage de rapports.
  • Ordinateurs. L'espace de travail Ordinateurs vous permet de créer et de gérer des groupes d'ordinateurs avec facilité et souplesse. Vous pouvez organiser des groupes de la façon qui convient le mieux aux besoins de votre organisation (par exemple, par emplacement géographique, service ou caractéristiques matérielles) et déplacer les ordinateurs d'un groupe à l'autre.
  • Mises à jour. L'espace de travail Mises à jour vous permet de gérer le processus de mise à jour des logiciels efficacement pour tous les ordinateurs gérés de votre organisation. La console Administrateur Windows Intune prend en charge et encourage les meilleures pratiques pour la gestion des mises à jour et vous permet de vous concentrer sur votre environnement et sur les tâches que vous devez effectuer.
  • Endpoint Protection. Windows Intune Endpoint Protection permet d'améliorer la sécurité des ordinateurs gérés au sein de votre organisation en offrant une protection en temps réel contre les menaces potentielles, en gardant à jour les définitions de logiciels malveillants et en exécutant automatiquement les analyses. La console Administrateur Windows Intune offre des résumés de statuts Endpoint Protection afin que si un logiciel malveillant est détecté sur un ordinateur géré, ou si un ordinateur n'est pas protégé, vous puissiez identifier rapidement l'ordinateur concerné et mettre en œuvre l'action appropriée.
  • Alertes. L'espace de travail Alertes vous permet d'évaluer rapidement l'intégrité globale des ordinateurs gérés dans votre organisation. Grâce aux alertes, vous identifiez les problèmes potentiels ou actuels et agissez en conséquence afin d'éviter ou de minimiser les effets négatifs sur les opérations de votre entreprise. Par exemple, vous pouvez afficher toutes les alertes récentes afin d'obtenir une image plus large de l'intégrité des ordinateurs. Vous pouvez également effectuer des recherches sur des problèmes spécifiques qui se produisent sur des membres de groupes d'ordinateurs spécifiques ou pour des espaces de travail spécifiques, par exemple Endpoint Protection. Grâce aux filtres, vous pouvez consulter toutes les alertes d'un niveau de gravité spécifique et afficher les alertes actives ou clôturées.
  • Logiciel. L'espace de travail Logiciel répertorie les programmes installés sur tous les ordinateurs clients gérés à l'aide de Windows Intune et vous permet de trier l'inventaire par éditeur de logiciel, nom, nombre d'installations ou catégorie. Chaque titre de logiciel a sa propre entrée dans la liste. Vous pouvez également rechercher des logiciels spécifiques.
  • Licences. L'espace de travail Licences vous permet de télécharger les informations des termes du contrat de licence logiciel Microsoft sur les services proposés dans le cadre des Programmes de Concession de Licence en Volume (MVLS) et vous permet de déterminer le droit de licence correspondant à un ensemble de contrats de licence en volume Microsoft.
  • Stratégie. L'espace de travail Stratégie vous permet de configurer les stratégies Windows Intune qui gèrent les paramètres de mises à jour, d'Endpoint Protection, du Pare-feu Windows et de Windows Intune Center sur les ordinateurs. Vous pouvez créer des stratégies à partir de modèles, configurer des paramètres de stratégies, puis déployer ces stratégies sur des groupes d'ordinateurs. Les modèles de stratégies comprennent des descriptions de paramètres et des valeurs conseillées. En outre, vous pouvez rechercher des stratégies par nom ou par description.
  • Rapports. Bien que d'autres espaces de travail de la console Administrateur Windows Intune proposent également une fonctionnalité de recherche et de filtre, l'espace de travail Rapports vous permet d'obtenir des rapports plus détaillés et d'imprimer ou d'exporter les informations. L'espace de travail Rapports offre des rapports pour les mises à jour, les logiciels et les licences. Par exemple, le rapport de réconciliation de licences affiche une liste détaillée des logiciels par rapport à vos licences.
  • Administration. L'espace de travail Administration vous permet de télécharger la version la plus récente du logiciel client, d'afficher les détails de votre compte Windows Intune (par exemple, le nom de compte, le statut et le nombre de sièges actifs) et d'ajouter des administrateurs à votre compte. Vous pouvez également utiliser les outils de l'espace de travail Administration afin de configurer les types de mises à jour que vous souhaitez déployer sur les ordinateurs gérés de votre organisation et d'envoyer des notifications par courrier électronique à d'autres employés de votre organisation lorsque des alertes spécifiques sont générées. En outre, vous pouvez activer ou désactiver les alertes d'un type spécifique afin de pouvoir vous concentrer sur les alertes les plus importantes dans votre environnement.

Les alertes d'assistance à distance offrent un outil clé pour résoudre les problèmes se produisant sur des ordinateurs gérés. Un utilisateur sur un ordinateur géré peut être à l'origine d'une demande d'assistance à distance qui génère une alerte. Lorsque vous consultez l'alerte dans la console Administrateur Windows Intune, vous pouvez accepter la demande. Le fait d'accepter la demande ouvre une session de Microsoft Easy Assist afin que vous puissiez effectuer un dépannage à distance sur l'ordinateur de l'utilisateur.

Windows Intune offre également des droits de mise à niveau de Windows 7 Entreprise avec Software Assurance. Grâce aux droits de mise à niveau fournis par Windows Intune, vous pouvez mettre à niveau tout ordinateur géré par Windows Intune et répondant à la configuration système minimum requise pour passer de Windows 7 à Windows 7 Entreprise. Windows Intune offre également tous les services du programme Microsoft Software Assurance pour Windows, notamment :

  • Nouveaux droits relatifs aux versions
  • Services TechNet via Software Assurance
  • Support Hotfix étendu
  • Support technique de résolution des problèmes 24x7
  • Programme d'achat réservé aux employés
  • eLearning
  • Bons de formation

Pour en savoir plus sur Windows Intune, consultez le site Web Windows Intune. Vous trouverez également des informations techniques sur Windows Intune dans le Windows Intune TechCenter.


Virtualisation d'applications

Les applications virtuelles sont diffusées en continu vers des ordinateurs en tant que services réseau. Elles ne laissent aucune empreinte sur les systèmes et sont faciles à mettre à jour. Elles sont également autonomes et permettent d'éviter les conflits entre les applications personnelles et professionnelles susceptibles de provoquer des temps morts et d'exiger l'intervention de l'équipe du support technique.

App-V fait partie de MDOP qui prend en charge l'empaquetage, le déploiement et la gestion des applications virtuelles. App-V peut rendre les applications disponibles pour les ordinateurs des utilisateurs finaux sans que vous ayez à installer les applications directement sur ces ordinateurs. Cette opération est possible grâce à un processus nommé séquencement de l'application qui permet à chaque application de s'exécuter dans son propre environnement virtuel autonome sur l'ordinateur client. Les applications séquencées sont isolées les unes des autres. Ce scénario supprime les conflits d'applications, mais ces dernières peuvent toujours interagir avec l'ordinateur client.

Le client App-V est la fonctionnalité qui permet aux utilisateurs finaux d'interagir avec les applications après leur publication sur l'ordinateur. Le client gère l'environnement virtuel dans lequel les applications virtualisées sont exécutées sur chaque ordinateur. Une fois que le client a été installé sur un ordinateur, les applications doivent être rendues disponibles sur l'ordinateur via un processus connu sous le nom de publication qui permet à l'utilisateur final d'exécuter les applications virtuelles. Le processus de publication copie les icônes et les raccourcis de l'application virtuelle sur l'ordinateur, généralement sur le bureau Windows ou dans le menu Démarrer, et copie également la définition de package et les informations sur l'association de types de fichiers sur l'ordinateur. La publication rend également le contenu du package de l'application disponible pour les ordinateurs des utilisateurs finaux.

