Sécuriser l'accès aux ressources de la société depuis n'importe quel endroit et n'importe quel appareil

 

En quoi ce guide peut-il vous aider ?

À qui ce guide s'adresse-t-il ?

Ce guide est destiné aux entreprises informatiques traditionnelles dont les architectes d'infrastructure, les experts en sécurité d'entreprise et les experts en gestion d'appareils souhaitent connaître les solutions disponibles pour utiliser les ressources informatiques et le modèle BYOD (Apportez votre propre appareil). La solution complète abordée dans ce guide fait partie de la vision de Microsoft Enterprise Mobility.

Face à la multiplication des appareils, qu'il s'agisse d'appareils appartenant à l'entreprise, d'appareils personnels et d'appareils dont se servent les consommateurs pour accéder aux ressources locales ou cloud de leur entreprise, l'informatique n'a d'autre choix que d'améliorer la productivité et la satisfaction des utilisateurs au niveau de l'usage et de l'identité des appareils, ainsi qu'au niveau de leur connexion aux ressources et applications de l'entreprise. En même temps, cette tendance pose de nombreux défis de gestion et de sécurité aux organisations informatiques, qui doivent s'assurer de la protection de l'infrastructure et des données d'entreprise. Ces sociétés doivent également s'assurer que les ressources sont accessibles conformément aux stratégies de l'entreprise, quel que soit le type d'appareil ou l'emplacement.

Vous pouvez étendre votre infrastructure actuelle en implémentant et en configurant différentes technologies issues de Windows Server 2012 R2 pour configurer une solution de bout en bout qui permettra de relever ces défis.

Le schéma suivant illustre le problème traité dans ce guide de solution. Il montre des utilisateurs se servant de leurs appareils personnels et d'entreprise pour accéder aux applications et aux données à la fois dans le cloud et en local. Ces applications et ressources peuvent être à l'intérieur ou en dehors du pare-feu.

Explosion des appareils et des applications et accès

Contenu de ce guide :

  • Scénario, énoncé du problème et objectifs

  • Conception recommandée pour cette solution

  • Quelles sont les étapes d'implémentation de cette solution ?

Scénario, énoncé du problème et objectifs

Cette section décrit le scénario, l'énoncé du problème et les objectifs d'une organisation fictive.

Scénario

Votre organisation est une banque de taille moyenne. Elle emploie plus de 5 000 personnes qui apportent leurs appareils personnels (basés sur Windows RT et iOS) sur leur lieu de travail. Pour le moment, les employés n'ont aucun moyen d'accéder aux ressources de la société à partir de ces appareils.

Votre infrastructure actuelle comprend une forêt Active Directory dans laquelle est installé un contrôleur de domaine Windows Server 2012. Elle inclut également un serveur d'accès à distance et System Center Configuration Manager par le biais de System Center.

Énoncé du problème

Un rapport récent remis à l'équipe de gestion de votre société par l'équipe informatique montre que de plus en plus d'utilisateurs apportent leurs appareils personnels sur leur lieu de travail et doivent accéder aux données de la société. Face à cette tendance du marché qui voit de plus en plus d'utilisateurs apporter leurs propres appareils, l'équipe de gestion souhaite s'assurer que la société implémente une solution qui prend cette demande en compte de manière sécurisée. Pour résumer, l'équipe informatique de votre société doit :

  • Laisser les employés utiliser leurs appareils personnels et professionnels pour accéder aux données et aux applications de l'entreprise. Ces appareils incluent les PC et appareils mobiles.

  • Fournir un accès sécurisé aux ressources selon les besoins de chaque utilisateur et les stratégies de l'entreprise pour ces appareils. L'expérience utilisateur sur les appareils doit être transparente.

  • Identifier et gérer les appareils.

Objectifs de l'organisation

Ce guide élabore une solution qui permet d'étendre l'infrastructure de votre entreprise présentant les caractéristiques suivantes :

  • Inscription simplifiée des appareils personnels et d'entreprise

  • Connexion transparente aux ressources internes quand c'est nécessaire

  • Accès uniforme aux ressources d'entreprise sur les appareils

Conception recommandée pour cette solution

Pour résoudre son problème et répondre à tous les objectifs mentionnés ci-dessus, votre organisation doit mettre en œuvre plusieurs sous-scénarios. Ces sous-scénarios sont représentés ensemble dans l'illustration suivante.

