Les Stratégies de Groupes sont elles vraiment mortes avec InTune ?

Lorsque Windows 10 est sorti de nombreux employés de Microsoft ont déclarés que c’était la fin des stratégies systèmes (GPO), mais est ce vraiment le cas ?

  • Historique des GPO

Les systèmes d’exploitation Windows reposent sur une base de données de gestion des paramètres nommée Base de registre ( plus d’infos ici : La Base de registre – www.ToutWindows.com – Tout sur Windows ).

Les GPO sont essentiellement basées sur la base de registre, elles permettent d’utiliser Active Directory et sa structure pour gérer des paramètres Windows, elles permettent aussi de paramétrer des droits et les sécurités et stratégies d’audit de Windows.

image

Les GPO s’appliquent :

– soit aux objets machines (les PC ou serveurs, la branche HKLM du registre)

– soit aux utilisateurs (la branche HKCU du registre).

Celles ci s’appliquent a des OU (unités d’organisation Active Directory) éventuellement filtrés.

On distingue principalement les stratégies à proprement parler (qui sont imposées) et les préférences (qui sont des paramètres par défaut, mais pouvant être modifiés par l’utilisateur).

Les stratégies se paramètrent au moyen de modèles de stratégies, fournies par l’équipe de développement Windows de Microsoft pour Windows, par certaines équipes produits de Microsoft pour leurs applications (Office par exemple, mais malheureusement certaines équipes de Microsoft n’ont jamais pensé ou réfléchit à des GPO pour leur produits), certains éditeurs en développent aussi, et les entreprises peuvent aussi développer leur propres objets.

Avec le temps le nombre de paramètres gérés par GPO est devenu considérable (plusieurs milliers) et dans les entreprises la gestion des GPO est souvent rendue délicate car elle est gérée par les personnes en charge de la sécurité qui ne connaissent pas toujours le poste de travail (une GPO Office, ça ne parle pas beaucoup à un spécialiste Active Directory !!).

  • Historique de MDM

Windows 10 est sorti en 2015, cela faisait plus de 10 ans qu’on entendait parler de MDM (Mobile Device Management). MDM a été inventé par les fabricants de Smartphones pour gérer les flottes d’appareils mobiles.

Les logiciels MDM permettaient donc : de mettre à jour les téléphones, de les surveiller (monitoring) de les inventorier et de paramétrer ceux-ci, initialement pour gérer la sécurité.

Les solutions MDM sont progressivement devenues multiplateforme, d’abord mobile, puis tablettes et PC.

La notion d’utilisation de périphériques personnels (Bring Your Own Device – BYOD) à encore accru le besoin de gestion et l’élargissement à la gestion des applications faisant apparaitre un nouvel acronyme : MAM (Mobile Application Management).

IC820046

  • Convergence GPO / MDM ?

Pour certains employés de Microsoft il était plus facile de promouvoir un nouveau produit : InTune et la gestion des MDM que de comprendre les GPO / AD et ainsi plusieurs ont déclaré en 2015 que les GPO n’existaient plus ou ne fonctionnaient plus !!

De nombreuses promesses étaient annoncées :

– simplicité de mise en œuvre

– absence de nécessité d’un Active Directory

– gestion de tous les type de périphériques et multi système (Windows, iOS, Android)

Gestion des périphériques externes (BYOD) et extérieurs (non connectés au réseau)

Mais :

– Active Directory est souvent la colonne vertébrale des réseaux d’entreprise

– les solutions MDM sont basées sur des licences

– Tous les paramètres gérés par des modèles de GPO ne sont pas gérés par MDM (et ceci malgré des années de promesses de Microsoft)

– la gestion MDM d’entreprise n’est pas aussi délégable que dans Active Directory

– de nombreuses entreprises ne souhaitent pas que TOUS les PC de l’entreprise soient gérés depuis Internet

  • Conclusion

NON  (et c’est un message que je transmet dès que j’en ai l’opportunité à Microsoft) les GPO ne sont pas mortes maintenant, et encore pour de nombreuses années.

mais

OUI, l’avenir est bien évidemment à MDM et aux solutions associées, InTune et EndPoint Manager étant les solutions Microsoft 365.

Mais les défis sont nombreux et il reste à organiser la transition pour les entreprises, et a en améliorer la clarté pour Microsoft, d’un point de vus licence, d’un point de vue architecture (les nombreux changements de noms, stratégies produits restent un obstacle).

Curieusement pour les PME, j’ai toujours cru a InTune, mais quelques années après sa sortie Microsoft a clairement exclus tous les scénarios petite entreprise du produit.

De nouveau, et grâce à la licence Microsoft 365 Business Premium, ce scénario redevient (et il y en a besoin) d’actualité !!).

A bientôt, pour découvrir InTune et Endpoint Manager.

image

Leave a Reply

  

  

  

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Catégories (nombre d’articles) :