Le contenu du package de l'application virtuelle peut être répliqué sur un ou plusieurs serveurs App-V afin de pouvoir être diffusé en continu vers les clients à la demande et mis en cache localement. Les serveurs de fichiers et les serveurs Web peuvent également être utilisés comme serveurs de diffusion en continu, ou encore le contenu peut être copié directement sur les ordinateurs des utilisateurs finaux. Dans le cadre d'une implémentation multiserveur, la gestion d'un contenu de package et son actualisation sur tous les serveurs de diffusion en continu requièrent une solution complète de gestion des packages. Selon la taille de votre organisation, vous aurez peut-être besoin de plusieurs applications virtuelles disponibles pour des utilisateurs finaux répartis dans le monde entier. La gestion des packages de façon à ce que les applications appropriées soient disponibles pour tous les utilisateurs à l'endroit et au moment où il est nécessaire d'y accéder est donc une condition importante.

Composants

Comme illustré à la figure 2, les composants principaux d'App-V sont les suivants :

  • Client. Le client fournit et gère l'environnement virtuel sur les PC clients. Il gère le cache, l'actualisation de publication, le transport et toutes les interactions avec les serveurs App-V.
  • Magasin de données. Le magasin de données est une base de données Microsoft SQL Server qui est chargée de stocker toutes les informations relatives à l'infrastructure App-V. Ces informations comprennent tous les enregistrements de l'application, les affectations de l'application et les groupes chargés de la gestion de l'environnement App-V.
  • Console de gestion. La console de gestion est un composant logiciel enfichable Microsoft Management Console (MMC) 3.0 utilisé pour gérer l'infrastructure App-V. Vous pouvez installer cet outil sur le serveur App-V ou sur un PC distinct.
  • Serveur d'administration. Le serveur d'administration est chargé de la diffusion en continu du contenu du package et de la publication des raccourcis, ainsi que des associations de types de fichier au client. Il prend en charge la mise à niveau active, la gestion des licences et une base de données susceptible d'être utilisée pour les rapports.
  • Service Web de gestion. Le service Web de gestion communique les demandes de lecture et d'écriture au magasin de données. Vous pouvez installer le service Web de gestion sur le serveur d'administration ou sur un PC distinct sur lequel Microsoft Internet Information Services (IIS) est installé.
  • Sequencer. Le Sequencer vous permet de surveiller et de capturer l'installation des applications afin de créer des packages d'applications virtuelles. La sortie contient les icônes de l'application, un fichier .osd contenant les informations relatives à la définition du package, un fichier manifeste du package et le fichier .sft contenant les fichiers de contenu du programme de l'application.
  • Serveur de diffusion en continu. Le serveur de diffusion en continu est chargé d'héberger les packages App-V pour la diffusion en continu vers des clients situés dans des succursales où le lien qui renvoie vers le serveur d'administration est lent. Ce serveur contient la fonctionnalité de diffusion en continu et ne fournit ni la console de gestion ni le service Web de gestion.
  • Dossier Contenu. Le dossier Contenu est l'emplacement des packages App-V disponibles pour la diffusion en continu. Vous pouvez situer ce dossier sur un partage se trouvant sur ou en dehors du serveur de gestion.

Diagramme de la virtualisation des applications

Figure 2. Virtualisation d'applications

App-V 4.6 est la dernière version du produit. Avec App-V 4.6, vous pouvez séquencer et exécuter des applications 32 bits et 64 bits sur la version 64 bits de Windows 7. Il prend en charge les nouvelles fonctionnalités de Windows 7, telles que la barre des tâches, les listes de raccourcis, AppLocker, BranchCache et BitLocker To Go. App-V 4.6 ajoute la prise en charge de 12 langues supplémentaires. Pour prendre en charge l'infrastructure VDI (Virtual Desktop Infrastructure), App-V 4.6 permet d'utiliser un cache partagé en lecture seule afin de faciliter l'optimisation du stockage sur disque sur le serveur. En dernier lieu, App-V 4.6 améliore le séquencement et prend en charge le séquencement des applications 32 bits et 64 bits. Pour en savoir plus sur App-V, consultez le site Web Microsoft Desktop Optimization Pack. Pour obtenir des informations techniques détaillées, consultez TechNet sur Virtualisation d'applications.

Remarque : Citrix XenApp est une solution Partenaire Microsoft qui étend la prise en charge des applications virtuelles traditionnelles et App-V à un large éventail de périphériques, dont les smartphones et divers périphériques autres que Windows. Elle offre une distribution d'applications à la demande capable de virtualiser, de centraliser et de gérer presque toutes les applications du centre de données. Grâce à XenApp, vous pouvez centraliser les applications dans le centre de données, contrôler et chiffrer l'accès aux données et aux applications, et distribuer des applications instantanément aux utilisateurs presque n'importe où. Pour en savoir plus sur Citrix XenApp, visitez le site Web de Citrix XenApp. En outre, l'article «  Comment publier une application App-V dans Citrix XenApp » décrit l'utilisation de XenApp pour publier des applications App-V.

System Center Configuration Manager 2007

Le Gestionnaire de configuration offre aux professionnels de l'informatique la possibilité de déployer, mettre à jour et suivre l'utilisation des applications physiques et virtuelles au sein d'une même expérience de gestion. Grâce à l'intégration transparente des formats d'applications virtuelles à la capacité de distribution de logiciels du Gestionnaire de configuration, les professionnels de l'informatique peuvent suivre des processus et un workflow connus afin de distribuer des applications virtuelles aux utilisateurs. Cela permet au service informatique de distribuer des applications plus rapidement tout en empêchant les applications potentiellement contradictoires d'interférer les unes avec les autres. L'intégration du Gestionnaire de configuration avec App-V offre une évolutivité ajoutée tout en permettant au service informatique d'avoir des points de distribution existants qui diffusent en continu les applications virtuelles, ce qui élimine le besoin d'une infrastructure App-V distincte. Avec le Gestionnaire de configuration, les applications virtuelles peuvent être distribuées aux ordinateurs ou aux utilisateurs. Les administrateurs peuvent inventorier les applications virtuelles et les distribuer dans le cadre des séquences de la tâche de déploiement du système d'exploitation.

Le Gestionnaire de configuration prend la place des composants de publication et de diffusion en continu dans une infrastructure App-V complète type en s'intégrant avec une infrastructure de Gestionnaire de configuration existante qui distribue déjà des applications traditionnelles, des mises à jour, etc. La figure 3 illustre les composants et les processus minimaux du Gestionnaire de configuration et d'App-V nécessaires pour gérer les applications virtuelles avec le Gestionnaire de configuration. Le séquenceur App-V génère des packages qui peuvent être distribués via une infrastructure de Gestionnaire de configuration aux clients du Gestionnaire de configuration. Cela permet d'éliminer le besoin de deux infrastructures distinctes pour prendre en charge le déploiement des applications. Les applications traditionnelles et virtuelles peuvent ainsi être déployées à partir de la même console.