Vue d'ensemble présentant tous les composants de la solution

  1. Permettre aux utilisateurs d'inscrire leurs appareils et de bénéficier de l'authentification unique

  2.  Configurer un accès transparent aux ressources de l'entreprise 

  3. Améliorer la gestion des risques du contrôle d'accès 

  4. Gestion unifiée des appareils

Permettre aux utilisateurs d'inscrire leurs appareils et de bénéficier de l'authentification unique

Cette partie de la solution implique les phases importantes suivantes.

  • Les administrateurs informatiques peuvent configurer l'inscription d'un appareil, ce qui permet à ce dernier d'être associé à l'annuaire Active Directory de la société et d'utiliser cette association comme authentification à deux facteurs transparente. La jonction d'espace de travail est une nouvelle fonctionnalité d'Active Directory qui permet aux utilisateurs d'enregistrer en toute sécurité leurs appareils dans l'annuaire de votre société. Lors de cette inscription, l'appareil se voit remettre un certificat qui peut être utilisé pour authentifier l'appareil quand l'utilisateur accède à des ressources d'entreprise. En utilisant cette association, les professionnels de l'informatique peuvent configurer des stratégies d'accès personnalisées pour obliger les utilisateurs à s'authentifier et à se servir de leur appareil joint à l'espace de travail quand ils accèdent aux ressources d'entreprise.

  • Les administrateurs informatiques peuvent configurer l'authentification unique à partir des appareils qui sont associés à l'annuaire Active Directory de la société. L'authentification unique permet à un utilisateur final de se connecter une seule fois pour accéder aux différentes applications fournies par son entreprise. Dans Windows Server 2012 R2, la fonctionnalité d'authentification unique est étendue aux appareils joints à un espace de travail. Cela permet d'améliorer l'expérience utilisateur et d'éviter que chaque application stocke les informations d'identification de l'utilisateur. En outre, cela limite les possibilités de collecte de mots de passe sur les appareils personnels ou appartenant à l'entreprise.

Le schéma suivant offre une vue d'ensemble de la jonction d'espace de travail.

Jonction d'espace de travail avec inscription d'appareil local

Chacune de ces fonctionnalités est détaillée dans le tableau suivant.

Élément de conception de la solution

Pourquoi est-il inclus dans cette solution ?

Jonction à l'espace de travail

La fonctionnalité Jonction d'espace de travail permet aux utilisateurs d'enregistrer en toute sécurité leurs appareils dans l'annuaire de votre société. Lors de cette inscription, l'appareil se voit remettre un certificat qui peut être utilisé pour authentifier l'appareil quand l'utilisateur accède à des ressources d'entreprise. Pour plus d'informations, consultez HYPERLINK "https://technet.microsoft.com/library/dn280945.aspx" Joindre un espace de travail à partir de n'importe quel appareil pour l'authentification unique et l'authentification à deux facteurs transparente dans les applications de l'entreprise.

Les technologies et rôles serveur qui doivent être configurés pour cette fonctionnalité sont répertoriés dans le tableau suivant.

Élément de conception de la solution

Pourquoi est-il inclus dans cette solution ?

Contrôleur de domaine avec la mise à jour de schéma Windows Server 2012 R2

L'instance des services de domaine Active Directory (AD DS) fournit un annuaire d'identités pour authentifier les utilisateurs et les appareils, ainsi que pour appliquer les stratégies d'accès et de configuration centralisée. Pour plus d'informations sur la configuration de votre infrastructure de services d'annuaire pour cette solution, consultez Mettre à niveau des contrôleurs de domaine vers Windows Server 2012 R2 et Windows Server 2012.

AD FS avec Device Registration Service

Les services AD FS permettent aux administrateurs de configurer le service DRS (Device Registration Service) et implémentent le protocole de jonction d'espace de travail permettant de joindre un appareil à un espace de travail avec Active Directory. En outre, les services AD FS offrent désormais le protocole d'authentification OAuth ainsi que des stratégies d'authentification d'appareils et de contrôle d'accès conditionnel qui incluent des critères d'utilisateur, d'appareils et d'emplacement. Pour plus d'informations sur la planification de votre infrastructure de conception AD FS, consultez Guide de conception AD FS dans Windows Server 2012 R2.

