Azure AD, Intune et stratégie de groupe: contenu (et non) de la boîte – Bien choisir son serveur d impression
Il y a environ vingt ans, Microsoft a dévoilé sa stratégie de groupe. Depuis lors, il est devenu l'outil de référence pour gérer et sécuriser le bureau Windows sur le domaine. La stratégie de groupe a été la façon dont les administrateurs renforcent la sécurité, car Windows n'est pas sécurisé dès le départ. Au fil des ans, les administrateurs ont utilisé la stratégie de groupe pour faire des choses comme:
- Restreindre l'accès au panneau de commande
- Modifier le nom de l'administrateur local par défaut
- Appliquer le chiffrement complet du disque
- Déployer les paramètres de configuration et de registre
En tirant parti de la puissance combinée des modèles d'administration et des préférences de stratégie de groupe dans les objets de stratégie de groupe attribués, les administrateurs contrôlent plus de 10 000 paramètres dans le système d'exploitation Windows. Les administrateurs de stratégie de groupe peuvent également gérer les paramètres dans Microsoft Office et Edge. De plus, des modèles ADMX sont disponibles pour permettre la gestion des stratégies de groupe sur des applications tierces telles que Google Chrome. Un administrateur de domaine équipé de l'éditeur de stratégie de groupe a beaucoup de contrôle sur le bureau.
La perte de levier avec Azure AD
Si vous demandez aux organisations pourquoi elles migrent vers le cloud, les réponses typiques sont les suivantes:
- Une plus grande agilité
- Contrôle centralisé
- Plus de sécurité
- Coûts réduits
Cela dit, il n’existe pas d’objets de stratégie de groupe dans Azure AD. L’absence d’objets de stratégie de groupe n’est pas une indication de leur utilité. Azure AD est composé de protocoles différents de Server AD afin de gérer les services Web. L'architecture Azure AD se base sur la gestion des utilisateurs et des appareils pour Azure et O365. L'architecture de stratégie de groupe est basée sur les utilisateurs et l'ordinateur en tant qu'objets dans AD.
L'ironie dans tout cela est que lorsqu'il s'agit de la gestion des paramètres de configuration, Azure AD donne aux administrateurs moins de contrôle sur les paramètres de Windows 10 et la configuration du bureau.
Moins de contrôle signifie donc moins d'agilité, ce qui est le contraire de ce que vous recherchez.
Étant donné que les administrateurs ont désormais moins accès à l'application des paramètres de configuration et de sécurité, les utilisateurs et leurs bureaux peuvent être plus vulnérables. Moins de contrôle administratif signifie également un meilleur accès des utilisateurs aux éléments qui peuvent rendre les appels au service d'assistance, ce qui augmente les coûts.
Cela ne veut pas dire qu'Azure est inférieur à AD traditionnel (avec sa stratégie de groupe.) C'est tout simplement un monde différent de ce qu'il était il y a vingt ans. Ce n'est pas seulement un ordinateur de bureau qui vit sur site. La stratégie de groupe traditionnelle ne fait qu'un travail équitable de gestion des appareils mobiles. Ce n'est également plus un monde Windows uniquement et la stratégie de groupe n'aide pas lorsque vous devez configurer des appareils non Windows.
Aujourd'hui, la gestion des appareils ne se limite pas au déploiement de paramètres. Azure AD fournit des informations d'état instantanées sur l'ensemble de votre flotte d'appareils joints à MDM ainsi que des informations de télémétrie sur leurs performances. Les ordinateurs peuvent être réinitialisés et effacés à distance. Cependant, si vous voulez un moyen simple de bloquer l'accès à l'invite de commande pour les utilisateurs standard, vous n'avez actuellement pas de chance avec Intune.
PolicyPak en tant que supplément MDM
De nombreuses organisations ont aujourd'hui un mélange d'appareils joints à Server AD et joints à Azure AD. Bien que MDM ne prenne pas en charge nativement l'utilisation des objets de stratégie de groupe, il existe une solution tierce qui apporte les capacités de super administrateur de la stratégie de groupe et des préférences de stratégie de groupe dans votre Azure AD ou tout autre environnement MDM.
