En guise de premier post technique, je vous propose de ne parler ni de
SCCM 2007 ni de SCCM 2012 mais de la version Cloud du produit proposé
par Microsoft, c'est à dire
Intune. Tout d'abord, ne
confondons pas avec iTunes, logiciel de chez Apple qui n'a franchement
rien à voir (On se demandera au passage pourquoi Microsoft a proposé de
donner un nom aussi proche - même l'auto-completion de Google vous
propose de corriger par iTunes).
Solution Cloud, çà veut donc dire que vous n'avez désormais besoin
d'aucune infrastructure. Vous payez et vous utilisez. Actuellement, le
prix public de cette offre est de l'ordre de 10$/mois/poste.
Est ce cher ?
Jusqu'à présent, SCCM n'était destiné qu'à des grands comptes voire des
PME importantes. En effet, la licence du produit est plutôt élevée (ce
qui ne va aller qu'en s'accentuant maintenant que Microsoft vend sa
suite SC en entier et non produit par produit) et il faut y ajouter les
coûts de l'infra serveur ainsi que les coûts du projet d'intégration, la
maintenance et les updates de temps en temps...
Une PME n'avait donc jusqu'à présent guère que l'alternative de faire
des inventaires avec quelques scripts et un grand fichier Excel
rapidement obsolète et inutilisable...
Ce produit, tout en n'étant pas gratuit, propose donc une solution
intermédiaire entre une infra SCCM et être totalement aveugle.
Qu'est ce que propose de faire intune ?
- Déploiement de logiciels
- Déploiement de mises à jour
- inventaire
- reporting
- Antivirus / Antimalware (endpoint protection : une version adaptée pour intune de Forefront Endpoint Protection)
- Stratégie (on ne parle pas de GPO, mais de pouvoir gérer le firewall, l'antivirus et quelques paramètres comme Bits)
- donne un accès à MDOP (Med-V, Add-V...)
Que faut-il pour faire fonctionner intune ?
Aujourd'hui les OS supportés sont :
- Windows XP Professionnel, SP2 2 ou SP 3
- Windows Vista Versions Entreprise, Intégrale ou Professionnel
- Windows 7 Éditions Entreprise, Intégrale ou Professionnelle
Il faut également un accès à Internet (HTTP/HTTPS) puisque tout se fait
par là. Les proxy sont supportés mais si le proxy est authentifiant, il
faut que le poste puisse s'authentifier avec son compte machine (ce
point est important et souvent gênant dans les entreprises avec un
contrôle strict des accès à Internet).
On pourrait parler longuement de inTune, mais le plus intéressant me semble de comparer SCCM 2012 avec inTune.
Retenons un principe général du produit : la solution inTune est faite
pour être directement utilisable sans fioriture et avec un minimum
d'impact pour l'utilisateur (il ne s'en rendra à peine compte ce qui
peut dans certains cas devenir problématique, on y reviendra). Le
produit propose assez peu de personnalisation, donc soit le produit est
suffisant en l'état, soit il est nécessaire de passer sous SCCM.
Certaines entreprises préfèreront un produit efficace et rapide plutôt
que de devoir faire le choix entre rien et lancer un projet long et
couteux sous SCCM. Bien évidement, de la même façon qu'on est toujours
mieux riche et en bonne santé que pauvre et malade, s'il est possible
d'implémenter SCCM, pourquoi s'en priver ? :o)
SCCM 2012 vs Intune
|
SCCM 2012 |
intune |
Gestion des postes sur Internet |
Nécessite l'implémentation une PKI pour commiquer en HTTPS (notons que c'est beaucoup plus facile que sous SCCM 2007) |
Natif |
Regroupement |
Possibilité d'attribuer un poste automatiquement (collection dynamique) |
Attribution manuelle seulement |
Déploiement de mises à jour |
Possibilité d'automatiser la validation et le déploiement de certains patchs
Possibilité d'empêcher les reboots (très utile pour les serveurs notamment)
Possibilité d'interagir avec l'utilisateur |
Interface très (trop ?) silencieuse. |
Alerte |
hors périmètre SCCM (cf SCOM) |
Alerte sur l'état du poste |
Prise de main distance |
Prise de main possible uniquement si le poste est dans l'intranet |
Prise de main seulement sur demande de l'utilisateur |
Déploiement logiciel |
Nombreux scénarios possibles : date de démarrage, date limite, publication, attribution, interaction avec l'utilisateur...