Considérations conceptuelles concernant la configuration de votre contrôleur de domaine

Vous n'avez pas besoin d'un contrôleur de domaine exécutant Windows Server 2012 R2 pour cette solution. Seule est nécessaire une mise à jour de schéma à partir de votre installation AD DS actuelle. Pour plus d'informations sur l'extension du schéma, consultez Installer les services de domaine Active Directory. Vous pouvez mettre à jour le schéma sur les contrôleurs de domaine existants sans installer un contrôleur de domaine Windows Server 2012 R2 en exécutant Adprep.exe.

Pour obtenir une liste détaillée des nouvelles fonctionnalités, de la configuration système requise et des conditions préalables qui doivent être satisfaites avant de commencer l'installation, consultez Validation des conditions préalables à l'installation d'AD DS et Configuration système requise.

Considérations conceptuelles concernant AD FS

Pour planifier l'environnement AD FS, consultez Identification des objectifs de votre déploiement AD FS.

Configurer un accès transparent aux ressources de l'entreprise

De nos jours, les employés sont mobiles et espèrent pouvoir accéder aux applications dont ils ont besoin pour travailler où qu'ils se trouvent. Les entreprises ont adopté plusieurs stratégies en ce sens à l'aide des réseaux privés virtuels, de DirectAccess et des passerelles des services Bureau à distance.

Toutefois, dans un environnement BYOD, ces approches n'offrent pas le niveau d'isolation de sécurité dont de nombreux clients ont besoin. Pour répondre à ce besoin, le service de rôle Proxy d'application web est inclus dans le rôle Service de routage et d'accès distant. Ce service de rôle permet de publier de manière sélective les applications web métier de votre entreprise pour les rendre accessibles depuis l'extérieur du réseau d'entreprise.

Dossiers de travail est une nouvelle solution de synchronisation de fichiers qui permet aux utilisateurs de synchroniser leurs fichiers entre un serveur de fichiers d'entreprise et leurs appareils. Le protocole de synchronisation repose sur HTTPS. La publication via le proxy d'application web s'en trouve facilitée. Cela signifie que les utilisateurs peuvent désormais effectuer la synchronisation à partir de l'intranet et d'Internet. Cela signifie également que les mêmes contrôles d'authentification et d'autorisation AD FS décrits précédemment peuvent être appliqués pour synchroniser les fichiers d'entreprise. Les fichiers sont ensuite stockés dans un emplacement chiffré sur l'appareil. Puis, ces fichiers peuvent être supprimés de manière sélective quand l'appareil est désinscrit à des fins de gestion.

DirectAccess et le réseau privé virtuel de service de routage et d'accès distant sont combinés en un seul rôle d'accès distant dans Windows Server 2012 R2. Ce nouveau rôle serveur Accès à distance permet de centraliser l'administration, la configuration et la surveillance des services d'accès à distance DirectAccess et VPN.

Windows Server 2012 R2 fournit une infrastructure VDI (Virtual Desktop Infrastructure) qui permet à votre organisation informatique de choisir des bureaux virtualisés regroupés et personnels, ainsi que des bureaux basés sur une session. Elle offre également plusieurs options de stockage informatique, en fonction des besoins.

Le schéma suivant illustre les technologies que vous pouvez implémenter pour assurer un accès transparent aux ressources d'entreprise.

Solution d’accès et de protection des informations

Planification de l'accès aux ressources d'entreprise

Élément de conception de la solution

Pourquoi est-il inclus dans cette solution ?

Proxy d'application web

Permet la publication de ressources d'entreprise, impliquant notamment l'authentification multifacteur et l'application de stratégies d'accès conditionnel quand les utilisateurs se connectent aux ressources. Pour plus d'informations, consultez Guide de déploiement du proxy d'application web.

Dossiers de travail (serveur de fichiers) 

Emplacement centralisé sur un serveur de fichiers dans l'environnement d'entreprise configuré pour autoriser la synchronisation de fichiers sur les appareils de l'utilisateur. L'emplacement Dossiers de travail peut être publié directement via un proxy inverse ou via le proxy d'application web pour les stratégies d'accès conditionnel. Pour plus d'informations, consultez Vue d'ensemble des dossiers de travail.