Diagramme de l'infrastructure du Gestionnaire de configuration et d'App-V

Figure 3. Infrastructure du Gestionnaire de configuration et d'App-V

Pour utiliser le Gestionnaire de configuration afin de publier des applications virtuelles, vous devez suivre un processus simple. À un niveau élevé, pour être gérées avec le Gestionnaire de configuration, les applications virtuelles doivent être séquencées, publiées à l'aide des annonces du Gestionnaire de configuration et distribuées aux clients. Le processus minimum suivant est nécessaire pour prendre en charge App-V dans une infrastructure de Gestionnaire de configuration :

  1. Séquencement. Comme dans l'App-V traditionnel, la gestion des applications virtuelles dans le Gestionnaire de configuration commence par transférer une application dans le format séquencé. Avec le Gestionnaire de configuration, les applications doivent être séquencées avec App-V 4.5 ou un séquenceur plus récent afin de créer les fichiers nécessaires (fichier Manifest.xml) à la publication et à la distribution.
  2. Publication. La publication est le processus qui consiste à fournir les applications aux utilisateur ou aux ordinateurs dans le Gestionnaire de configuration. Le Gestionnaire de configuration utilise des points de distribution afin de diffuser les applications en flux continu ou au format télécharger et exécuter.
  3. Distribution. La distribution est le processus de transfert des ressources des applications virtuelles sur les ordinateurs clients. Ce processus est généralement qualifié de distribution en flux continu dans une infrastructure App-V complète. Le Gestionnaire de configuration propose deux options de distribution des applications virtuelles (distribution en flux continu et télécharger et exécuter). Le format de distribution par défaut est télécharger et exécuter pour éviter les dépendances de connectivité.

La gestion d'applications virtuelles avec le Gestionnaire de configuration requiert le séquenceur App-V pour créer des packages, un serveur de site du Gestionnaire de configuration, des points de distribution du Gestionnaire de configuration pour distribuer les packages et des ordinateurs clients du Gestionnaire de configuration avec le client App-V installé. Les composants minimum suivants sont nécessaires pour prendre en charge App-V dans une infrastructure de Gestionnaire de configuration :

  • Séquenceur App-V Microsoft. Similaire à une infrastructure App-V, le séquenceur App-V permet d'empaqueter des applications virtuelles pour un déploiement avec le Gestionnaire de configuration.
  • Serveur de site du Gestionnaire de configuration. Partie intégrante de la hiérarchie de site du Gestionnaire de configuration, le serveur de site du Gestionnaire de configuration gère la distribution d'applications virtuelles via des points de distribution du Gestionnaire de configuration vers des systèmes cibles, sous forme de service de diffusion en continu ou d'un package distribué localement.
  • Point de distribution du Gestionnaire de configuration. Les rôles de site des points de distribution du Gestionnaire de configuration proposent des services de gestion tels que l'inventaire du matériel et des logiciels, le déploiement du système d'exploitation, les mises à jour des logiciels, ainsi que la distribution des logiciels d'applications physiques et virtuelles aux systèmes cibles du Gestionnaire de configuration.
  • Clients Gestionnaire de configuration/App-V. Les périphériques clients comprennent les ordinateurs portables et de bureau, ainsi que les serveurs de terminaux et les clients VDI. Les clients Gestionnaire de configuration qui reçoivent des applications virtuelles d'une infrastructure de Gestionnaire de configuration ont besoin que le client Gestionnaire de configuration et le client App-V soient installés et configurés. Les logiciels clients Gestionnaire de configuration et App-V travaillent conjointement pour distribuer, interpréter et lancer des packages d'applications virtuelles. Le client Gestionnaire de configuration gère la distribution de packages d'applications virtuelles au client App-V. Le client App-V exécute l'application virtuelle sur l'ordinateur client.
System Center Configuration Manager 2012

Configuration Manager 2012, maintenant en version bêta 2, permet au service informatique de laisser les utilisateurs avoir recours aux périphériques et aux applications dont ils ont besoin, tout en assurant le contrôle nécessaire pour protéger les ressources de l'entreprise. Il offre une infrastructure unifiée de gestion des environnements mobile, physique et virtuel permettant au service informatique de distribuer et de contrôler les expériences utilisateur en fonction de l'identité, de la connectivité et des spécificités des périphériques des utilisateurs. Parallèlement à l'inventaire, au déploiement du système d'exploitation, à la gestion des mises à jour, à l'évaluation et à l'application des paramètres que vous attendez du Gestionnaire de configuration, la nouvelle version proposera :

  • Gestion mobile, physique et virtuelle intégrée. Fournit un outil unique et unifié avec lequel gérer tous les bureaux de vos clients, les clients légers, les périphériques mobiles et les bureaux virtuels.
  • Expérience d'application personnalisée. Évalue l'identité d'entreprise, le type de périphérique et les capacités réseau pour distribuer les applications de la façon la plus optimale pour l'utilisateur, via une installation locale, la diffusion en continu par l'intermédiaire d'App-V ou d'un serveur de présentation. Il s'intègre à Citrix XenApp pour donner aux utilisateurs l'accès à toutes les applications professionnelles à partir d'un large éventail de plateformes mobiles.
  • Libre-service d'applications. Permet aux utilisateurs de configurer eux-mêmes les applications en toute sécurité, où qu'ils soient, à l'aide d'un catalogue Web facile à utiliser.
  • Sécurité et conformité intégrées. S'intègre à Forefront Endpoint Protection pour offrir une solution unique de protection contre les logiciels malveillants, en identifiant et en réparant les vulnérabilités, ainsi qu'en bénéficiant d'une visibilité dans les systèmes non conformes.
  • Application continue des paramètres. Identifie automatiquement les bureaux personnels virtuels ou physiques non conformes et les répare.

Vous trouverez des informations complémentaires sur les nouvelles fonctionnalités mises à jour impliquant le déploiement d'applications virtuelles dans la version bêta 2 de System Center Configuration Manager 2012 dans Présentation de la gestion des applications dans Configuration Manager 2012.


Infrastructure VDI (Virtual Desktop Infrastructure)

En raison de la « consumérisation », les utilisateurs apportent au travail bien plus qu'un PC exécutant Windows. Les tablettes multimédias autres que Windows exécutent divers systèmes d'exploitation, par exemple Apple iOS, Google Android, Linux, etc. Ces périphériques offrent différentes interfaces utilisateur, différents niveaux de sécurité et différentes capacités de gestion. Il existe plusieurs systèmes d'exploitation sur les périphériques grand public, c'est pourquoi il est essentiel d'adopter une approche systématique de la gestion et de la sécurité.

Microsoft offre des technologies avec lesquelles il est possible d'assurer la gestion et la sécurité de ces types disparates de périphériques grand public. Pour les périphériques qui ne proposent pas Windows 7 complet et la sécurité qu'il offre, vous pouvez utiliser une stratégie d'infrastructure VDI afin de permettre un accès sécurisé à un bureau Windows hébergé par un serveur. Cette approche est la plus efficace pour les ordinateurs portables et les tablettes multimédias autres que Windows. Toutefois, une stratégie d'infrastructure VDI peut également être utile lorsque les employés apportent leurs propres ordinateurs portables Windows sur leur lieu de travail. Dans ce cas, VDI permet d'offrir un ordinateur d'entreprise sécurisé, tout en conservant tous les logiciels et les données personnelles hors du réseau de l'entreprise.