Il s'agit de PolicyPak, une solution de gestion de bureau moderne qui vous permet de configurer, déployer et gérer facilement des politiques pour les environnements Windows locaux, MDM et cloud.
PolicyPak MDM Edition vous permet d'importer des paramètres de stratégie de groupe et de préférence de stratégie de groupe directement dans votre MDM. Désignez un ordinateur dans votre environnement de domaine sur site pour héberger la console d'administration PolicyPak. La console d'administration de PolicyPak s'intègre sans problème à l'éditeur de stratégie de groupe. À partir de là, il s'agit de faire ce que vous faites toujours avec la stratégie de groupe: créez une nouvelle stratégie comme indiqué ci-dessous.
Notez que dans la partie décrite de la capture d'écran ci-dessus, nous avons le gestionnaire de modèles d'administration, le gestionnaire de préférences et le gestionnaire de paramètres de sécurité. Ce sont trois des produits de la solution dans la suite PolicyPak. Ensemble, ils vous permettent de configurer et de déployer des paramètres tels que:
- Les paramètres de sécurité
- Plus de 3 000 paramètres de modèle d'administration
- Politique d'audit
- Attribution des droits utilisateur
- Paramètres AppLocker
- Tous les paramètres de préférences de stratégie de groupe
Il existe également trois collections contenues dans la partie décrite ci-dessus, également appelées ordinateurs portables Windows 10, serveurs Windows 2019 et ordinateurs de bureau Windows 10. Vous créez des collections pour organiser les paramètres ciblés. Dans cet exemple, nous utilisons le gestionnaire de modèles d'administration afin d'utiliser la riche collection de paramètres fournis par les modèles ADMX / ADM. PolicyPak Templates Manager fournit la même liste exhaustive de paramètres que la stratégie de groupe comme indiqué ci-dessous.
PolicyPak fonctionne aux côtés de votre MDM pour fournir, puis affiner vos affectations de GPO en utilisant le ciblage au niveau de l'élément pour les paramètres de stratégie de groupe ainsi que les préférences de stratégie de groupe.
Que vous créiez de nouvelles stratégies ou souhaitiez simplement utiliser des objets de stratégie de groupe existants, il est facile de les intégrer à votre MDM préféré. Exportez simplement vos paramètres de stratégie de groupe réels à l'aide de la console d'administration PolicyPak et regroupez-les dans un fichier MSI à l'aide de l'utilitaire d'exportation PolicyPak. Ensuite, il vous suffit d'accorder une licence à votre MDM pour PolicyPak et de télécharger le fichier MSI de la même manière que tout fichier MSI que vous souhaitez déployer sur vos appareils inscrits MDM.
Vous pouvez voir une démonstration vidéo complète de la façon de déployer tous les paramètres de stratégie de groupe et PolicyPak à l'aide d'Intune ici.
Ne limitez pas le potentiel de PolicyPak au déploiement de paramètres de stratégie. Chaque client PolicyPak a également accès à nos autres outils, tels que PolicyPak Application Manager, qui vous permet de gérer et de déployer les paramètres de configuration de plus de 500 applications d'entreprise. Si vous l'utilisez, il est probable que nous puissions le gérer.
Nous avons également PolicyPak Least Privilege Manager pour vous aider à supprimer les droits d'administrateur local et à fournir une «liste blanche en un clic» à votre bureau, sans tout le travail requis par la gestion des listes blanches traditionnelles. Vous pouvez voir notre liste complète des composants ici…
Avec PolicyPak, vous n'avez pas à sacrifier la stratégie de groupe lors du passage à Azure AD. Nous réunissons les deux, afin de créer une solution combinée dans laquelle le tout est supérieur à la somme de ses parties.
Le post Azure AD, Intune et la stratégie de groupe: ce qui est dans (et pas dans) la boîte est apparu en premier sur PolicyPak.
*** Ceci est un blog syndiqué du Security Bloggers Network de Blog Posts – PolicyPak rédigé par Ali Hassan. Lisez l'article d'origine sur: https://www.policypak.com/pp-blog/azure-ad-intune-and-group-policy-whats-in-and-not-in-the-box
Commentaires
Laisser un commentaire