Ça y est la nouvelle version de la plateforme Airwatch est arrivée voici quelques jours. Cette nouvelle mouture fait la part belle à Windows 10 ainsi qu'à Workspace One au travers d'une nouvelle console unifiée. Voici ci-dessous un résumé des nouveautés.

Les principales évolutions sont les suivantes:

  • Gestion unifiée des "endpoints/terminaison" Windows 10 pour une gestion robuste du cycle de vie des PC (cette partie fera l'objet d'un article spécifique),
  • Introduction du support pour les terminaux embarquant de la réalité virtuelle,
  • Simplification de la configuration du WiFi, VPN aet ressources email ressources au travers des différentes plateformes disponible,
  • Configuration simplifiée de VMware Workspace ONE et améliorations apportées à sa suite d'applications,
  • Amélioration de la UI AirWatch avec notamment l'optimisation de l'écran de "connexion", le header, la navigation et les possibilités de "branding",
  • Ajout de nouvelles API.

Sans forcément aller dans le détail de chaque point, je vous propose ci-dessous de lister les évolutions notables et intéressantes. Toute ces informations peuvent être retrouvées dans les "Release Notes":

 

Gestion du terminal mobile (Mobile Terminal Management)

Branding: comme mentionné ci-dessus, la connexion à la plateforme a été revue et épurée.

AirWatch 9.0 - login

Au-delà de l'aspect du login à la plateforme, le branding général d'AirWatch a été revu et simplifié pour utiliser 3 couleurs sur les parties stratégiques. Le texte peut être mis sur "léger ou foncé" afin d'améliorer la lisibilité et ceci quel que soit le choix des couleurs du branding. Ces 3 emplacements permettant cette customisation sont :

  • En-tête : cette couleur s'applique à la console AirWatch et à la partie SSP,
  • Navigation : cette couleur s'applique dans les panneaux de navigation sur la partie gauche de la console et du SSP,
  • Highlight: cette couleur est utilisée pour attirer l'attention sur les boutons et les sélections.

Le "branding" peut être configuré via la console AirWatch sous Settings > System > Branding –> Attention au niveau "Global uniquement"

AirWatch 9.0 - branding

Workspace One: ajout d'un guide permettant la mise en place de Workspace One (pour les entreprises ayant acheté le module). Ce guide permet notamment la configuration de l'APNS et de l'ACC pour ensuite utiliser Workspace One.

Airwatch 9.0 - Workspace One 1    Airwatch 9.0 - WorkspaceOne 2

Empêcher un "enterprise wipe" sur les équipements non-managés: des réglages distincts concernant le wipe d'un équipement ont été ajoutés afin de prévenir le "wipe" accidentel sur ces équipements non-managés. Cela vous permet d'élaborer une stratégie de protection plus nuancée plutôt qu'une approche unique. Ce paramétrage est disponible sous : Groups & Settings > All Settings > Terminals & Users > Advanced > Unmanaged Terminal Wipe Protection. –> Attention au niveau "Global uniquement"

Airwatch 9.0 - Wipe protection

Directory Services and gestion des utilisateurs: ajout d'une synchronisation de groupe conditionnelle pour les groupes utilisateurs et administrateurs. Ajout d'une option pour synchroniser automatiquement un groupe ou un user dans Airwatch à la condition que celui-ci soit modifié dans l'AD. Cette option est activée par défaut dans AirWatch et nous recommandons qu'elle le reste afin d'améliorer les performances. Ce paramétrage est disponible sous : Groups & Settings > All Settings > System > Directory Services > Group section

Airwatch 9.0 - Directory services

Reporting, évènements et analytiques: ajout d'une fonctionnalité permettant au rapport d'être traité en tâche de fond. Mise à jour de la partie UI pour les notifications admin comme la désactivation des alertes non-critiques et la possibilité de recevoir ces alertes par email

Profil: une nouveauté intéressante est l'introduction de "profil" unique pouvant être utilisé indépendamment de la plateforme choisie. Ces profils permettent de configurer la partie "Exchange", le Wifi et les connexions VPN. L'intérêt est évidemment de ne pas devoir créer ceux-ci à chaque fois qu'une nouvelle plateforme doit être supportée.

Airwatch 9.0 - profils

Groupes: AirWatch permet maintenant d'assigner un "groupe" à plusieurs profils et applications (jusqu'à 10 choix possible). Une limitation est encore en cours pour la partie compliance qui est limitée à un seul choix. Cela devrait rapidement être débloqué.

Airwatch 9.0 - groupes

Certificats: AirWatch est reconnu comme "autorité de certificat" dans le cas de l'utilisation de Workspace One Mobile SSO sur les plateforme iOS, Android et MacOs et ne nécessite donc plus d'autorité tierce.

Remote Management: AirWatch améliore les étapes de configuration de ce service via un nouveau "Wizard" simplifié et met à disposition un exécutable dédié pour son installation.