L'infrastructure VDI est une solution centralisée de distribution sur les bureaux. Illustré à la figure 4, le concept d'infrastructure VDI consiste à stocker et exécuter des charges de travail de bureau, dont un système d'exploitation client Windows, des applications et des données, sur un ordinateur virtuel basé sur un serveur dans un centre de données et de permettre à un utilisateur d'interagir avec le bureau présenté sur un périphérique utilisateur via le protocole RDP (Remote Desktop Protocol) et RemoteFX. VDI fait partie intégrante d'une stratégie de virtualisation holistique et unie de l'entreprise pour toute l'infrastructure informatique afin de prendre en charge la vision de Microsoft d'une informatique dynamique. VDI n'est pas une architecture isolée, mais plutôt l'une des nombreuses technologies disponibles afin d'optimiser les ordinateurs de bureau d'une entreprise.

Pour les périphériques qui ne peuvent pas proposer d'environnement Windows 7 complet, l'infrastructure VDI peut permettre un accès sécurisé à un ordinateur de bureau Windows 7 hébergé par un serveur. Pour les ordinateurs et les tablettes multimédias qui n'exécutent pas Windows (par exemple Apple Mac, Apple iPad et les miniportables Linux), l'infrastructure VDI peut être la solution la plus efficace. Toutefois, l'infrastructure VDI peut également être utile lorsque les employés apportent leurs propres ordinateurs portables qui exécutent Windows sur leur lieu de travail. Elle peut apporter un ordinateur de bureau sécurisé, tout en gardant les données personnelles et les logiciels hors du réseau de l'entreprise.

Diagramme de l'infrastructure VDI (Virtual Desktop Infrastructure)

Figure 4. Infrastructure VDI (Virtual Desktop Infrastructure)

Pour plus d'informations sur l'infrastructure VDI, consultez Technologies et produits de virtualisation.

Expérience

Partie intégrante de Windows Server 2008 R2, les services Bureau à distance offrent le service Broker pour les connexions Bureau à distance. Le service Broker pour les connexions Bureau à distance est un service Broker qui fournit une expérience unifiée d'accès à l'infrastructure VDI, ainsi qu'aux ordinateurs de bureau à distance traditionnels basés sur des sessions. Le service Broker pour les connexions Bureau à distance distribue les ordinateurs de bureau de façon similaire à RemoteApp. Par exemple, un utilisateur accède à http://rds-all.contoso.corp/rdweb pour consulter une page Web qui répertorie les applications et les ordinateurs de bureau autorisés, une fois qu'ils ont été authentifiés.

La figure 5 illustre trois applications Office 2007 publiées à l'aide de RemoteApp. Dans Windows Server 2008 R2, les programmes RemoteApp indiqués à une URL peuvent être composés de plusieurs sources. Ils n'ont pas besoin d'être installés sur le même Hôte de session Bureau à distance ou serveur de services Terminal Server. Ils peuvent provenir de plusieurs Hôtes de session Bureau à distance et serveurs de services Terminal Server, bien qu'ils soient composés et présentés avec la même URL. De plus, la présence d'un programme RemoteApp repose sur la liste de contrôle d'accès d'une application publiée dans Hôte de session Bureau à distance. Par défaut, tous les utilisateurs authentifiés ont accès aux programmes RemoteApp publiés.

Capture d'écran de la Connexion Bureau à distance

Figure 5. Service Broker pour les connexions Bureau à distance

L'icône Mon bureau apparaît uniquement pour les utilisateurs auxquels un bureau virtuel personnel a été attribué. L'attribution peut être effectuée dans le service Broker pour les connexions Bureau à distance ou dans l'objet utilisateur d'AD DS. Lorsqu'un utilisateur clique sur l'icône Mon bureau, un bureau virtuel est distribué au périphérique de l'utilisateur, une fois que ce dernier a été authentifié.

L'icône Contoso Desktop permet d'accéder à un bureau virtuel exécuté sur un ordinateur virtuel sélectionné dynamiquement à partir d'un pool d'ordinateurs virtuels défini dans le service Broker pour les connexions Bureau à distance. Une fois qu'un pool d'ordinateurs virtuels a été défini, l'icône permettant d'accéder à un ordinateur virtuel du pool s'affiche sur la page Web des services Bureau à distance pour tous les utilisateurs authentifiés, qu'un utilisateur ait accès au pool ou non. Le nom d'affichage de la page et celui de l'icône permettant d'accéder à un pool d'ordinateurs virtuels peuvent être aisément personnalisés dans le service Broker pour les connexions Bureau à distance. Dans cet exemple, « Contoso Wonder LAN » et « Contoso Desktop » sont des noms d'affichage personnalisés. Vous trouverez plus d'informations sur les services Bureau à distance et sur la façon dont le service Broker pour les connexions Bureau à distance joue un rôle central dans une solution d'infrastructure VDI dans Description de l'architecture des services Bureau à distance.

Connexions aux programmes RemoteApp et aux services Bureau à distance est une nouvelle fonctionnalité de Windows Server 2008 R2 qui permet d'accéder aux programmes RemoteApp, aux bureaux à distance et aux bureaux virtuels à partir du menu Démarrer d'un ordinateur exécutant Windows 7. Vous pouvez configurer Connexions aux programmes RemoteApp et aux services Bureau à distance de la façon suivante :

  • Manuellement dans le Panneau de configuration. L'URL d'une page Web des services Bureau à distance et les informations d'identification de l'utilisateur sont nécessaires pour effectuer le processus. Lorsque Connexions aux programmes RemoteApp et aux services Bureau à distance accède à une page des services Bureau à distance de la part des utilisateurs, ces derniers sont invités à saisir leurs informations d'identification.
  • Manuellement à l'aide d'un fichier de configuration du client (.wcx). Vous pouvez créer et distribuer aux utilisateurs un fichier de configuration du client (.wcx) qui configure Connexions aux programmes RemoteApp et aux services Bureau à distance.
  • Automatiquement à l'aide d'un script. Vous pouvez distribuer un script permettant d'exécuter le fichier de configuration du client en silence, afin que Connexions aux programmes RemoteApp et aux services Bureau à distance soit paramétré automatiquement lorsque les utilisateurs se connectent à leur ordinateur exécutant Windows 7. L'automatisation est facile, elle minimise l'intervention d'un opérateur et offre une expérience utilisateur formidable.

Grâce à Connexions aux programmes RemoteApp et aux services Bureau à distance, les utilisateurs peuvent accéder aux programmes RemoteApp et aux bureaux virtuels directement depuis le menu Démarrer sans spécifier d'URL pour les services Bureau à distance. Cette fonctionnalité réduit au minimum la formation des utilisateurs et offre une expérience utilisateur cohérente sur les applications Windows.

