1. Livres & vidéos
  2. Microsoft Intune
  3. Gestion des applications
Extrait - Microsoft Intune Implémentation, exploitation et administration
Extraits du livre
Microsoft Intune Implémentation, exploitation et administration
1 avis
Revenir à la page d'achat du livre

Gestion des applications

Introduction

La gestion d’applications constitue l’une des opérations les plus couramment utilisées par les entreprises. Elle vise à donner aux utilisateurs les outils nécessaires au travail qui leur incombent. Auparavant, l’installation était opérée localement par des techniciens. Ce mode de fonctionnement engendrait des écarts de service sur le parc et un temps de déploiement allongé. Il ne permettait pas non plus de gérer facilement l’application des mises à jour et des configurations. C’est pourquoi les outils de gestion sont apparus afin de proposer diverses fonctions. Microsoft Intune a repris ces concepts. Ce chapitre abordera le déploiement d’applications dans son ensemble en revisitant les concepts et différentes méthodes proposées. Nous verrons aussi les méthodes disponibles pour configurer les applications. La suite du chapitre s’attachera à détailler la mise à jour des applications. Enfin, nous finirons par aborder la protection des applications sur les plateformes mobiles.

Concepts

On distingue différents types d’applications dont les applications métiers sont des applications développées ou choisies dont l’organisation dispose des sources. Elles peuvent être au format : Android (IPA, AAB), iOS/iPadOS (IPA), macOS (DMG, PKG), Windows (EXE, MSI, MSIX, MSIXBUNDLE, APPX, APPXBUNDLE). Nous verrons que certains prérequis spécifiques s’appliquent à chaque plateforme pour le déploiement de ces applications. Windows a la particularité de proposer trois types d’applications clientes :

  • Windows app (Win32) supportant tous fichiers pouvant être exécutés.

  • Line-of-business comprenant les fichiers MSI, MSIX, MSIXBUNDLE, APPX, APPXBUNDLE uniquement.

  • Windows catalog app (Win32) offrant un catalogue d’applications créé et maintenu par Microsoft simplifiant le déploiement, la gestion et la mise à jour des applications. Ce type d’application requiert une licence spécifique ou Intune Suite.

Sur Windows, vous devez éviter l’usage du type Line-of-business qui comprend de nombreuses limitations et crée des conflits potentiels lors de son usage dans Windows Autopilot.

Côté macOS, on retrouve aussi plusieurs types d’applications :

  • macOS app (DMG) supportant les fichiers DMG ;

  • macOS app (PKG) comprenant les fichiers PKG non gérés ;

  • Line-of-business pour les fichiers PKG gérés.

Les différences principales entre les types d’application sont détaillées dans la section Préparer l’application.

Pour iOS/iPadOS, les applications métiers sont chargées et déployées via Microsoft Intune.

Sur Android Enterprise, les applications métiers doivent être chargées dans le Managed Google Play puis déployées via Microsoft Intune.

Parmi les autres types d’applications, on retrouve celles issues des stores éditeurs et pouvant être installées sans actions de l’utilisateur. Sur Android Enterprise, vous devez utiliser Managed Google Play app pour déployer des applications gratuites présentes dans le Google Play Store. Concernant iOS/iPadOS, Intune fournit deux possibilités :

  • l’App Store iOS public où l’identité de l’utilisateur sera...

Prérequis

Cette partie décrit les éventuels prérequis au déploiement d’applications sur les différentes plateformes.

1. Apple Volume Purchase Program (VPP)

Pour iOS/iPadOS et macOS, nous vous recommandons autant que possible d’utiliser Apple Volume Purchase Program (VPP) car l’acquisition des applications se fera sur le compte de l’entreprise avec les identités de l’entreprise. Pour préparer ces déploiements, vous devez ajouter un jeton VPP.

En premier lieu, vous devez avoir suivi les étapes d’ouverture d’un tenant Apple Business Manager (ABM) comme vues dans le chapitre Prérequis à la gestion des périphériques.

 Connectez-vous à ABM (business.apple.com). Cliquez sur votre nom d’utilisateur en bas à gauche puis sélectionnez Preferences. Choisissez Payments and Billing puis Apps and Books. Dans Current Tokens, cliquez sur Download sur l’organisation que vous avez créée.

 Ouvrez ensuite le portail Intune et naviguez dans Tenant Administration - Connectors and tokens puis Apple VPP Tokens. Cliquez sur Create. Nommez le jeton, entrez l’identifiant Apple ayant servi pour la génération puis chargez le jeton précédemment téléchargé sur ABM.

 Sur l’écran suivant, spécifiez si vous souhaitez prendre le contrôle...

Préparer l’application

L’une des premières étapes au déploiement d’une application constitue sa préparation. Celle-ci peut nécessiter différentes étapes qui varient selon les plateformes.

1. Catégories d’applications

Les catégories d’applications peuvent être utilisées pour trier les applications et aider les utilisateurs à les trouver plus facilement dans le portail d’entreprise. Microsoft Intune intègre par défaut neuf catégories : Books & Reference, Business, Collaboration & Social, Computer management, Data management, Development & Design, Other apps, Photos & Media et Productivity.

