Avec Windows Phone 8, il est possible de créer des applications dites d’entreprise. Ce sont des applications « métier » destinées aux utilisateurs d’une entreprise.
Ces applications sont disponibles sur un store privé de l’entreprise et ne sont pas disponibles dans le store Windows Phone ; de plus elles ne peuvent s’installer sur les téléphones des collaborateurs de l’entreprise. N’importe quelle application peut être transformée et déployée comme une application d’entreprise et nous allons voir comment.
Comment ça marche ?
Tout est basé sur un l’utilisation d’un certificat : toutes les applications de l’entreprise sont signées avec le même certificat propre à l’entreprise et ce certificat est installé sur les téléphones de l’entreprise.
Cela permet :
- d’autoriser l’installation de manière sécurisée des applications sur un téléphone sans utiliser le store (exécution d’un XAP) à partir d’un serveur de l’entreprise (SharePoint), d’un cloud privé, d’un mail ou même d’une carte SD
- Le fonctionnement de concert du hub d’entreprise et des applications de l’entreprise et la sécurisation de leur distribution.
Les étapes menant à l’exploitation des applications d’entreprise se résument dans le shéma suivant :
La production des applications d’entreprise.
L’entreprise s’enregistre sur le site développeur Windows Phone en tant qu’entreprise (business) et non, comme un développeur individuel. Lors de l’enregistrement on obtient un « publisher ID ». Cet identifiant permet ensuite d’aller sur le site de Symantec pour acheter un certificat pour les applications Windows Phone.
C’est ce certificat qui va permettre la signature des applications et la génération de jeton de sécurisé déploiement des applications sur les téléphones.
Il faut bien sur développer ou acheter les applications nécessaires à l’entreprise. Les outils de signature sont installés avec le SDK de Windows Phone. Ces outils vont permettre de générer le certificat à installer sur le téléphone et de signer et d’optimiser les fichiers XAP des applications. Bien que les applications d’entreprise ne soit pas certifiées par Microsoft il est fortement recommander de valider le comportement des applications avec les outils de validation disponibles dans du SDK Windows Phone.
Le déploiement
Il y a 2 solutions pour déployer les applications d’entreprise
- En utilisant des outils de gestion de flotte de mobiles (MDM) on parle alors d’un déploiement « managé »
- Sans utiliser de MDM on parle alors d’un déploiement « non managé ».
Le déploiement « managé »
Dans ce cas la solution de MDM (Mobile Device Management) qui va prendre en charge
- l’enrôlement des utilisateurs
- le déploiement des certificats,
- le déploiement des applications de l’entreprise (via une application » portail « permettant de aux choisir les applications à installer (une sorte de store d’entreprise).
- les mises à jour des applications
- …
Le déploiement non managé :
On peut identifier 3 méthodes de mise en œuvre d’un déploiement non managé :
1 : « rustique » :
- On envoie le certificat d’entreprise par mail
- On envoie les applications par mail en mettent les XAP en pièces jointes (dans la mesure où la taille des XAP ne dépasse pas la taille maximum des pièces jointes)
2 : un peu moins « rustique »
- On envoie le certificat par mail
- On expose les XAP des applications sur un serveur web de type Sharepoint
- On envoie un mail aux utilisateurs avec un lien vers le serveur web qui expose les applications d’entreprise.
3 : la solution la plus avancée sans MDM
- On crée un hub d’entreprise
- Le hub d’entreprise est une application qui va permettre au minimum aux utilisateurs de :
- de lister les applications d’entreprise disponibles,
- d’installer les applications d’entreprise
- de lances les applications d’entreprise
- On peut aussi utiliser le hub d’entreprise pour diffuser des messages aux utilisateurs (alertes, …), publier des infos utiles de l’entreprise (menu de la cafeteria, divers horaires, …).
- Le hub d’entreprise est une application qui va permettre au minimum aux utilisateurs de :
- On envoie le certificat par mail
- On envoie un lien par mail vers l’installation du hub d’entreprise ou directement dans le mail. Une fois le hub d’installé les accès au store de l’entreprise se feront à travers le hub d’entreprise.
Aspects de sécurité à considérer dans les déploiements non managés
Transfert des applications par email en pièces jointes
Je conseille plutôt d’éviter de transférer les applications en pièce jointes par mail (un mail est transférable en dehors de l’entreprise) alors qu’un lien vers un site nécessitera que l’accès à ce web soit OK pour celui qui tente d’installer l’application. Si vous voulez utiliser le transfert en pièce jointe cette option et si le serveur de messagerie le permet appliquez alors des permissions sur les emails qui contiennent les applications et le certificat et en les rendant intransférable.
Départ de l’entreprise d’un collaborateur
Dans un mode de de déploiement non managé l’IT ne peut pas désenrôler un utilisateur du certificat d’entreprise d’autorité et à distance comme on peut le faire avec un MDM.
Si en collaborateur quitte l’entreprise avec son Windows Phone configuré avec les applications d’entreprise :
Les certificats utilisés ont une durée de vie de un an donc l’utilisateur qui a quitté l’entreprise pourra utiliser les applications d’entreprise pendant au plus 12 mois (suivant la date d’échéance du certificat) si rien d’autre n’est fait en effet :
- Si les applications d’entreprise nécessitent des credentials et des accès à un serveur, en les supprimant l’employé ne pourra plus utiliser les accès au serveur dans l’application.
- Si le serveur de messagerie est basé sur Microsoft Exchange il est possible d’effacer le téléphone à distance avec EAS.
Je détaillerais dans mon prochain article quels sont les API de gestion des packages d’application utiles à l’écriture du hub d’entreprise.
Voici une présentation que j’ai faite pour des partenaires et qui contient plus de détails sur les sujets que je viens d’aborder : Production et déploiement d’applications d’entreprise