Composants

Avec l'infrastructure VDI, un bureau virtuel est isolé du périphérique du client et il est exécuté sur un ordinateur virtuel géré dans un centre de données. Ce périphérique peut être un ordinateur de bureau, un ordinateur portable, une tablette multimédia ou un ordinateur client léger, exécutant Windows ou un autre système d'exploitation. Les utilisateurs interagissent avec leur bureau virtuel via les services Bureau à distance et RemoteFX, qui fournit une expérience riche en matière de bureau. Semblable aux bureaux à distance reposant sur les sessions (c'est-à-dire les services Terminal Server), l'infrastructure VDI fournit une session de serveur avec un environnement de bureau haute-fidélité virtualisé au sein d'un hyperviseur basé sur les serveurs. L'infrastructure VDI repose sur le principe que tous les utilisateurs exécutent des bureaux virtuels sur des ordinateurs virtuels. Les composants techniques clés qui font de VDI une réalité sont notamment les suivants :

  • Windows Server 2008 R2 avec Hyper-V. Il s'agit d'un hôte de virtualisation qui exécute les ordinateurs virtuels et est essentiellement une grille de l'infrastructure de solution de virtualisation. C'est un référentiel avec des ressources de virtualisation telles que les ordinateurs virtuels, les disques durs virtuels, les profils matériels et logiciels, etc.
  • Microsoft App-V. App-V est un outil dynamique de déploiement des applications qui repose sur les profils utilisateur et reste transparent pour le système d'exploitation local. Pour plus d'informations sur App-V, consultez la section nommée « Virtualisation d'applications » dans ce livre blanc.
  • Services Bureau à distance Microsoft. Les services Bureau à distance offrent une seule URL cohérente qui permet d'accéder aux ressources publiées sur plusieurs hôtes de session Bureau à distance et serveurs de terminaux.
  • Microsoft RemoteFX. Partie intégrante de Windows 7 et Windows Server 2008 R2 avec Service Pack 1, RemoteFX offre une expérience utilisateur complète de Windows à divers périphériques clients, dont les périphériques grand public. RemoteFX offre une expérience utilisateur riche pour VDI en fournissant un adaptateur virtuel 3D, des codecs intelligents et la possibilité de rediriger les périphériques USB sur les ordinateurs virtuels. Il est intégré au protocole RDP (Remote Desktop Protocol), qui permet le chiffrement, l'authentification et la gestion partagés, ainsi que la prise en charge des périphériques.
  • System Center Management Suite. Cette suite offre une solution de gestion complète du cycle de vie informatique d'une entreprise. Elle peut simplifier le déploiement, la configuration et la gestion des hôtes de virtualisation et des ordinateurs virtuels. Les fonctionnalités incluent :
    • Gestion des bureaux et des applications virtuels. Le Gestionnaire de configuration fournit une gestion des ressources, des applications, des utilisations et des configurations souhaitées pour les bureaux personnels physiques et virtuels.
    • Gestion complète de l'infrastructure VDI. System Center Operations Manager contrôle l'état, l'intégrité et les performances afin de garantir le temps de fonctionnement et de réduire le coût de gestion global.
    • Gestion d'une infrastructure VDI tierce. Pour les organisations qui utilisent les solutions VDI Citrix, System Center Virtual Machine Manager gère les ordinateurs virtuels et l'utilisation des serveurs dans tout le centre de données. Virtual Machine Manager est intégré à Operations Manager de façon à fournir une gestion améliorée des scénarios VDI, ce qui permet une attribution des ordinateurs virtuels basée sur les performances et les ressources.
    • Vérification de conformité. System Center ServiceManager et son pack de gestion des processus GRC informatiques utilisent les informations recueillies auprès du Gestionnaire de configuration, d'Operations Manager et d'Active Directory pour fournir des rapports unifiés et une visibilité de la conformité dans les environnements VDI.
Modèles

Il existe deux modèles de déploiement d'une infrastructure VDI :

  • Un bureau virtuel statique ou persistant. Dans le cadre d'une architecture statique, il y a un mappage un-à-un des ordinateurs virtuels aux utilisateurs. Un ordinateur virtuel désigné est attribué à chaque utilisateur. Dans la mesure où les ordinateurs virtuels sont généralement stockés sur un réseau de zone de stockage (SAN) et sont exécutés sur un serveur, un grand nombre d'utilisateurs risque de mener à des exigences SAN conséquentes.
  • Un bureau virtuel dynamique ou non persistant. Dans le cadre d'une architecture dynamique, il n'y a qu'une seule image principale du bureau stocké. Tous les profils, personnalisations, applications utilisateur, etc., sont stockés séparément du bureau. Lorsqu'un utilisateur demande un bureau, un ordinateur virtuel cloné de l'image principale est combiné aux données personnelles de l'utilisateur et aux applications distribuées dynamiquement au périphérique utilisateur en fonction des profils itinérants et d'App-V. Une expérience de bureau personnalisée est ainsi obtenue en configurant dynamiquement une image de base. Cela simplifie la gestion globale des ordinateurs virtuels en réduisant le nombre d'images de bureau gérées.
Gestion des licences

L'infrastructure VDI fournit un bureau à la demande à un périphérique utilisateur via une connexion réseau. Ce fonctionnement diffère de l'exécution d'un ordinateur de bureau conventionnel, pour lequel une licence OEM est liée au matériel et ne peut pas être attribuée dynamiquement, comme avec VDI. L'octroi de licences traditionnel est devenu insuffisant pour refléter correctement le nombre de licences utilisées dans un déploiement de bureau fourni avec VDI.

Afin de répondre aux nouveaux scénarios de déploiement, Microsoft a créé deux nouvelles offres pour l'infrastructure VDI :

  • Microsoft Virtual Desktop Infrastructure Standard Suite (VDI Standard Suite)
  • Microsoft Virtual Desktop Infrastructure Premium Suite (VDI Premium Suite)

VDI Standard Suite et VDI Premium Suite sont concédées sous licence par périphérique client accédant à l'environnement VDI. Elles permettent donc une souplesse de conception et de croissance de l'infrastructure de serveurs. Pour en savoir plus sur les licences des suites VDI, consultez le site Services Bureau à distance de Microsoft. Vous trouverez des informations supplémentaires sur les licences des services Bureau à distance sur Licences des services Bureau à distance dans Windows Server 2008 R2.

Considérations

Les services Bureau à distance et l'infrastructure VDI sont des composants clés de la virtualisation des bureaux et ils répondent à des besoins et à des scénarios informatiques spécifiques avec la disponibilité et la souplesse du déploiement. Pour un employé effectuant des tâches à distance, qui a besoin d'accéder à une application spécifique afin d'effectuer une tâche bien définie (par exemple, entrer des données ou signaler un statut pour les rapports de temps, mettre à jour des inventaires ou signaler des incidents), il est possible que RemoteApp soit suffisant. Toutefois, un travailleur du savoir, qui effectue des tâches complexes ou non structurées telles que l'analyse des données, l'élaboration d'une solution, la conception d'un produit, l'écriture d'un code ou le dépannage de systèmes, aura certainement besoin d'un accès complet à un bureau afin de garantir la productivité. Dans ce cas, le déploiement d'un bureau virtuel est une solution.

Bien que l'infrastructure VDI soit flexible, elle a besoin de plus de ressources en matériel de serveurs que l'approche de bureau à distance traditionnelle basée sur les sessions. Le tableau 1 compare la virtualisation basée sur les sessions à l'infrastructure VDI. En règle générale, VDI requiert un investissement initial en matériel de serveurs et de stockage afin de stocker et d'exécuter tous les ordinateurs virtuels nécessaires. Afin de s'assurer que les utilisateurs peuvent accéder aux bureaux virtuels, le réseau prenant en charge VDI doit être hautement disponible. Généralement, les exigences en matière de bande passante du réseau sont plus importantes pour prendre en charge VDI que pour prendre en charge les services Terminal Server. Un logiciel des gestion des ordinateurs virtuels est également essentiel pour gérer les bureaux virtuels en entreprise.

