Le but de cet article est de vous présenter les évolutions que propose Microsoft dans la mise en place de votre nouveau Système d'Information.
L'existant
Il n'est pas envisageable, au sein d'un seul article, de vous présenter l'ensemble des services O365/Azure.
Nous avons donc pris le parti de baser notre exemple sur une entreprise aussi représentative que possible possédant ainsi :
- un domaine AD
- des postes de travail en local et des portables pour les télétravailleurs
- un serveur de fichiers
- un serveur d'impression
- un serveur bureau distant pour le logiciel métier d'entreprise (gestion RH)
- un serveur SQL
- des imprimantes et des scanners
- un VPN pour les télétravailleurs pour accéder :
- aux fichiers collaboratifs sur le serveur de fichiers
- aux imprimantes
- aux scanners
- au logiciel métier RH de l'entreprise (cela pourrait aussi être pour la Comptabilité, la Paie, la gestion de production ou même un CRM ...)
Sur cette base, cette entreprise envisage de refondre son SI pour gagner en coût de gestion, en fiabilité, en fonctionnalité et en sécurité.
Voici donc le schéma académique de cette entreprise ayant l'ensemble de ses ressources sur site. Selon votre propre cas, vous pourrez retirer des briques. Si vous avez besoin d'en ajouter par rapport à cet exemple, contactez-nous pour que nous échangions sur vos projets. 02 51 83 18 39 choix 1
Votre Système d'Information de demain.
Avant de vous présenter la future architecture, voici les grandes lignes vous permettant de cerner rapidement le but des nouveaux services O365 & Azure.
La collaboration, au centre de l'efficacité de l'entreprise
Les documents de travail (bureautique Word/Excel/PDF & Co) sont déplacés du serveur de fichiers local vers le Cloud Microsoft sur un service s'appuyant sur SharePoint Online. Les données sont facilement accessibles via l'explorateur de fichiers de l'ordinateur (ou du smartphone/tablette) par le biais du logiciel OneDrive. Si vous voulez mieux comprendre l'interaction entre SharePoint / OneDrive / Teams vous pouvez consulter ces articles :
SharePoint Online : Le support des services O365
Résumé des fonctionnalités Microsoft TEAMS
En deux mots : OneDrive est le logiciel client qui s'installe sur votre ordinateur/tablette/smartphone pour accéder simplement, via l'explorateur de fichiers, aux données présentes dans votre Cloud Microsoft et stockées dans SharePoint Online. Les utilisateurs n'ont pas besoin de connaître l'existence de SharePoint. Ils ont juste l'impression que les documents sont accessibles via un lecteur réseau pointant vers le Cloud. Donc peu de changements d'habitude à leur niveau.
L'avantage immédiat réside dans le fait que les documents sont accessibles depuis Internet et donc de n'importe où. Pour des raisons de sécurité évidentes plusieurs niveaux de protection sont possibles :
- Authentification des utilisateurs (voir § suivant)
- Gestion des droits d'accès aux fichiers et aux dossiers comme vous le faites sur un serveur de fichiers (par utilisateur, par groupe d'utilisateurs, par équipes Teams)
- Il est même possible d'ouvrir des accès à des dossiers pour des personnes extérieures à votre entreprise (consultant, fournisseur, client, partenaire)
Authentification des utilisateurs
Authentification classique
Authentification obligatoire pour accéder aux données de l'entreprise.
Grâce au client OneDrive les identifiants sont mémorisés dans la session de l'utilisateur, il n'aura pas à les ressaisir à chaque ouverture de fichier.
Authentification forte
Cette authentification, également nommée <double authentification> nécessite d'avoir son smartphone pour valider l'ouverture de session.
Elle peut avoir son intérêt en fonction des règles de sécurité imposées par l'entreprise comme par exemple dans les cas suivants :
- documents confidentiels
- documents contenants de nombreuses données personnelles (fiches clients/RH)
- accès aux données depuis un pays étranger
- accès aux données depuis un ordinateur n'appartenant pas à l'entreprise
- accès aux données en dehors des horaires normales de travail
- ... à vous de décider
Il est également possible d'interdire l'accès aux données si certains critères de sécurité ne sont pas respectés par l'utilisateur et ce malgré le fait qu'il possède bien ses identifiants de connexion.
- accès aux données depuis un pays étranger
- accès aux données depuis un ordinateur n'appartenant pas à l'entreprise
- accès aux données en dehors des horaires normales de travail
- ... à vous de décider
Comportement à connaitre : Avec le télétravail, si aucun moyen de sécurité n'est mis en place, il est fort possible qu'un collaborateur préfère utiliser son ordinateur personnel (ou celui de ses enfants avec pleins de jeux piratés ;-) ) que d'utiliser le PC portable avec écran 14 pouces fourni par son entreprise.
Avec Azure/O365 vous pouvez faire en sorte que l'accès aux données soit interdit depuis un ordinateur non sécurisé par l'entreprise.
Sécurité de l'ordinateur
Contrôler les accès aux données au seul travers des identifiants de connexion sans prendre en compte le niveau de sécurité de l'ordinateur utilisé pour s'y connecter est aujourd'hui un vrai risque.
Microsoft O365 permet de déployer des stratégies de sécurité extrêmement simples et efficaces au travers du service Intune.