Accès à distance

Ce nouveau rôle serveur Accès à distance permet de centraliser l'administration, la configuration et la surveillance des services d'accès à distance DirectAccess et VPN. En outre, DirectAccess Windows Server 2012 fournit plusieurs mises à jour et améliorations pour le traitement des bloqueurs de déploiement et simplifie la gestion. Pour plus d'informations, consultez Vue d'ensemble de l'accès sans fil authentifié 802.1X.

VDI

VDI permet à votre organisation de fournir aux employés un bureau et des applications d'entreprise auxquels ils peuvent accéder à partir de leurs appareils personnels et d'entreprise, depuis les emplacements internes et externes, avec l'infrastructure en cours d'exécution dans le centre de données d'entreprise (services de rôle Service Broker pour les connexions Bureau à distance, Hôte de session Bureau à distance et Accès Web des services Bureau à distance). Pour plus d'informations, consultez Infrastructure de bureau virtuel.

Considérations conceptuelles concernant le déploiement du proxy d'application web

Cette section présente les étapes de planification nécessaires pour déployer le proxy d'application web et publier des applications. Ce scénario décrit les méthodes de pré-authentification disponibles, notamment l'utilisation d'AD FS pour l'authentification et l'autorisation, ce qui vous permet de tirer parti des fonctionnalités AD FS, notamment de la jonction d'espace de travail, de l'authentification multifacteur et du contrôle d'accès multifacteur. Ces étapes de planification sont décrites en détail dans Planifier la publication d'applications via le proxy d'application web.

Considérations conceptuelles concernant le déploiement de Dossiers de travail

Cette section explique le processus conceptuel d'une implémentation de Dossiers de travail et fournit des informations sur la configuration logicielle requise, des scénarios de déploiement, une liste de vérification conceptuelle et des considérations conceptuelles supplémentaires. Suivez les étapes de Conception d'une implémentation de dossiers de travail pour créer une liste de contrôle de base.

Considérations conceptuelles concernant le déploiement de l'infrastructure d'accès à distance

Cette section décrit des considérations générales à prendre en compte pendant la planification du déploiement d'un serveur d'accès à distance Windows Server 2012 unique doté des fonctionnalités de base :

  1. Planifier l'infrastructure DirectAccess : planifier la topologie réseau et serveur, les paramètres de pare-feu, les exigences de certificat, DNS et Active Directory.

  2. Planifier le déploiement de DirectAccess planifier le déploiement client et serveur.

Améliorer la gestion des risques du contrôle d'accès

Avec Windows Server 2012 R2, votre organisation peut configurer le contrôle d'accès aux ressources d'entreprise en fonction de l'identité de l'utilisateur, de l'identité de l'appareil inscrit et de l'emplacement réseau de l'utilisateur (que celui-ci se trouve ou non dans les limites de l'entreprise). Grâce à l'authentification multifacteur intégrée au proxy d'application web, les administrateurs informatiques peuvent tirer parti de couches d'authentification supplémentaires quand les utilisateurs et les appareils se connectent à l'environnement de l'entreprise.

Pour limiter facilement les risques associés aux comptes d'utilisateur compromis, il est beaucoup plus simple d'implémenter dans Windows Server 2012 R2 plusieurs facteurs d'authentification à l'aide d'Active Directory. Un modèle de plug-in vous permet de configurer différentes solutions de gestion des risques directement dans AD FS.

Windows Server 2012 R2 offre de nombreuses améliorations de la gestion des risques du contrôle d'accès dans AD FS, notamment les suivantes :

  • Contrôles flexibles basés sur l'emplacement réseau pour déterminer comment un utilisateur s'authentifie pour accéder à une application sécurisée par AD FS.

  • Stratégies flexibles pour déterminer si un utilisateur a besoin d'exécuter Multi-Factor Authentication, en fonction des données utilisateur, des données de l'appareil et de l'emplacement réseau.

  • Contrôles par application pour ignorer l'authentification unique et forcer l'utilisateur à fournir ses informations d'identification chaque fois qu'il accède à une application sensible.

  • Stratégies d'accès par application souples basées sur les données utilisateur, les données de l'appareil ou l'emplacement réseau. Le verrouillage extranet AD FS permet aux administrateurs de protéger les comptes Active Directory contre les attaques en force brute à partir d'Internet.