Utilisation de Task Séquences (2012 pour Internet) pour des scénario avancés (upgrades, rollback…)
Nombreux formats de fichiers exécutables. Nombreux programmes
(install, désinstall, réparation…), Définition de prérequis... |
Scénarios limités : uniquement attribution avec spécification d'une date limite
Pas de publication, pas de Task Séquence
Seuls les EXE et les MSI sont pris en charge
Uniquement installation et désinstallation. Pas de notion de prérequis... |
Stratégie |
Power Mangement, patching, reboot, personnalisation des messages affichés
Stratégie des agents définissable au niveau des collections (au niveau des sites pour 2007)
Utilisation des GPO (via Active Directory) ou de scripts pour définir des paramètres sur le poste |
Stratégie limitées par tournées Utilisateur final : Firewall, information de l'agent, paramétrage des patchs et BITS.
Messages affichés non personnalisables
Stratégie d'agent définissable au niveau des groupes |
Fenêtre de maintenance |
Disponible |
non disponible |
Rapports / inventaire |
Rapport nombreux et modifiables
inventaire extensible si nécessaire |
5 rapports : mises à jour, logiciels, inventaires, licences (x2)
Inventaire non extensible |
Asset Management |
Consolidation avancée à l'aide de services fournis fournis par Microsoft |
Limité à du reporting |
Administration |
Délégation possible basée sur des rôles ("role based management") |
Pas de délégation. Nécessité de plusieurs environnements distincts pour limiter des accès. |
Sécurisation de l'environnement |
Approbation des agents entrants |
Aucune approbation. Il suffit d'installer le client distribué depuis la console d'administration. |
Stockage
déploiement |
Limité par le stockage de l'entreprise
Réplication des sources dans la hiérarchie
Dans l'intranet, un poste peut diffuser ses sources aux postes connexes (fonction Branch Cache) |
Limité au stockage acheté dans le Cloud
Chaque poste télécharge ses sources |
Quelques liens utiles :
aide :
http://onlinehelp.microsoft.com/en-us/windowsintune/hh127729.aspx
déploiement :
http://onlinehelp.microsoft.com/en-us /windowsintune/ff399003.aspx
parefeu et proxy :
http://onlinehelp.microsoft.com/en-us /windowsintune/ff628135.aspx
Troubleshooting :
http://onlinehelp.microsoft.com/en-us/windowsintune/ff918820.aspx
FAQ :
http://onlinehelp.microsoft.com/en-us/windowsintune/ff189232.aspx
Bandwith :
http://onlinehelp.microsoft.com/en-us/windowsintune/hh272792.aspx
Aperçu technique : je vous renvoie à l'article mon ancien collègue Michel Picollet :
http://vconfigmgr.wordpress.com/2011/10/19/cloud-microsoft-windows-intune-breaking-news/
Pour conclure : intune est un produit encore tout
neuf basé davantage sur WSUS que sur un véritable client ce qui le
limite dans ses fonctionnalités. SCCM va bien au delà certes ; reste à
savoir si le client sera prêt à faire l'investissement. Rien n'empêche
d'ailleurs de commencer avec intune le temps que projet SCCM se mette en
place. J'ai également vu des clients mettre en place cet outil afin
d'avoir une cartographie à jour de leur parc avant, pendant et après
leur migration. Notons que Microsoft a prévu l'investir énormément sur le
Cloud. Il ne fait aucun doute que intune va évoluer. On parle même de
pouvoir interfacer intune avec SCCM.
Personnellement, je pense que dans un contexte sans solution de gestion
de parc, tout projet poste de travail devrait proposer l'implémentation
de intune. Notons d'ailleurs qu'il est possible d'essayer gratuitement
la solution pendant 30 jours, le temps au client de mesurer les
bénéfices de cette solution voire d'identifier l'ampleur du "laisser
aller" sur son parc.
Julien