Tableau de comparaison entre la virtualisation basée sur les sessions et l'infrastructure VDI

Tableau 1. Virtualisation basée sur les sessions et infrastructure VDI

En outre, les utilisateurs ne doivent pas s'attendre à ce qu'un bureau à distance ou virtuel fonctionne aussi bien qu'un bureau installé localement. Il se peut que les performances audio, vidéo et USB d'un bureau à distance ne soient pas aussi riches que lors d'une exécution directe sur un périphérique utilisateur ou d'une connexion directe avec celui-ci. Un client riche fournira toujours une expérience utilisateur de qualité supérieure à celle vécue avec une infrastructure VDI. Globalement, les points à prendre en compte avec une solution VDI sont notamment les suivants :

  • Approvisionnement d'application
  • Gestion des connexions
  • Capacité du centre de données
  • Gestion des images
  • Infrastructure avec hôtes hyperviseur
  • Gestion des licences
  • Gestion des ordinateurs virtuels

Remarque : Citrix XenDesktop est une solution Partenaire Microsoft qui peut fournir des bureaux et des applications virtuels à la demande sur n'importe quel périphérique utilisé par l'utilisateur, quel que soit l'emplacement où il l'utilise. Pour en savoir plus sur Citrix XenDesktop, consultez le site Web de Citrix XenDesktop. En outre, l'entrée de blog Infrastructure VDI (Virtual Desktop Infrastructure) utilisant Citrix Xendesktop comme Broker décrit en détail la façon dont XenDesktop s'intègre aux architectures VDI et les améliore.


Choisir les bonnes technologies

Cet article a décrit quatre technologies susceptibles d'aider votre organisation à intégrer la « consumérisation ». Ces technologies sont Windows Optimized Desktop, Windows Intune, la virtualisation d'applications et l'infrastructure VDI. La liste suivante décrit comment ces technologies conviennent à des scénarios de « consumérisation » spécifiques :

  • PC Windows gérés. Windows Optimized Desktop peut apporter aux professionnels de l'informatique le contrôle dont ils ont besoin pour surveiller les configurations PC, tout en donnant aux utilisateurs la flexibilité nécessaire à la réalisation de leur travail. Pour plus d'informations, consultez la section nommée « Windows Optimized Desktop » plus haut dans cet article.
  • PC Windows non gérés. Windows Intune est simple à déployer et vous pouvez l'utiliser pour gérer des PC Windows non gérés que les utilisateurs apportent sur leur lieu de travail. Pour plus d'informations sur Windows Intune, consultez la section nommée « Services en nuage Windows » plus haut dans cet article.
  • Périphériques autres que Windows. Pour les périphériques qui n'exécutent pas Windows, vous pouvez fournir aux utilisateurs un environnement Windows complet en utilisant l'infrastructure VDI. Pour plus d'informations sur l'infrastructure VDI, consultez la section nommée « Infrastructure VDI (Virtual Desktop Infrastructure) » plus haut dans cet article.

Dans tous les cas, la virtualisation d'applications peut donner aux utilisateurs l'accès aux applications dont ils ont besoin. Pour plus d'informations, consultez la section nommée « Virtualisation d'applications » plus haut dans cet article.


Prise en charge des smartphones et des systèmes d'exploitation mobiles

Des outils sont disponibles pour gérer les smartphones dans l'entreprise. Par exemple, vous pouvez utiliser Exchange ActiveSync pour gérer la plupart des smartphones Microsoft et autres. Exchange ActiveSync est un protocole de synchronisation de Microsoft Exchange Server qui est optimisé pour travailler sur des réseaux à latence élevée et à faible bande passante. Ce protocole, basé sur HTTP et XML, permet aux périphériques d'accéder à des informations telles que les e-mails, les calendriers et les contacts sur un système Exchange Server.

Exchange ActiveSync offre également des outils de gestion via les stratégies et les outils associés de boîte aux lettres Exchange ActiveSync. Par exemple, Windows Phone 7 prend en charge les stratégies de gestion, telles que les mots de passe obligatoires et le niveau de sécurité des mots de passe. Il permet également de réinitialiser le périphérique à distance et de restaurer les paramètres d'usine d'un téléphone mobile après plusieurs échecs des tentatives de déverrouillage.

La gestion basée sur Exchange ActiveSync est une norme du secteur pour les smartphones et d'autres périphériques de format réduit. Les plateformes telles que Apple iPhone et iPad, Google Android, Nokia Symbian et Palm prennent en charge Exchange ActiveSync et les stratégies de boîte aux lettres à différents niveaux. Le billet publié sur le blog Mis à jour - Comparaison des clients Exchange ActiveSync (Windows Phone, Windows Mobile, Android, Nokia, Apple, Palm ) compare la prise en charge d'Exchange ActiveSync sur diverses plateformes.

Cette section décrit certaines stratégies et outils de boîte aux lettres dans Exchange ActiveSync que vous pouvez utiliser pour gérer les smartphones. Pour plus d'informations sur Exchange ActiveSync, consultez Gestion des périphériques Exchange ActiveSync sur TechNet.

Réinitialisation à distance

Les téléphones mobiles peuvent stocker des données d'entreprise sensibles et fournir l'accès à de nombreuses ressources d'entreprise. Si un périphérique est perdu ou volé, ces données peuvent être compromises. À l'aide des stratégies Exchange ActiveSync, vous pouvez ajouter des exigences de mot de passe aux téléphones mobiles, en exigeant que les utilisateurs entrent un mot de passe pour accéder à leur téléphone. Outre la demande d'un mot de passe obligatoire pour les périphériques, Microsoft vous recommande de configurer vos téléphones mobiles de façon à ce qu'ils demandent automatiquement un mot de passe après une période d'inactivité. La combinaison d'un mot de passe pour les périphériques et le verrouillage en cas d'inactivité apportent plus de sécurité aux données de votre entreprise. Pour plus d'informations, consultez la section nommée « Gestion des périphériques » plus loin dans ce livre blanc.

Outre ces fonctionnalités, Microsoft Exchange Server 2010 propose une fonctionnalité de réinitialisation à distance. Vous pouvez émettre une commande de réinitialisation à distance d'un périphérique à partir de la console de gestion Exchange. Les utilisateurs peuvent émettre leurs propres commandes de réinitialisation à distance d'un périphérique à partir de l'interface utilisateur Outlook Web App de Microsoft Office. La fonctionnalité de réinitialisation à distance des périphériques comprend également une fonction de confirmation qui inscrit un horodatage dans les données d'état de synchronisation de la boîte aux lettres de l'utilisateur. Cet horodatage s'affiche dans Outlook Web App et dans la boîte de dialogue des propriétés du téléphone mobile de l'utilisateur dans la console de gestion Exchange. Outre la restauration des paramètres d'usine du téléphone mobile, la réinitialisation à distance supprime toutes les données se trouvant sur la carte de stockage du téléphone mobile.

Important : après une réinitialisation à distance, la récupération des données est très difficile. Toutefois, aucun processus de suppression des données ne laisse un périphérique aussi vide de données que lorsqu'il est neuf. La récupération des données d'un périphérique peut être encore possible si vous utilisez des outils sophistiqués.

Vous pouvez réinitialiser un périphérique à distance en utilisant l'une des trois méthodes suivantes :

  • Utilisez la console de gestion Exchange pour effectuer une réinitialisation à distance sur un téléphone mobile.
  • Utilisez Outlook Web App pour effectuer une réinitialisation à distance sur un téléphone mobile.
  • Utilisez l'environnement de ligne de commande Exchange Management Shell pour effectuer une réinitialisation à distance sur un téléphone mobile.

Pour plus d'informations sur la réinitialisation à distance d'un périphérique dans Exchange Server 2010, consultez Effectuer une réinitialisation à distance sur un téléphone mobile sur TechNet.