  • Révocation d'accès pour n'importe quel appareil membre d'un espace de travail qui est désactivé ou supprimé dans Active Directory.

Le schéma suivant illustre les améliorations d'Active Directory pour l'atténuation des risques du contrôle de l'accès.

Fonctionnalités AD dans Windows Server 2012 R2

Considérations conceptuelles concernant l'implémentation de la gouvernance de l'accès et de l'atténuation des risques pour l'utilisateur, les appareils et les applications

Élément de conception de la solution

Pourquoi est-il inclus dans cette solution ?

Jonction d'espace de travail (activé par Device Registration Service [DRS])

Votre organisation peut implémenter la gouvernance informatique avec l'authentification des appareils et l'authentification à deux facteurs avec l'authentification unique. Les appareils joints à l'espace de travail fournissent aux administrateurs informatiques des niveaux de contrôle plus élevés sur les appareils personnels et les appareils de l'entreprise. Pour plus d'informations sur DRS, consultez Joindre un espace de travail à partir d'un appareil pour l'authentification unique et l'authentification à deux facteurs transparente pour accéder aux applications de l'entreprise.

Multi-Factor Authentication

Par le biais d'Azure Multi-Factor Authentication, les administrateurs informatiques peuvent appliquer des couches supplémentaires d'authentification et de vérification des utilisateurs et des appareils. Pour plus d'informations, consultez Qu'est-ce qu'Azure Multi-Factor Authentication ?

Gestion unifiée des appareils

En plus de la sécurité et de l'accès, les administrateurs informatiques doivent mettre en œuvre une stratégie efficace pour gérer les PC et les appareils personnels depuis une console d'administration unique. La gestion des appareils comprend la définition des paramètres de sécurité et de conformité, l'inventaire du matériel et des logiciels ou le déploiement des logiciels. Les administrateurs informatiques doivent également mettre en œuvre une solution qui permet de protéger l'entreprise en effaçant les données d'entreprise stockées sur l'appareil mobile en cas de perte, de vol ou de mise au rebut de celui-ci.

La solution, Gérer les appareils mobiles et les PC en migrant vers Configuration Manager avec Windows Intune, explique en détail la solution de gestion unifiée des appareils.

Considérations conceptuelles concernant la gestion unifiée des appareils

Il est essentiel de résoudre les questions conceptuelles importantes avant d'élaborer une infrastructure BYOD et de gestion unifiée des appareils qui permet aux employés d'utiliser leurs propres appareils et protège les données de la société.

La conception de l'infrastructure pour prendre en charge le modèle BYOD est abordée dans Considérations sur les utilisateurs et les appareils BYOD. La conception traitée dans ce document fait appel à la technologie Microsoft. Toutefois, les options de conception et les considérations liées à celles-ci peuvent être appliquées à n'importe quelle infrastructure utilisée pour adopter le modèle BYOD.

Pour une liste de contrôle pratique qui répertorie les étapes nécessaires à la prise en charge de la gestion des appareils mobiles, consultez Liste de contrôle pour la Gestion des appareils mobiles.

Quelles sont les étapes d'implémentation de cette solution ?

Configurer l'infrastructure de base pour activer l'inscription de l'appareil

Les étapes suivantes vous guident tout au long du processus pas-à-pas de configuration du contrôleur de domaine (AD DS), des services AD FS et de Device Registration Service.

  1. Configurer votre contrôleur de domaine

    Installez le service de rôle AD DS et promouvez votre ordinateur en contrôleur de domaine dans Windows Server 2012 R2. Cette opération mettra à niveau votre schéma AD DS dans le cadre de l'installation du contrôleur de domaine. Pour plus d'informations et des instructions détaillées, consultez installer Active Directory Domain Services

  2. Installer et configurer le serveur de fédération

    Vous pouvez utiliser les services AD FS avec Windows Server 2012 R2 pour créer une solution de gestion des identités fédérée qui étend les services d'identification, d'authentification et d'autorisation distribués aux applications web en s'affranchissant des limites des plateformes et de l'organisation. En déployant les services AD FS, vous pouvez étendre les fonctionnalités de gestion d'identités existantes de votre organisation à Internet. Pour plus d'informations et des instructions détaillées, consultez Guide de déploiement des services AD FS de Windows Server 2012 R2.

