Swiss Security Hackademy

De nombreuses entreprises réfléchissent aux alternatives Cloud pour la gestion de leur IT, et Microsoft Azure fait figure de "candidat" leader pour l'hébergement d'environnements IT complets dans le Cloud. Biensur cela concerne le socle habituel (Messagerie, Documents Office, ActiveDirectory, Stockage...), mais la mobilité est aussi un composant critique à prendre en compte : les accès aux ressources via les smartphones et tablettes étant de plus en plus fréquents.

Une des forces d'Azure, en terme de fonctionnalités sécurité, est le Condtional Access. Cette fonction permet d'assurer un contrôle d'accès aux ressources de l'entreprise en fonction de paramètres spécifiques à l'équipement utilisé. Par exemple, on peut autoriser les accès uniquement pour des terminaux "connus" de l'entreprise et enrôlés dans une solutions UEM (Unified Endpoint Management) comme Workspace One UEM ou InTune.

Nous parlerons ici du premier cas (VMWare Workspace One UEM), en particulier pour les clients qui ont déjà la solution déployée ou qui on un projet en ce sens. L'objectif est d'informer sur une fonctionnalité intégrée a Microsoft Azure, permettant d'utiliser Workspace One UEM comme système de confiance pour l'implémentation du Conditional Access dans Azure : seul un terminal enrôlé dans Workspace One UEM et compliant pourra accéder aux ressources de l'entreprise.

Cela passe par la notion de Compliance Partner dans Azure. En ajoutant un connecteur vers votre environnement Workspace One UEM dans votre Tenant Azure, les terminaux enrôlés seront reconnus dans le monde "Azure".

Les informations détaillées, côté VMWare Workspace One UEM : https://blogs.vmware.com/euc/2020/11/device-compliance-data.html?utm_source=rss&utm_medium=rss&utm_campaign=device-compliance-dataurl (avec une courte video présentant l'expérience utilisateur pour iOs)

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-800FB831-AA66-4094-8F5A-FA5899A3C70C.html

et côté Azure : https://docs.microsoft.com/en-us/mem/intune/protect/device-compliance-partners

Par ailleurs, une autre fonctionnalité existante depuis déjà longtemps peut compléter la boite à outil sécurité : l'intégration Microsoft Intune App protection Policies, en permettant une gestion depuis une console unique des politques DLP liées aux applications Office 365.

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Intune_Integration/GUID-AWT-OFFICE365.html

N'hésitez pas a nous solliciter pour toute question et assistance pour tester et implémenter ces mécanismes.

L'écosystème Workspace One étant vaste, un petit rappel des composants qui arrivent (ou sont arrivés) en fin de vie.

Workspace One UEM : Version 1905. Fin de support annoncé pour 30 Novembre 2020.

Personal Content : Fin de support depuis Janvier 2020, mais les menus étaient encore présents dans les apps mobiles. Attention, la dernière release des apps Content pour Android et iOs suppriment le menu Personal Content. Par ailleurs, plus de support pour la partie Content Sync pour Windows et MacOS

Content Locker for Windows : Fin de support 31 Juillet 2021

AirWatch Container : Fin de support depuis le 30 Aout 2020

Android Legacy Enrollments : Fin de support le 31 Mars 2022. Avant cette date, tous les Androids doivent être passés sous Android Enterprise pour l'enrôlement, après avoir lié votre environnement Workspace One UEM à Google.

Workspace One Application : Fin de support 11 Aout 2021. Avant cette date, il faudra que les terminaux utilisants cette application soient migrés vers Intelligent Hub.

VMware Advanced Remote Management 4.4 et 5.0 : Fin de support depuis le 1er Juillet 2020, et remplacé par Workspace One Assist.

Par ailleurs, n'oubliez pas la fin de vie de l'ancien système de PUSH Notification d'Apple annoncée dans un précédent post.

Apple modifie le mode de fonctionnement pour l'envoie de "Push Notifications" en passant d'un protocole TCP à une connexion HTTP/2. Vous trouverez tous les détails ici. Ce changement est annoncé depuis longtemps, mais l'échéance approchant, certaines vérifications s'imposent.

L'ancien système sera complètement arrêté en Novembre 2020.

Pour les clients ayant une installation On Premise de Workspace One UEM, vous devez vous assurer avant cette date que votre version est compatible. Le premier critère est que la version de Workspace One UEM doit être 19.05 ou >. Vous trouverez le détail des versions (et patch levels) supportés ici.

Notez par ailleurs que bien que ce flux soit en HTTP/2, les contraintes d'authentification Apple (par certificat) impose une connectivité directe entre les serveurs Workspace One UEM (Device Services, Console Server) et les serveurs PUSH d'Apple, sans passage par un proxy Web.