Gestion des périphériques

Vous pouvez créer une stratégie de boîte aux lettres Exchange Active Sync afin de configurer diverses options de sécurité pour les utilisateurs et leurs périphériques. Outre les paramètres et les exigences de mots de passe, vous pouvez utiliser l'onglet Général de la stratégie afin de spécifier les types de téléphones mobiles susceptibles de se connecter au système Exchange Server et d'indiquer si les pièces jointes peuvent être synchronisées. Voici un résumé des stratégies disponibles :

  • Les stratégies générales spécifient les types de téléphones mobiles susceptibles de se connecter au système Exchange Server et d'indiquer si les pièces jointes peuvent être synchronisées :
    • Autoriser les périphériques non configurables. Autorisez les téléphones mobiles qui ne peuvent pas être configurés automatiquement. Il est possible que ces téléphones mobiles ne puissent pas appliquer tous les paramètres des stratégies Exchange ActiveSync. En activant cette stratégie, vous permettez à ces téléphones mobiles de se synchroniser même si certains paramètres de stratégie ne peuvent peut-être pas être appliqués.
    • Intervalle d'actualisation. Forcer le serveur à envoyer à nouveau la stratégie aux clients selon un intervalle fixe défini dans le nombre d'heures entre les événements d'actualisation de la stratégie.
  • Exigences de mots de passe pour les clients Exchange ActiveSync :
    • Exiger un mot de passe. Exigez un mot de passe pour le téléphone mobile. Si les mots de passe sont obligatoires, les stratégies suivantes deviennent disponibles.
    • Mot de passe alphanumérique requis. Spécifiez que le mot de passe du téléphone mobile doit inclure des caractères non numériques. Le fait d'exiger des caractères non numériques dans les mots de passe accroît la force de la sécurité du mot de passe.
    • Nombre minimal de jeux de caractères. Spécifiez la complexité du mot de passe alphanumérique et obligez les utilisateurs à utiliser différents jeux de caractères parmi les suivants : lettres minuscules, lettres majuscules, symboles et nombres.
    • Activer la récupération du mot de passe. Activez la récupération du mot de passe pour le téléphone mobile. Les utilisateurs peuvent avoir recours à Outlook Web App pour rechercher leur mot de passe de récupération et déverrouiller leur téléphone mobile. Les administrateurs peuvent utiliser la console de gestion Exchange pour rechercher le mot de passe de récupération d'un utilisateur.
    • Exiger le chiffrement du périphérique. Exigez le chiffrement sur le téléphone mobile. Cela permet d'accroître la sécurité en chiffrant toutes les informations se trouvant sur le téléphone mobile.
    • Exiger le chiffrement sur les cartes de stockage. Exigez le chiffrement sur la carte de stockage amovible du téléphone mobile. Cela permet d'accroître la sécurité en chiffrant toutes les informations se trouvant sur les cartes de stockage du téléphone mobile.
    • Autoriser un mot de passe simple. Autorisez les utilisateurs à verrouiller leur téléphone mobile avec des mots de passe simples tels que 1111 ou 1234. Si vous désactivez cette case à cocher, les utilisateurs devront utiliser des séquences de mots de passe plus sécurisées.
    • Nombre d'échecs autorisé. Limitez le nombre d'échecs de tentatives de mots de passe acceptés par un téléphone mobile avant que toutes les informations du téléphone mobile ne soient supprimées et que les paramètres d'usine initiaux ne soient rétablis. Cela limite les risques qu'un utilisateur non autorisé accède à des informations sur un téléphone mobile perdu ou volé qui exige un mot de passe.
    • Longueur minimale du mot de passe. Spécifiez une longueur minimale pour le mot de passe du téléphone mobile. Les mots de passe longs peuvent accroître la sécurité. Ils peuvent cependant réduire la convivialité du téléphone mobile. La longueur de mot de passe moyenne recommandée est de quatre à six caractères.
    • Délai sans entrée utilisateur avant nouvelle saisie du mot de passe (en minutes). Lorsque le mot de passe d'un téléphone mobile est obligatoire, invitez l'utilisateur à saisir le mot de passe après une inactivité d'une durée spécifiée du téléphone. Par exemple, si ce paramètre est défini sur 15 minutes, l'utilisateur doit entrer le mot de passe du téléphone mobile si ce dernier est inactif depuis 15 minutes. Si le téléphone mobile est inactif depuis 10 minutes, l'utilisateur ne devra pas entrer le mot de passe à nouveau.
    • Expiration du mot de passe (jours). Obligez les utilisateurs à réinitialiser le mot de passe de leur téléphone mobile à un intervalle donné. L'intervalle est défini en nombre de jours.
    • Conserver l'historique des mots de passe. Obligez le téléphone mobile à empêcher l'utilisateur de réutiliser les mots de passe précédents. Le nombre que vous définissez détermine le nombre de mots de passe déjà utilisés que l'utilisateur ne sera pas autorisé à réutiliser.
  • Les stratégies des paramètres de synchronisation spécifient divers paramètres propres à la synchronisation :
    • Inclure les éléments de calendrier précédents. Sélectionnez la plage de dates des éléments de calendrier à synchroniser avec le téléphone mobile. Les options disponibles sont les suivantes : Tous, Deux semaines, Un mois, Trois mois et Six mois. Si vous devez spécifier d'autres options, utilisez le Shell pour configurer ce paramètre.
    • Inclure les éléments de message électronique précédents. Sélectionnez la plage de dates des éléments de message électronique à synchroniser avec le téléphone mobile. Les options disponibles sont les suivantes : Tous, Un jour, Trois jours, Une semaine, Deux semaines et Un mois. Si vous devez spécifier d'autres options, utilisez le Shell pour configurer ce paramètre.
    • Limiter la taille des messages électroniques à (Ko). Limitez la taille des messages qui peuvent être téléchargés sur le téléphone mobile. Après avoir activé cette stratégie, spécifiez une taille maximum des messages en kilo-octets (Ko).
    • Autoriser Direct Push lors de l'itinérance. Autorisez le téléphone mobile à se synchroniser lorsque de nouveaux éléments arrivent lorsque vous êtes itinérant avec votre téléphone. Vous êtes itinérant lorsque vous vous trouvez en dehors de votre zone de service normale. Vérifiez auprès de votre prestataire de services mobiles afin de déterminer votre zone de service normale. La désactivation de cette stratégie vous oblige à lancer manuellement la synchronisation lorsque vous êtes itinérant avec le téléphone et les débits de données sont généralement plus élevés.
    • Autoriser les messages électroniques HTML. Autorisez les messages électroniques formatés en HTML à être synchronisés avec le téléphone mobile. Si cette stratégie n'est pas activée, tous les messages électroniques seront convertis en texte brut avant la synchronisation. Cette stratégie n'a aucun impact sur la réception des messages sur le téléphone mobile.
    • Autoriser le téléchargement des pièces jointes sur le périphérique. Autorisez le téléchargement des pièces jointes sur le téléphone mobile. Si cette stratégie est désactivée, le nom de la pièce jointe est visible dans le message électronique, mais il ne peut pas être téléchargé sur le téléphone mobile.
    • Taille maximale des pièces jointes (Ko). Spécifiez une taille maximale pour les pièces jointes téléchargées sur le téléphone mobile. Après avoir activé cette stratégie, spécifiez une taille maximum des pièces jointes en Ko. Si cette stratégie est activée, les pièces jointes dont la taille est supérieure à celle qui a été spécifiée ne peuvent pas être téléchargées sur le périphérique.
  • Les stratégies des périphériques spécifient divers paramètres propres aux périphériques :
    • Autoriser le stockage amovible. Autorisez l'accès aux cartes de stockages à partir d'un téléphone mobile. Si cette stratégie n'est pas activée, il est impossible d'accéder aux cartes de stockage à partir d'un téléphone mobile.
    • Autoriser l'appareil photo. Autorisez l'utilisation de l'appareil photo du téléphone mobile.
    • Autoriser le Wi-Fi. Autorisez le téléphone mobile à utiliser une connexion Wi-Fi pour l'accès Internet. Direct Push n'est pas pris en charge en Wi-Fi.
    • Autoriser l'infrarouge. Autorisez le téléphone mobile à établir une connexion infrarouge avec d'autres périphériques ou ordinateurs.
    • Autoriser le partage Internet à partir du périphérique. Autorisez un autre périphérique à partager la connexion Internet du téléphone mobile. Le partage Internet est souvent utilisé lorsque le périphérique fonctionne comme un modem pour un ordinateur de bureau ou portable.
    • Autoriser le Bureau à distance à partir du périphérique. Autorisez le téléphone mobile à établir une connexion de bureau à distance à un autre ordinateur.
    • Permettre la synchronisation du bureau. Autorisez le téléphone mobile à se synchroniser avec un ordinateur de bureau via ActiveSync de bureau ou Windows Mobile Device Center.
    • Autoriser Bluetooth. Contrôlez la fonctionnalité de Bluetooth sur le téléphone mobile. Vous pouvez choisir Autoriser, Désactiver, ou activer uniquement le Bluetooth mains libres.
  • Les stratégies d'applications des périphériques activent ou désactivent des fonctionnalités spécifiques sur un téléphone mobile :
    • Autoriser le navigateur. Autorisez les téléphones mobiles à utiliser Pocket Internet Explorer. Cette stratégie ne contrôle pas l'accès aux navigateurs de téléphone mobile tiers.
    • Autoriser la messagerie consommateur. Autorisez le téléphone mobile à accéder aux comptes de messagerie autres que les comptes Exchange Server. Les comptes de messagerie consommateur comprennent les comptes auxquels les utilisateurs accèdent via POP3 et IMAP4. Cette stratégie ne contrôle pas l'accès aux applications de messagerie de téléphone mobile tierces.
    • Autoriser les applications non signées. Autorisez l'installation d'applications non signées sur le téléphone mobile.
    • Autoriser les packages d'installation non signés. Autorisez l'exécution de packages d'installation non signés sur le téléphone mobile.
  • D'autres stratégies spécifient les applications autorisées et bloquées :
    • Applications autorisées. Ajoutez des applications à la liste Applications autorisées, ou supprimez-les de cette liste. Les applications autorisées peuvent être installées et exécutées sur le téléphone mobile. Cliquez sur Ajouter pour ajouter une application et cliquez sur Supprimer pour supprimer une application.
    • Applications bloquées. Ajoutez des applications à la liste Applications bloquées, ou supprimez-les de cette liste. L'exécution des applications bloquées est interdite sur le téléphone mobile. Cliquez sur Ajouter pour ajouter une application et cliquez sur Supprimer pour supprimer une application.