Avec Intune déployé sur l'ensemble des terminaux utilisés par les collaborateurs de l'entreprise (Ordinateur, tablette, smartphone et serveur) il est possible d'imposer des règles de sécurité afin de s'assurer que le collaborateur, lors de sa connexion aux données de l'entreprise, ne les exposera pas à un des risques classiques (altération, vol, effacement, crypto). L'agent logiciel Intune déployé sur ces équipements va permettre de contrôler en temps réel que toutes les règles sont bien respectées.
L'utilisation de la suite Windows Defender (inclus dans certains abonnements) remplace avantageusement les nombreux produits ou services que vous avez peut-être déjà déployés (Antivirus, Analyse des pièces jointes de mail au niveau du serveur Exchange, analyse des URL...)
Accès au logiciel métier
Maintenant que les utilisateurs ont accès de manière simple et sécurisée aux données de l'entreprise, comment leur mettre à disposition le logiciel métier présent initialement sur un serveur de l'entreprise ?
En fonction de l'architecture du logiciel métier, plusieurs cas sont possibles, tous transposables sur O365/Azure :
- Logiciel en mode WEB fonctionnant sur un serveur IIS ou linux
- Logiciel en mode client lourd :
- avec les clients installés sur les ordinateurs des utilisateurs
- avec les clients installés sur un serveur en mode bureau distant
A savoir: Il est désormais possible de se passer du PABX ou IPBX en utilisant l'option téléphonie sur Teams. Voir l'option Phone System/Business Voice/Forfait d'appel/Direct Routing. sur ce guide
Fonctionnalités du service <Système Téléphonique> de Microsoft Teams – Openhost Network (openhost-network.com)
Impression des documents
Avec le service Universal Printing, il est maintenant très facile, où le qu'on soit, d'imprimer sur les imprimantes de l'entreprise. En télétravail, plus besoin de monter un VPN depuis l'ordinateur de l'utilisateur, universal printing remonte les imprimantes accessibles et ce à chaque utilisateur en fonction de ses droits d'impression.
Accès VPN depuis l'ordinateur de l'utilisateur
Les services O365/Azure, de par leur construction, ne nécessitent pas l'usage de tunnel VPN sur les ordinateurs de utilisateurs. Cela simplifie le déploiement, la maintenance et augmente la rapidité des flux.
Les connexions entre les ordinateurs des utilisateurs (leurs tablettes/smartphones) sont déjà nativement et systématiquement chiffrées.
Néanmoins, si vous le souhaitez, il existe un service VPN Azure en mode <client à site> et <site à site>. Les connexions intersites via MPLS sont également disponibles directement sur Azure. Si vous êtes abonné au MPLS vous pouvez donc y raccorder vos services O365/Azure.
Schéma de votre prochain Système d'Information
Voici donc à quoi pourrait ressembler votre prochain SI.
Comme indiqué au début de cet article, ceci est un cas d'école n'intégrant que quelques briques des nombreux services O365/Azure.
Les équipements sur site se réduisent ainsi au strict minimum.
- Les ordinateurs des utilisateurs qui s'authentifient sur Azure Active Directory et dont la sécurité est gérée et supervisée par Intune.
- Les imprimantes locales qui sont interconnectées avec Universal Printing.
- Les scanners qui transmettent leurs documents par email ou sur OneDrive.
Dans O365/Azure nous retrouvons :
- Le stockage Cloud sur OneDrive pour les fichiers collaboratifs des utilisateurs
- Le stockage Cloud sur OneDrive pour les fichiers personnels des utilisateurs
- L'ensemble des autres services proposés par O365 (Messagerie Exchange, Teams, SharePoint, Yammer, Planner....)
La gestion des authentifications des utilisateurs, que ce soit au niveau de l'ouverture de leur session sur leurs terminaux (ordinateur, tablette et smartphone)
Rappel : Intune permet de gérer parfaitement les smartphones/tablette appartenant au collaborateur (BYOD) mais sur lequel il a installé des applications accédant aux données de l'entreprise (Messagerie, OneDrive, Teams). Pour en savoir plus : Pourquoi et comment utiliser Intune pour améliorer la sécurité de vos ordinateurs et smartphones ? – Openhost Network (openhost-network.com)
La brique <AD Role> permet de définir les droits d'accès et les privilèges des utilisateurs.
Le service Universal Printing permettant aux personnes habilitées de pouvoir imprimer non seulement depuis les bureaux de l'entreprise mais aussi depuis leur lieu de télétravail.
Le service Windows Virtual Desktop pour répliquer l'architecture locale mise en œuvre pour le logiciel métier sur un serveur RDS/TSE. A ce titre le schéma ci-dessous ne reprend pas les cas d'un déploiement en mode WEB ou avec client lourd sur PC des utilisateurs. Cela aurait alourdie le schéma. Consultez-nous si vous êtes intéressé par ce type de déploiement.
Si vous avez besoin de solution de sauvegarde, vous pouvez déployer Azure Backup aussi bien sur des équipements présents sur Azure comme sur des équipements externes (Ordinateur des collaborateurs et serveurs on-premise).
Commentaires
Vous devez vous connecter pour laisser un commentaire.