  3. Configurer Device Registration Service

    Après avoir installé les services AD FS, vous pouvez activer DRS sur votre serveur de fédération. La configuration de DRS implique de préparer votre forêt Active Directory pour prendre en charge les appareils, puis d'activer DRS. Pour obtenir des instructions détaillées, consultez Configurer un serveur de fédération avec Device Registration Service.

  4. Configurer un serveur web et un exemple d'application basée sur les revendications pour vérifier et tester la configuration AD FS et DRS

    Vous devez configurer un serveur web et un exemple d'application basée sur les revendications, puis suivre certaines procédures pour valider les étapes ci-dessus. Effectuez les étapes dans l'ordre suivant :

    1. Installer le rôle Serveur web et Windows Identity Foundation

    2. Installer le Kit de développement logiciel (SDK) Windows Identity Foundation

    3. Configurer l'exemple d'application simple basée sur des revendications dans IIS 

    4. Créer une approbation de partie de confiance sur votre serveur de fédération

  5. Configurer et vérifier la jonction d'espace de travail sur les appareils Windows et iOS

    Cette section fournit des instructions pour configurer la jonction d'espace de travail sur un appareil Windows ou iOS, et pour expérimenter l'authentification unique auprès d'une ressource d'entreprise.

    1. joindre un espace de travail avec un appareil Windows

    2. joindre un espace de travail avec un appareil iOS

Configurer l'accès aux ressources d'entreprise

Vous devez configurer les dossiers de travail des services de fichiers, la virtualisation des services Bureau à distance et l'accès à distance.

  1. Configurer le proxy d'application web

    Cette section présente les étapes de planification nécessaires pour déployer le proxy d'application web et publier des applications.

    1.  Configurer l'infrastructure du proxy d'application web : explique comment configurer l'infrastructure requise pour déployer le proxy d'application web.

    2. Installer et configurer le serveur proxy d'application web explique comment configurer les serveurs proxy d'application web, notamment la configuration des certificats requis, l'installation du service de rôle Proxy d'application web et la jonction des serveurs proxy d'application web à un domaine.

    3. Publier des applications en utilisant la pré-authentification AD FS : explique comment publier des applications via le proxy d'application web à l'aide de la pré-authentification AD FS.

    4. Publier des applications en utilisant la pré-authentification Pass-through explique comment publier des applications à l'aide de la pré-authentification directe.

  2. Configurer Dossiers de travail

    Le déploiement de Dossiers de travail le plus simple est un serveur de fichiers unique (souvent appelé serveur de synchronisation) sans prise en charge de la synchronisation via Internet. Ce déploiement peut s'avérer utile pour un laboratoire de test ou en tant que solution de synchronisation pour les ordinateurs clients appartenant à un domaine. Pour créer un déploiement simple, voici la procédure minimale à suivre :

    1.  Installer les dossiers de travail sur des serveurs de fichiers

    2.  Créer des groupes de sécurité pour les dossiers de travail

    3. Créer des partages de synchronisation pour les données utilisateur

    Pour obtenir des instructions détaillées supplémentaires sur le déploiement des dossiers de travail, consultez Déploiement de dossiers de travail.

  3. Configurer et vérifier la virtualisation des sessions des services Bureau à distance

    Un déploiement VDI standard vous permet d'installer les services de rôle appropriés sur des ordinateurs distincts. Un déploiement standard fournit un contrôle plus précis des bureaux virtuels et des collections de bureaux virtuelles en évitant leur création automatique.

    Ce laboratoire de test vous guide tout au long du processus de création d'un déploiement standard de la virtualisation de session au travers des étapes suivantes :

    • Installation des services de rôle Service Broker pour les connexions Bureau à distance, Hôte de session Bureau à distance et Accès Web des services Bureau à distance sur des ordinateurs distincts

    • Création d'une collection de sessions

    • Publication d'un bureau basé sur une session pour chaque serveur Hôte de session Bureau à distance dans la collection

    • Publication d'applications en tant que programmes RemoteApp

    Pour obtenir des instructions détaillées sur la configuration et la vérification d'un déploiement VDI, consultez Déploiement standard d'une virtualisation de session des services Bureau à distance.