 

Les plateformes

iOS

  • Ajout d'un processus de validation lorsqu'un admin charge ou met à jour un certificat "APNS" dans la console AirWatch. Une fois que ce certificat a été validé, tous les équipements et les Apps assignés avec l'ancien certificat seront automatiquement migrés vers le nouveau certificat.
  • Ajout d'un écran intermédiaire permettant d'afficher l'information que le serveur MDM devrait envoyer une commande additionnelle avant que le terminal n'autorise l'utilisateur à poursuivre dans l'Assistant de Configuration. Ceci est requis pour les fonctionnalités liées à l'éducation et peut-être également appliqué à l’enrôlement DEP. Cette fonctionnalité peut être remplacée dans la vue "Détails du périphérique."
  • Ajout de la possibilité de forcer un équipement DEP de mettre à jour son OS "over the air" si l'OS actuel est en conflit avec la politique de compliance définie.

Airwatch 9.0 - iOS

  • Ajout de la possibilité pour les administrateurs de déploiements AirWatch intégrés à Apple School Manager et de spécifier si un profil s'applique à un utilisateur ou à un périphérique.

 

Android

  • Ajout de la possibilité de créer des restrictions d'enrôlement basées sur le constructeur, l'OS et le modèle ainsi vous pourrez vous assurer que seuls les terminaux approuvés sont enrôlés dans AirWatch.

Airwatch 9.0 - Android 1

  • Remise à niveau du profil AirWatch Launcher avec des améliorations sur la convivialité amenant sur un comportement plus intuitif et finalement permettant de suivre un flux de configuration plus structuré.
  • Ajout d'une nouvelle restriction permettant de contrôler les utilisateurs finaux sur l'envoi et la réception de message MMS sur les équipements Samsung.
  • Ajout d'une nouvelle fonctionnalité qui permet d'effacer automatiquement le code d'accès du terminal lorsqu'un utilisateur se déconnecte d'un appareil Android partagé, ceci rendant ensuite l'échange plus sécurisé.
  • Ajout d'une option permettant de visualiser la version de l'agent et les versions des services OEM actuellement installées sur les terminaux. Cette information est affichée dans la partie "Résumé" de la page du "détails des terminaux".
  • Ajout de la possibilité de contrôler la configuration d'un container Knox dans le cas où un terminal n'aurait pas passé l'étape d'attestation. A noter que si l'attestation dans la console AirWatch est désactivée ou se termine en erreur ou des erreurs SSL sont détectées, le container Knox ne sera pas créé. La page de configuration de l'Agent inclut un champ pour cette attestation qui doit être réglé sur "Requis" afin de mettre en place ce changement.
  • Prise en charge du client NetMotion VPN dans le conteneur Knox. Les règles VPN doivent s'appliquer à toutes les applications du conteneur ainsi qu'aux applications individuelles.
  • Ajout de la possibilité de voir la raison pour laquelle un terminal est reporté comme "compromis".

AirWatch 9.0 - Android 2

Windows Desktop

  • Ajout de la possibilité de configurer une approbation automatique pour des groupes de mise à jour spécifiques avec un profil "Windows Update". AirWatch supporte maintenant "l'approbation des mises à jour" ainsi que "l'approbation automatique des mises à jour" dans un groupe de "mise à jour " spécifique. Cette approbation automatique requiert toutefois de signer le EULA au nom de vos utilisateurs finaux.
  • Mise à jour du "health attestation" afin de supporter votre propre serveur "Health Attestation" sur des déploiements "on-premise".
  • Ajout de la possibilité de préparer un terminal pour l'enrôlement avant de l'envoyer à l'utilisateur final. En effet, AirWatch supporte maintenant le "single user terminal staging" ce qui permet à l'utilisateur final de ne devoir que se loguer afin de finaliser l'enrôlement.

Windows Phone

  • Tout comme le "Desktop Windows" : Mise à jour du "health attestation" afin de supporter votre propre serveur "Health Attestation" sur des déploiement "on-premise".

Mac OS

  • Ajout de la possibilité de créer à distance un compte local sur un MacOs étant activé "DEP" durant l'Assistant de configuration. Cela vous permet la mise en place d'un compte générique sur tous ces équipements.

Airwatch 9.0 - Mac OS

 

Rugged terminal (terminal endurci)

Product provisionning et staging: ajout de la possibilité de forcer un terminal à télécharger tous les composants du produit et ce quel que soit le statut de la configuration initiale (succès ou échec). L'action qui permet de "re-forcer" le processus a été améliorée et permet de systématiquement re-télécharger et installer les composants même si ceux-ci sont déjà présents sur le terminal.

 

Gestion des applications mobiles (Mobile Application Management)

Ajout de la possibilité de configurer un accès ouvert ou géré aux applications internes ou publiques pour autant qu'AirWatch ait été intégré à VMWare Identity Manager et que Workspace One soit déployé. Si Workspace One n'est pas déployé, vous ne verrez pas ces paramètres dans les policies.

Uniquement pour les Apps iOS, AirWatch offre maintenant la possibilité de télécharger un fichier XML contenant des paramètres de configuration pour la partie "App Config).

