Introduction
Je vous propose aujourd’hui un article different de ceux que j’ai l’habitue de publier car je vais vous présenter un produit que j’ai découvert récemment et que désormais je recommande à mes client souhaitant migrer vers une gestion moderne du poste de travail Windows et qui souhaitent traiter les vulnérabilités applicatives de manière globale (avec Microsoft Defender for Endpoint par exemple).
La plupart de mes clients ont eu recours à un packaging régulier de leurs applications que ce soit pour des applications du métier ou des applications grand public (Adobe, WinZip, Winrar etc). Les applications grand public ont la caractéristiques d’être souvent mises à jour, la plupart du temps pour cause de vulnérabilités critiques.
Il suffit de faire un tour sur le site du CISA Known Exploited Vulnerabilities Catalog | CISA ou de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) Alertes de sécurité – CERT-FR (ssi.gouv.fr) pour ce rendre compte du nombre de vulnérabilités que représente ces logiciels et le conseil systématique de ces agences est unanime : Apply updates per vendor instructions (Mettez à jour !)
Alors évidement certains vont penser que j’enfonce des portes ouvertes, mais il n’est pas rare de voir des organisations qui ne dispose pas de plan précis pour le maintien de ces applications à jour ou tout simplement avoir renoncé à cause du coût packaging ou de la cadence de mise à jour et à juste titre, Google Chrome totalise 11 releases pour la seule année 2021!
La question est donc de comment conserver le parc applicatif tiers à jour tout en garantissant la continuité des opérations et contenir les coûts lié à ces applications ?
Et c’est là que des outils comme Scappman entre en scene.
Scappman, c’est quoi ?
Scappman c’est une solution 100% Cloud qui installe et maintien automatiquement les applications (500+ applications au catalogue) de manière la plus simple possible. Scappman est est intégré à Microsoft Endpoint Manager et ne nécessite aucun serveur ou agent pour installer et mettre à jour les applications.
Scappman fourni également un aperçu global et des rapports détaillés sur l’ensemble des installations. Il est également possible de d’intégrer les applications métiers sur le portail et permet ainsi d’utiliser les fonctionnalités (collecte de journaux, anneaux de mise à jour, rapports, ensembles d’applications, ajout de version…) de Scappman.
Pour le reste des fonctionnalités, rendez-vous ici https://www.scappman.com
Intégration de Scappman
L’intégration de Scappman dans un tenant est très simple et ne nécessite que quelques minutes et des droits d’administrateur général (uniquement pour cette étape).
La première étape consiste à s’enregistrer pour un essai à l’adresse suivante : https://portal.scappman.com/register et vous serez invité à accorder le consentement pour les permissions nécessaires. L’application nécessite des permissions de lectures et d’écriture comme les groupes et les utilisateurs mais évidement pour créer les application dans Microsoft Intune. Le détail des permissions sont documentés dans cet article Why do we need permissions in your tenant?
Une fois cette étape terminée, vous arriverez sur le dashboard :
Le dashboard permet d’avoir une vue globale sur l’état des installations, le nombre d’applications gérées et le nombre d’appareils sur lesquels des applications gérées par Scappman sont installées.
Ajout des applications
L’App Store vous permet d’ajouter des applications gérées par Scappman, dans cet exemple nous ajoutons l’application 7-zip, configurer son installation et l’assigner à un groupe d’appareils.
Dans la vue classique, nous pouvons choisir le nom et la langue de l’application, la création d’un raccourci sur le bureau
La vue avancée, elle, permet une configuration plus fine tel que :
- Le choix l’architecture lorsque cela est possible,
- le choix des dépendances de l’application,
- la personnalisation des lignes de commandes (pre-install, install & post-install),
- le déploiement de l’application via des rings (fast, slow, release),
- le type de mise à disposition (disponible ou requis).
Une fois la configuration de l’application réalisé, il est temps de l’assigner. Dans cet exemple, j’assigne l’application à mon groupe Azure AD lié à des machines Windows 365 Cloud PC. Vous pouvez également choisir des utilisateurs spécifiques ou tous les appareils.
Une fois l’application configuré, il est possible de modifier les paramètres et de mettre en pause le processus de mise à jour automatique de l’application lorsque qu’une nouvelle version est disponible.
Et du coté de Endpoint Manager ?
Une fois l’application configuré dans le portail Scappman, celui va créer le package Win32 automatiquement et le créer dans votre tenant Intune :
Toutes les informations et les règles de detection sont automatiquement crées, on remarque ici que les packages utilisent le PowerShell App Toolkit, une valeur sur et un framework puissant pour la gestion des applications, bien connu des administrateurs SCCM 😉
Mise à jour d’une application
Comme indiqué plus tot, l’intérêt dans ce type d’opérations réside dans l’automatisation mais également le suivi des évolutions/modifications. Lorsqu’une application est mise à jour par son éditeur, il ne faut que quelques heures dans la plupart des cas pour que Scappman dispose de la nouvelle version.
Un reporting par mail est également envoyé pour informer des mises à jours des dernières 24 heures.
Du coté de votre tenant, vous pouvez également consulter les audits et créer des alertes lorsque q’une application est mise à jour.
Conclusion
Au travers de cet article j’ai souhaité démystifier la gestion des mises à jours des applications tiers et démontrer qu’aujourd’hui et plus jamais ce sujet était important amis également simple à gérer. Que vous utilisiez Scappman ou un autre outil tel que Patch My PC il est très important d’avoir un plan de mise à jour continu sur l’ensemble de votre portfolio et pas uniquement sur la plateforme Windows & Office.
Nota : cet article n’est pas sponsorisé par Scappman