  4. Configurer l'accès distant

    Windows Server 2012 R2 combine DirectAccess et le réseau privé virtuel de service de routage et d'accès distant en un seul rôle d'accès distant. Voici les étapes de configuration nécessaires au déploiement d'un seul serveur d'accès à distance Windows Server 2012 avec les paramètres de base.

    1. Configurer l'infrastructure DirectAccess : cette étape inclut la configuration des paramètres réseau, serveur, DNS et Active Directory.

    2. Configurer le serveur DirectAccess : cette étape inclut la configuration des ordinateurs clients DirectAccess et des paramètres serveur.

    3. Vérifier le déploiement : cette étape inclut les étapes de vérification du déploiement.

Configurer la gestion des risques en définissant le contrôle d'accès multifacteur et Multi-Factor Authentication

Définissez des stratégies d'autorisation par application souples et expressives, qui vous permettent d'autoriser ou de refuser l'accès en fonction de l'utilisateur, de l'appareil, de l'emplacement réseau et de l'état d'authentification en configurant le contrôle d'accès multifacteur. Affinez la gestion des risques dans votre environnement avec Multi-Factor Authentication.

  1. Configurer et vérifier le contrôle d'accès multifacteur

    Vous devez pour cela effectuer les trois étapes suivantes :

    1. Vérifier le mécanisme de contrôle d'accès AD FS par défaut

    2. Configurer la stratégie de contrôle d'accès multifacteur en fonction des données utilisateur

    3. Vérifier le mécanisme de contrôle d'accès multifacteur

  2. Configurer et vérifier Multi-Factor Authentication

    Vous devez pour cela effectuer les trois étapes suivantes :

    1. Vérifier le mécanisme d'authentification AD FS par défaut 

    2. Configurer l'authentification multifacteur sur votre serveur de fédération

    3. Vérifier le mécanisme d'authentification multifacteur

Mettre en œuvre la gestion unifiée des appareils

Suivez les étapes suivantes pour configurer la gestion des appareils dans votre entreprise.

  1. Installer la console System Center 2012 R2 Configuration Manager : Par défaut, quand vous installez un site principal, la console Configuration Manager est également installée sur l'ordinateur serveur de site principal. Après l'installation du site, vous pouvez installer des consoles System Center 2012 R2 Configuration Manager supplémentaires sur d'autres ordinateurs pour gérer le site. L'installation d'une console Configuration Manager 2007 et System Center 2012 R2 Configuration Manager sur le même ordinateur est prise en charge. Cette installation côte à côte vous permet d'utiliser un seul ordinateur pour gérer votre infrastructure Configuration Manager 2007 et les appareils mobiles que vous gérez en utilisant Windows Intune avec System Center 2012 R2 Configuration Manager. Toutefois, vous ne pouvez pas utiliser la console de gestion System Center 2012 R2 Configuration Manager pour gérer votre site Configuration Manager 2007 et vice versa. Pour plus d'informations, consultez Installer une console Configuration Manager.

  2. Inscrire les appareils mobiles : l'inscription établit une relation entre l'utilisateur, l'appareil et le service Windows Intune. Les utilisateurs inscrivent leurs propres appareils mobiles. Pour plus d'informations sur l'inscription des appareils mobiles, consultez Inscription des appareils mobiles.

  3. Gérer les appareils mobiles : Après avoir installé et défini les configurations de base de votre site principal autonome, vous pouvez commencer à configurer la gestion des appareils mobiles. Voici les principales opérations de configuration à effectuer :

    1. Pour appliquer des paramètres de conformité aux appareils mobiles, consultez Paramètres de conformité pour les appareils mobiles dans Configuration Manager.

    2. Pour créer et déployer des applications sur des appareils mobiles, consultez Comment créer et déployer des applications pour les appareils mobiles dans Configuration Manager.

    3. Pour configurer l'inventaire matériel, consultez Comment configurer l'inventaire matériel pour les appareils mobiles inscrits par Windows Intune et Configuration Manager.

    4. Pour configurer l'inventaire logiciel, consultez Introduction à l'inventaire logiciel dans Configuration Manager.

    5. Pour effacer le contenu des appareils mobiles, consultez Comment gérer des appareils mobiles à l'aide de Configuration Manager et de Windows Intune.

Voir aussi

Type de contenu

Références

Évaluation/prise en main

Planification et conception

Ressources de la communauté

Solutions connexes