Ajout du support du Windows Store Business pour les terminaux Windows Phone 10.

Airwatch 9.0 - mobile application management

 

Gestion du contenus mobiles (Mobile Content Management)

Gestion du contenu: mise à disposition des Api REST pour le contenu géré par AirWatch:

  • Possibilité d'accéder et de gérer le contenu AirWatch au travers d'applications tierces,
  • Possibilité d'intégrer AirWatch avec des applications tierces sans pour autant demander de l’App Wrapping ou du SDK.

A noter que la liste de ces Api REST sont à disposition au travers de My-AirWatch.

Infrastructure pour le contenu: ajout de la possibilité de configurer plusieurs instances du "Content Gateway" sur la même OG (organisation Group). Ce point adresse notamment des problèmes de performances qui étaient rencontrés lorsqu'une instance du Content Gateway était géographiquement séparée des serveurs de fichiers de l'entreprise mais également pour partager la charge lors de déploiement conséquent.

 

Gestion de l'Email Mobile (Mobile Email Management)

VMWare Boxer: VMWare Boxer reste le client PIM incontournable pour AirWatch. Les évolutions sur ce produit sont régulières, néanmoins voici quelques informations intéressantes :

  • Possibilité de déployer le client mail via le programme VPP (iOS),
  • Réarrangement des paramètres de configuration dans la section "Email Settings",
  • Mise en place d'une politique "personnelle" et professionnelle au niveau des paramètres de Boxer : Possibilité de contrôler l'ajout des comptes personnels au sein du client et possibilité de contrôler l'accès des applications tierces aux contacts personnels,

Airwatch 9.0 - mobile email management

  • Ajout de nouvelles configurations pour le DLP,

Airwatch 9.0 - data loss prevention

  • Mise en place de l'authentification pour les terminaux Android.

 

Enterprise integration

AirWatch Tunnel: AirWatch Tunnel est un composant intéressant dans la suite AirWatch pour les entreprises n'ayant pas d'infrastructure VPN ou souhaitant dissocier leur infrastructure existante avec l'infrastructure "mobile". AirWatch continue de faire évoluer son produit en apportant des nouveautés au fur et à mesures des nouvelles releases. La version 9.0 apporte les choses importantes suivantes :

  • Ajout d'un nouvel onglet supportant les "Servers traffic rules" afin de contrôler quel trafic (utilisant l'AirWatch Tunnel) peut utiliser un proxy de sortie,
  • Ajout du support du per-App VPN pour les containers Knox (ceci nécessite le client AirWatch Tunnel V2.2 qui n'est pas encore à disposition sur le store).

 

API

Pour terminer ce deep-dive non-exhaustif, les API au sein de la solution AirWatch évoluent et se renforce. Un bon nombre de nouveaux APIs sont à disposition, voici un copier-coller de ces nouveautés:

Mobile Application Management

  • Retrieve Internal Application Details
  • Add Assignments to Internal Application
  • Edit Assignments of Internal Applications
  • Delete Application assignment to Smart Group

Mobile Terminal Management

  • Retrieve Admin Application Details Using Terminal ID
  • Retrieve Enrolled Terminal Count
  • Create Offline Terminal Record

Profile Management Version 2

  • Get Resource Keys
  • Get Profile Resource
  • Create Resource for Requested Resource Type
  • Delete Profile Resource
  • Update Requested Resource
  • Edit Smart Group Assignment for the Profile

Product Management

  • Activate ProductSet
  • Adds ProductSet
  • Create ProductSet
  • Deactivate ProductSet
  • Delete ProductSet
  • Rank All Products
  • Push Product Policy Engine
  • Retrieve ProductSet
  • Reprocess Product
  • Retrieve Job Status Change with Timestamps

Mobile Content Management

  • Upload AirWatch Managed Content
  • Download AirWatch Managed Content
  • Delete AirWatch Managed Content
  • Retrieve AirWatch Managed Content
  • Update AirWatch Managed Content
  • Retrieve List of AirWatch Managed Content
  • Retrieve All Categories of Organization Group
  • Create New Category in Organization Group
  • Delete Category
  • Update Category
  • Retrieve Admin Storage Information

System Settings

  • Retrieve AirWatch Version and API URL Information
  • Retrieve Authenticated Enrollment User Details

Event Notification

  • Create Event Notification
  • Delete Event Notification
  • Update Event Notification
  • Search Event Notification
  • Retrieve Event Notification Details

 

Comme mentionné en introduction, toutes ces informations peuvent être retrouvées sur les blogs AirWatch, sur votre espace My-AirWatch ou sur simple demande à AiM.

AiM se tient à votre disposition pour toutes questions ou demandes en lien avec cette nouvelle version d’AirWatch et je pense notamment aux opportunités liées à la gestion de la plateforme Windows 10 ainsi que sur la mise en place de nouveaux scénarios/stratégies liés à Workspace One. Contacter la Team Mobilité d'AiM