Sur TechNet, Gestion d'Exchange ActiveSync avec les stratégies fournit une liste complète des stratégies de boîte aux lettres et décrit leur configuration à l'aide de la console de gestion Exchange et de l'environnement de ligne de commande Shell. La capacité de gestion des périphériques via Exchange Active Sync sera également une fonctionnalité principale de System Center Configuration Manager 2012, qui est maintenant disponible en version bêta 2.

Valeur du délai d'inactivité

La technologie Direct Push utilise Exchange ActiveSync pour que les données d'un smartphone restent synchronisées avec les données d'Exchange Server. Sur les pare-feu, un délai d'inactivité de connexion réseau indique la durée de vie d'une connexion sans trafic après l'établissement total d'une connexion TCP. Vous devez définir correctement cette valeur d'inactivité pour permettre à l'intervalle d'interrogation d'Exchange ActiveSync et à l'intervalle entre les sessions de l'entreprise de communiquer efficacement. Si le pare-feu ferme la session, les messages électroniques ne seront pas distribués tant que le client ne se sera pas reconnecté et l'utilisateur peut rester désynchronisé pendant de longues périodes de temps. Microsoft recommande aux entreprises de définir des délais d'inactivité de 30 minutes sur leurs pare-feu entrants. Pour plus d'informations, consultez Comprendre Direct Push et Exchange Server 2010.

Paramètres de découverte automatique

Exchange Server comprend le service de découverte automatique qui simplifie la mise en service des téléphones mobiles en renvoyant les paramètres système requis une fois qu'un utilisateur a entré son adresse e-mail et un mot de passe. Le service de découverte automatique est activé par défaut dans Exchange Server 2010 (figure 6).

Diagramme du service de découverte automatique d'Exchange ActiveSync.

Figure 6. Découverte automatique avec Exchange ActiveSync

Le processus décrit à la figure 6 est le suivant :

  1. L'utilisateur entre son adresse e-mail et son mot de passe sur le téléphone mobile.
  2. Le téléphone mobile se connecte à un serveur DNS racine pour extraire l'URL du service de découverte automatique et l'adresse IP du domaine de l'utilisateur.
  3. Le téléphone mobile utilise une connexion SSL (Secure Sockets Layer) pour se connecter via le pare-feu au répertoire virtuel du service de découverte automatique. Le service de découverte automatique assemble la réponse XML en fonction des paramètres de synchronisation du serveur.
  4. Le service de découverte automatique envoie la réponse XML via le pare-feu sur SSL. Cette réponse XML est interprétée par le téléphone mobile et les paramètres de synchronisation sont configurés automatiquement sur le téléphone mobile.

La capacité d'utilisation de la découverte automatique dépend du système d'exploitation du téléphone mobile que vous utilisez. Certains systèmes d'exploitation de téléphone mobile qui prennent en charge la synchronisation avec Exchange Server ne prennent pas en charge la découverte automatique. Pour plus d'informations sur les systèmes d'exploitation qui prennent en charge la découverte automatique, consultez le billet de blog Mis à jour - Comparaison entre les clients Exchange ActiveSync (Windows Phone, Windows Mobile, Android, Nokia, Apple, Palm).

Pour plus d'informations sur la configuration de la découverte automatique dans Exchange Server, consultez Configurer les paramètres de découverte automatique d'Exchange ActiveSync.


Conclusion

Les services informatiques doivent être capables d'intégrer la « consumérisation » là où cela s'avère approprié, tout en minimisant les risques pour l'entreprise et ses données. En évaluant et en comprenant vos utilisateurs, outre les périphériques qu'ils souhaitent utiliser, vous pouvez vous assurer que votre entreprise bénéficie de la « consumérisation » et que ces avantages peuvent être mesurés et évalués.

L'intégration de la « consumérisation » permet aux entreprises d'apporter des gains de productivité et un avantage face à la concurrence. La « consumérisation » devient une grande opportunité lorsque les stratégies décrites dans cet article sont suivies afin de garantir la sécurité des ressources de l'entreprise et d'établir de nouveaux rôles de partenaires pour les employés décisionnaires et le service informatique. Microsoft dispose d'un éventail de solutions adaptées à l'entreprise et susceptibles de vous aider à gérer les besoins utilisateur qui entourent la « consumérisation », des déploiements de Windows Optimized Desktop aux smartphones Windows et autres, en passant par la gestion en nuage à l'aide de Windows Intune.

Ressources connexes

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?