Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Windows 10 pour l’entreprise
Arnaud Lheureux, Stanislas Quastana , Pascal Sauliere
Architectes Infrastructure, CISSP
Microsoft DX
pour l’entreprise
Plus de productivité
Des appareils innovants pour votre business
Managé pour une innovation continue
Protection contre les menaces modernes
Une même plateforme pour une gamme
étendue d’appareils
Formes Interfaces Performance Prix
Appareils modernes
2-en-1 Stylet Tactile
Nouveaux types d’appareils
IoT HoloLens Surface Hub
Options de déploiement
Wipe-and-Load
Processus traditionnel
• Capture données et paramètres
• Déploiement image personnalisée de
l’OS
• Injection des drivers
• Installation des applications
• Restauration données et paramètres
Encore une option pour tous les
scénarios
Mise à jour système existant
Laisser Windows faire le travail
• Conserve données, paramètres,
applications, drivers
• Installe l’image standard de l’OS
• Restaure tout
Recommandé pour les systèmes
existants (Windows 7/8/8.1)
Provisionnement
Configuration de nouveaux appareils
• Transformation en un système
Entreprise
• Suppression d’éléments, ajouts
d’applis et configurations de
l’organisation
Nouvelles possibilités pour les
nouveaux appareils
Compatibilité applications et appareils
Provisionnement dynamique
Appareils du commerce
Configuration avec un seul fichier
Fichier envoyé par mail
Workflow très simple
Matériel sur étagère
Appareil prêt pour
utilisation productive
Appliquer un
provisioning package
tech.days 2015#mstechdays
Titre session pied de page
tech.days 2015#mstechdays
Titre session pied de page
tech.days 2015#mstechdays
Titre session pied de page
tech.days 2015#mstechdays
Promotion depuis SKU Pro vers Enterprise 1/4
tech.days 2015#mstechdays
Promotion depuis SKU Pro vers Enterprise 2/4
tech.days 2015#mstechdays
Promotion depuis SKU Pro vers Enterprise 3/4
tech.days 2015#mstechdays
Promotion depuis SKU Pro vers Enterprise 4/4
La sécurité dans Windows 10
Protection de l’appareil
Protection de l’Information
Protection de l’identité
Protection de l’identité
Microsoft Passport
Hyper-V Virtual Secure Mode (VSM)
Windows Hello
Microsoft Passport
Remplace le mot de passe par une clé privée Débloquée uniquement avec un « geste utilisateur » (PIN, Windows Hello)
Familier pour l’IT (paire de clés ou certificat)
Familier pour l’utilisateur (Windows Hello ou PIN)
Choix de fournisseurs d’identités (IDP) Les fournisseurs d’identités valident les utilisateurs par OTP, MFA…
Font correspondre la clé publique Passport avec un compte utilisateur
La clé privée n’est jamais partagée Idéalement, les clés sont générées dans le matériel (TPM)
Les clés liées au matériel sont attestées (protocoles du TCG)
Un seul « geste » (Windows Hello) déverrouille plusieurs credentials
Windows Hello
Authentificationbiométrique
Visage
Iris
Empreinte digitale
Windows HelloAuthentification biométrique
Visage, iris, empreinte digitale
Conditions sur le matériel Taux de faux positif 1/100 000
Détection de « vie »
