Windows phone et le device management. Windows Phone 8 est back to business et c est pour cela que je me propose de vous présenter comment Windows phone 8 peut être géré en entreprise. Dans ce post, je vais expliquer comment le device management (oun MDM) fonctionne sachant que cela n est qu une des briques rendant Windows Phone 8 prêt pour les entreprise : N oublions pas Office (inclus), la sécurité (un post est à venir), Lync et bien plus encore... Tout d abord, essayons de regarder l architecture : Windows Phone 8 repose sur les mêmes fondamentaux que Windows Phone 7. Et oui, Windows Phone 7 est doté d une architecture complète de management. Malheureusement, cette dernière n était accessible qu aux opérateurs mobiles et non aux entreprises. Windows Phone 8 supprime cette contrainte et dessine les fondations d un device management évolutif et complet. L architecture de management est simple et fortement sécurisé. Serveur MDM / Intune Exchange Server /EAS Client entreprise Device Management CSP CSP CSP Le principe est assez simple : Le client Entreprise permet l inscription sécurisée du device avec le serveur de MDM, intune ou un autre. Ainsi, il n est pas nécessaire d installer un agent : Windows Phone propose un client Natif de device Management. Une fois inscrit le téléphone peut recevoir des politiques de sécurité, des paramètres ou différents ordres émis par le serveur MDM. Ces instructions sont gérées par la couche de device Management et passées à des CSP (configuration Service Provider) destinés à configurer des éléments du système. Cette architecture est fortement évolutive car il suffit d ajouter un CSP pour ajouter des éléments configurables supplémentaires. Pour la partie entreprise, les serveurs de MDM peuvent utiliser les CSPs suivants : ActiveSync ou EMAIL2 : Permettant la configuration d un compte de messagerie Exchange Active Sync ou IMAP/POP
CertificateStore : permettant la gestion des certificats DevDetail & DevInfo : Permettant d avoir des informations sur le téléphone (model, Mémoire disponible...) DeviceLock : Permettant de définir la politique de protection (Code PIN requis, complexité du code...) EnterpriseAppManagement : Permettant la gestion des applications de l entreprise sur le téléphone RemoteWipe : Permettant l effacement à distance du téléphone Storage : permettant l autorisation ou non de la carte SD Toutes les solutions MDMs ont accès à ces fonctionnalités et il leur appartient de les utiliser ou pas. Prenons l exemple d intune. Après s être loggué sur la console d administration d intune, la première étape consiste à définir l autorité de Management (Intune ou SCCM 2012 SP1). Ensuite, il faut créer une stratégie de sécurité pour ces devices Mobiles et en particulier pour Windows Phone 8
Après avoir récupérer, son compte entreprise et son certificat, la dernière étape consiste à uploader le Portail de l entreprise (Self Service Portal ou SSP) fournit par Intune et signé avec le certificat de l entreprise. Quand cela est fait, les Windows Phone 8 de votre entreprise sont prêt à être géré. Sur Windows Phone, l utilisateur inscrit son téléphone : Possibilités offertes par le MDM.
Et Voilà : le téléphone est désormais administré par mon entreprise (Contoso) Je peux alors lancer le portail de l entreprise : Depuis ce portail, je peux installer les applications de mon entreprise. Ces dernières sont soit des applications présentes sur le Windows Phone Store ou dans Intune. Si l application est dans intune, elle ne peut être lancé que sur les téléphones de l entreprise et ne nécessite aucune certification : Son cycle de vie (Mise à jour, Suppression) est donc entièrement dans les mains de mon IT. Lorsque je lance mon Portail d entreprise, je m identifie
Et je vois les applications que mon entreprise met à ma disposition : Je peux alors choisir celle que je souhaite installer :
A tout moment, mon entreprise peut ajouter, supprimer ou mettre à jour cette liste d application :
Mon entreprise peut également inventorier certaines informations de mon téléphone. Ainsi, l entreprise peut inventorier les applications installées sur le téléphone mais uniquement celle de l entreprise et pas celles que j aurais pu installer de manière personnelle.
Enfin, Mon entreprise (ou moi) peut désinscrire mon téléphone sans que je perde mes données personnelles mais en supprimant tout de même les données de l entreprise (données des applications métiers et/ou ma messagerie d entreprise) et ses applications.