Vous pouvez ajouter des catégories supplémentaires en naviguant dans Apps - Organize apps puis App categories. Il vous suffit de cliquer sur Add pour ajouter une catégorie qui pourra être utilisée lors de la création de l’application.

Notez que les catégories d’applications ne gèrent pas le multilingue. Vous devez donc utiliser une langue par défaut telle que l’anglais.

2. Windows

Avant de déployer une application sur des machines Windows, vous pouvez potentiellement avoir à la préparer. Ceci inclut l’obtention des sources ou diverses étapes de packaging selon vos besoins.

a. MSIX

Le format MSIX est un nouveau modèle de packaging et de distribution d’applications développé par Microsoft, conçu pour simplifier le déploiement et la gestion des applications sur les appareils Windows. MSIX combine les avantages des technologies précédentes, telles que MSI, AppX et ClickOnce, tout en offrant une meilleure sécurité et une gestion simplifiée des installations. Ce format permet d’inclure toutes les dépendances de l’application, assurant ainsi une installation propre et cohérente. Parmi les bénéfices notables, citons la possibilité de gérer facilement les mises à jour et les désinstallations, la réduction des conflits entre applications, ainsi qu’une meilleure isolation des systèmes de fichiers. MSIX facilite également le déploiement sur les appareils gérés, rendant ce format particulièrement...

Déploiement des applications

Cette section aborde les méthodes de déploiement pour chaque plateforme.

1. Méthodes communes

Certaines méthodes de déploiements sont communes et proposées pour toutes les plateformes.

a. Liens web

Les liens web permettant de créer un raccourci vers une application web sur les appareils. Le comportement divergent selon la plateforme. Concernant Android, cela ajoute une application au côté des autres applications installées. Sur iOS/iPadOS, le raccourci est ajouté à l’écran d’accueil. Sur macOS, l’utilisateur peut attacher le lien sur le dock de l’appareil. Pour Windows, un raccourci est positionné dans le menu Démarrer.

Il est à noter que le périphérique doit disposer d’un navigateur par défaut afin d’ouvrir l’application web issue du lien.

iOS/iPadOS/macOS/Windows

 Afin de créer un lien web pour ces plateformes, ouvrez le portail Intune et naviguez dans Apps - All Apps puis sélectionnez Create.

Dans la liste, vous retrouvez des types d’applications spécifiques à chaque plateforme dans Web Application. Le type générique Web Link dans Other ne comprend pas certaines options spécifiques à iOS/iPadOS, Windows ou macOS.

Vous devez ensuite renseigner :

  • Le nom, la description, l’éditeur, l’URL vers l’application.

  • De manière optionnelle : la catégorie, l’URL d’information, l’URL de confidentialité, le développeur, le propriétaire, des notes et le logo associé. Une option spécifique permet de spécifier si l’application doit être mise en avant dans le portail d’entreprise.

  • Pour iOS/iPadOS, on retrouve des options spécifiques comme :

  • L’obligation d’utiliser Microsoft Edge pour ouvrir le lien.

  • L’exécution en mode plein écran.

  • Ignore manifest scope qui permet à clip web en plein écran de naviguer vers un site web externe sans afficher l’interface utilisateur de Safari. Dans le cas contraire, l’interface Safari s’affiche lorsque l’on s’éloigne de l’URL du clip web.

  • Precomposed empêche le launcher d’application d’Apple (SpringBoard) d’ajouter un effet...

Configuration des applications

Une fois les applications déployées, il peut être nécessaire de réaliser des configurations pour qu’elles répondent à vos contraintes (préconfiguration du client e-mail, configuration du Single Sign-On, etc.).

1. Méthodes communes

Certaines configurations peuvent être utilisées à travers différentes plateformes.

a. Scripts

Les scripts sont utilisables pour Windows, macOS, et Linux et permettent de personnaliser des applications installées. Pour Windows, vous pouvez embarquer vos configurations dans des scripts qui seront joués à l’installation de l’application via le type Win32 apps.

Vous pouvez aussi utiliser les fonctions de scripts et de remédiations pour venir modifier les configurations souhaitées. macOS offre nativement une intégration de scripts de pré et postinstallation lorsque vous utilisez le type d’application PKG. Ceci permet de lier la configuration à l’installation. Vous pouvez aussi utiliser la fonction de scripts proposée par Intune, mais vous aurez besoin de gérer un nombre d’essais ou la détection dans l’algorithme du script car aucune fonction ne permet de les lier à la détection d’une application. Pour Linux, vous retrouvez la fonction de scripts qui, comme nous l’avons vu, permet à la fois d’installer et configurer vos applications.

Pour revoir ces méthodes, vous pouvez vous reporter au chapitre Configuration des périphériques.

b. Stratégies de catalogue de paramétrages

Les stratégies de catalogue de paramétrages (settings catalog) permettent de configurer de nombreux aspects sur les appareils. Ceci inclut certains comportements, mais aussi certaines applications. Pour Windows et macOS, on retrouve notamment des paramètres pour les applications du système, Microsoft Office, Microsoft Edge, ou Google (Windows uniquement). Concernant iOS, il existe quelques paramétrages à la marge qui permettent de gérer les applications système.

Pour revoir ces méthodes, vous pouvez vous reporter au chapitre Configuration des périphériques.

c. Stratégies de configuration des applications

Les stratégies de configuration des applications...

Mise à jour des applications

La mise à jour des applications déployées est un enjeu important pour assurer la sécurité, la performance et la compatibilité. Les mises à jour incluent souvent des correctifs de sécurité qui protègent contre les vulnérabilités exploitables. Elles améliorent aussi la performance en optimisant les fonctionnalités existantes et en corrigeant les bugs. Enfin, les mises à jour garantissent la compatibilité avec d’autres logiciels et systèmes.

1. Windows

Sur la plateforme Windows, on retrouve différentes solutions permettant de mettre à jour les applications.

a. Microsoft Store

Les applications qui ont été déployées via le Microsoft Store se mettent à jour automatiquement dès lors que les flux réseau vers Internet sont ouverts et que le Microsoft Store n’est pas bloqué pour la machine. Si vous bloquez le Microsoft Store, veillez à ce que ce paramétrage soit appliqué à l’utilisateur.

b. Enterprise App Catalog

Si vous utilisez la fonctionnalité EAM, le catalogue d’application d’entreprise comprend des applications qui se mettent à jour automatiquement selon le processus de l’éditeur. Lorsque l’application est déployée, Intune s’assure que l’application est au moins à une version minimale cible, et considère l’application installée si la version détectée de l’application est égale ou supérieure à la version minimale. Intune indique la version de l’application détectée sur l’appareil. Notez que les applications qui intègrent un processus de mise à jour automatique peuvent nécessiter que les flux réseau autorisent la mise à jour de l’application.

Pour les applications qui ne se mettent pas à jour elles-mêmes, Microsoft propose les mises à jour via le catalogue et le système de remplacement (supersedence). 

 Pour identifier les applications qui requièrent des mises à jour, ouvrez le portail Intune et naviguez dans Apps.

Sur l’écran principal, vous retrouvez une tuile Enterprise App Catalog apps with updates comprenant...

Protection des applications

La protection des applications est essentielle pour garantir que les données de l’organisation sont sécurisées dans un environnement professionnel géré et imperméable.

1. Concepts

La protection des applications (App Protection Policy - APP) est un concept introduit par Microsoft pour transformer la façon dont les entreprises protègent les organisations. Auparavant, les entreprises avaient l’habitude d’encapsuler les applications avec des outils fournis par les solutions de gestion des appareils mobiles. Ceci avait pour inconvénients d’impacter l’expérience utilisateur et les différentes fonctions (partage, copier/coller, lecture des documents dans des visionneuses spécifiques, etc.). En outre, cette méthode ne prend pas en charge les appareils personnels sans avoir à forcer les utilisateurs à les enregistrer dans la solution de gestion de l’entreprise.

Microsoft a donc lancé un Software Development Kit (SDK) permettant d’intégrer des mécanismes de protection des applications lors du développement. Les applications embarquent alors un mécanisme permettant de récupérer des stratégies de protection lors de la connexion à l’application. Ces stratégies vous permettent de contrôler la manière dont les données sont accédées et partagées par les applications sur les appareils mobiles. Une politique peut être une règle appliquée lorsque l’utilisateur tente d’accéder à des données « d’entreprise » ou de les déplacer, ou un ensemble d’actions interdites ou surveillées lorsque l’utilisateur se trouve dans l’application (copier/coller, etc.). En outre, l’organisation peut décider d’effacer sélectivement les données de l’organisation qui sont stockées sur l’appareil.

Les stratégies de protection d’applications peuvent être couplées avec les règles d’accès conditionnel proposées par Microsoft Entra ID afin de contraindre l’accès au service à l’application de ces règles. Vous pouvez vous reporter au chapitre Sécurisation et conformité...

Conclusion

Ce chapitre aura parcouru l’ensemble du cycle de vie applicatif dans Microsoft Intune, depuis la compréhension des typologies d’applications jusqu’à la protection des données, en passant par la préparation, le déploiement, la configuration et la mise à jour. Nous avons d’abord rappelé les grands concepts : distinction entre applications métiers et issues des stores, formats pris en charge (EXE/MSI/MSIX, APPX, DMG/PKG, IPA, AAB/APK…), ainsi que les trois familles Windows (Win32, Line-of-business, Enterprise App Catalog) et leurs équivalents macOS, iOS/iPadOS et Android. Les prérequis ont été détaillés incluant le jeton Apple VPP, le compte Managed Google Play et l’éventuelle licence Enterprise App Management puisqu’ils conditionnent l’accès aux catalogues et aux licences en volume.

La section Préparer l’application a expliqué comment conditionner les sources : conversion au format MSIX via MSIX Packaging Tool, avec Win32 Content Prep Tool, ou vérification des contraintes propres aux PKG/DMG, IPA et APK. Cette phase garantit que la détection, la désinstallation et la mise à jour seront maîtrisées plus tard. Le déploiement a ensuite été décliné par plateforme. Pour Windows, nous avons abordé les types...