Détection anti-spoofing
Intégration avec Windows Biometric Framework
Défis
Attaques Pass the Hash
1. La machine d’un IT Pro est
compromise
L’IT Pro gère des machines partagées / en libre service
L’attaquant vole le jeton d’accès de l’IT Pro
2. Grâce au jeton volé,
l’attaquant se connecte aux machines partagées et y cherche d’autres jetons
d’accès
3. Répète.
L’accès à une machine peut conduire à l’accès
à beaucoup
Virtual Secure ModeIsolation des jetons d’accès (LSASS)
OS VSM
CPU avec extensions de virtualization
Hyper-V
Enterprise Data Protection (EDP)Protection de l’information
Windows 10 + Intune, SCCM ou autre MDM
Chiffrement des données de l’entreprise Sur machine de l’employé ou de l’entreprise
Suppression à distance des données de l’entreprise Le cas échéant, sans toucher aux données personnelles
Possibilité de limiter l’accès à des applications privilégiées
Enterprise Data Protection
Une expérience Données isolées
Données chiffrées au repos
Blocage / audit des échanges de données
Clés gardées par l’organisation
Applications compatibles
API pour applications tierces
Géré par le MDM
Applications et
données
personnelles
(non gérées)
Applications et
données
professionnelles
(gérées)
Echange de données contrôlé
Device Protection
Secure Boot
Device Guard
Device Health
Windows Defender
Windows Update for Business
Device Guard
Matériel + logiciel
Contrôle de ce qui est autorisé à s’exécuter Apporte au PC la même protection que sur les mobiles, tout en supportant les
applications existantes
Contrôle d’intégrité du code Secure Boot, KMCI, UMCI, AppLocker
Sécurité basée sur la virtualisation (isolation) Isoler la fonction de contrôle du noyau lui-même
Gérable par GPO, MDM ou PowerShell
PC appartenant à l’organisation PC personnel (BYOD)
• L’ordinateur joint et devient membre de l’AD
• Les utilisateurs s’authentifient avec leur compte AD
• GPO + System Center
• L’ordinateur s’enregistre auprès d’AD ou Azure AD via l’enregistrement de périphérique (Device Registration) pour établir une relation de confiance pour l’accès aux ressources distantes
• L’utilisateur se connecte avec un compte Microsoft associé à un compte Azure AD
• Intune/MDM
• L’ordinateur joint Azure AD et établit une relation de confiance
• Les utilisateurs s’authentifient avec leur compte Azure AD
• Intune/MDM
• Settings roaming
SSO avec les ressources d’entreprise + les services Cloud
Windows 10 : le choix en terme d’identité
Azure Active Directory Join
Nécessite AAD avec enregistrement des périphériques activé MFA optionnel
MDM optionnel (Intune, Office365, autre…)
Le Business Store
Portail dédié aux organisations Utilisé par les IT
Acquérir, déployer les applications Scénarios de distribution flexibles
Y compris les applications métiers
Améliorations / Windows 8.x Identité professionnelle
Achat en masse, gestion des licences
Scénarios online et offline
Provisionnement
Options de déploiement de versions« Windows as a Service »
Windows System Update Services (WSUS)
Windows Update (WU)
Consumer devices
BYOD Scenarios
Test Machines
Special Systems
Factory floor machines
Emergency Room systems
Windows Update for Business (WUB)
Knowledge Workers
Salesforce
Non mission critical systems
Windows Update for Business
Anneaux de déploiement
Fenêtres de maintenance
Transferts peer to peer
Intégration avec outils existants tels que System Center
Les organisations peuvent mixer et choisir en fonction de leurs scénarios d’usage
Identité Administration Mises à jour Infrastructure Propriété
Active Directory
Azure Active
Directory
Group Policy
System Center
Configuration
Manager
3rd party PC
management
Intune
MDM Tiers
Windows Update
Windows Update for
Business
Windows Server
Update Services
(WSUS)
Intune
3rd party MDM
On-premises
In the cloud
Corporate-owned
CYOD
BYOD
Différentes technologies disponibles
Gestion de périphériques mobiles (MDM)
Un ensemble cohérent de
capacités MDM sur mobiles, PC, et
IoT
• Inventaire avancé pour décisions de conformité
•Provisionnement•Enregistrement en masse•Bootstrap simple•Protocol convergé• Intégration Azure AD
• Ensemble de politiques• Politiques contextuelles• Certificats clients : install
directe (PFX)• Profils Wi-Fi d’entreprise• Profils VPN• Email• Push MDM lorsque
utilisateur non connecté• Mode kiosque,
configuration de l’écran d’accueil
•Windows Store contrôlé•Achat en volume et distribution des applications•Réutilisation de licences•Gestion des applications•Applications métiers• Inventaire d’applications (MDM, store)• Listes blanches/noires d’applications•Protection des données (EDP)
•Verrouillage, reset de PIN, sonnerie, localisation à distance•Effacement complet de l’appareil
•Désenregistrement avec alertes•Suppression configuration et données protégées par EDP
Existing Differentiated Features in Win7 /Win8.1
Domain Join and Group Policy Management
Existing Win7 / Win 8.1 Enterprise features
Windows 10: Management and Deployment
Side-loading of LOB apps
MDM Enablement
Azure AD Join
The Business Store
Private Catalog
Granular UX Control and Lockdown
In Place Upgrade from Home to Education Edition
Windows 10: Security
Microsoft Passport
Enterprise Data Protection
Hardware–based Hyper-V isolation (VSM) scenarios
Device Guard
Windows 10: Windows as a Service, Support & Entitlements
Windows Update for Business and Current Branch for Business
Long Term Servicing Branch
Fo
nct
ion
nalité
sp
ar
éd
itio
nHome Pro Enterprise Education
Retrouvez nous dans un IT Camp - http://aka.ms/ITCampFr
http://aka.ms/Arnaud
Twitter : @arnaudlheureux
Stanislas Quastana
http://aka.ms/Stanislas
Twitter : @squastana
Arnaud Lheureux Pascal Sauliere
http://aka.ms/pascals
Twitter : @psauliere
#coursMVA
© 2015 Microsoft Corporation. All rights reserved. Microsoft, Windows, Microsoft Azure and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other
countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond
to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date
of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION