[Appareil (VLAN 30)] --> [Pare-feu/NAT] --> [Internet] --> [Cloud MDM/RMM]Le placement des solutions de gestion de parc informatique (MDM, RMM, monitoring) dans votre architecture …
dépend de vos besoins, de votre topologie réseau et du type de solution choisie (cloud, local, hybride).
| VLAN | Nom | Rôle |
|---|---|---|
VLAN 10 | vlan_direction | Équipe direction, accès prioritaire. |
VLAN 20 | vlan_guest | Réseau invité, isolé des autres VLANs. |
| VLAN 30 | vlan_marketing | Équipe marketing, accès aux outils de collaboration. |
|---|---|---|
VLAN 40 | vlan_it | Équipe IT, administration des équipements et réseau. |
| VLAN 50 | vlan_serveurs_internes | Héberge vos serveurs internes (ex. GLPI, OCS Inventory). |
|---|---|---|
VLAN 60 | vlan_dmz | Services exposés à Internet (serveurs web, mail, etc.). |
| VLAN 70 | vlan_vpn | Connexions VPN sécurisées pour les employés distants. |
|---|
Si vous optez pour des solutions cloud comme Microsoft Intune, Jamf, ou JumpCloud, voici où et comment les intégrer :
Installez un agent ou configurez les appareils dans le portail cloud.
Les postes des utilisateurs dans les VLANs 10, 30, 40, 70 doivent être configurés pour accéder directement à Internet (routage via le pare-feu).
Les solutions cloud communiquent directement avec les agents installés via HTTPS (TCP 443).
Vous n’avez pas besoin d’infrastructure locale.
[Appareil (VLAN 30)] --> [Pare-feu/NAT] --> [Internet] --> [Cloud MDM/RMM]Pour des solutions open source ou on-premise, placez-les dans un VLAN dédié aux serveurs internes (VLAN 50) :
Par exemple, GLPI ou OCS Inventory sur un serveur physique ou virtualisé.
Assurez-vous que le serveur dispose d’une adresse IP statique (exemple : 192.168.50.10).
VLAN 40 (IT) : Plein accès pour gérer les équipements.
VLAN 10, 30, 70 : Accès pour envoyer les données des postes utilisateurs.
VLAN 20 (Guest) : Pas d’accès direct au serveur de gestion.
ip access-list extended GLPI_ACCESS
permit tcp 192.168.40.0 0.0.0.255 host 192.168.50.10 eq 443
permit tcp 192.168.10.0 0.0.0.255 host 192.168.50.10 eq 443
deny ip any anyPlacez des outils comme PRTG ou Nagios dans le VLAN 50.
Ils peuvent superviser les équipements dans tous les VLANs via SNMP ou des agents.
[Appareil (VLAN 10/30)] --> [Switch/Router] --> [Serveur GLPI/OCS (VLAN 50)]| VLAN | Interaction avec la Solution |
|---|---|
VLAN 10 (Direction) | Surveillance et mise à jour des équipements, faible intervention. |
VLAN 20 (Guest) | Aucune interaction avec les solutions internes. |
| VLAN 30 (Marketing) | Mise à jour des logiciels, suivi des équipements. |
|---|---|
VLAN 40 (IT) | Accès total aux solutions pour configuration et gestion. |
| VLAN 50 (Serveurs) | Hébergement des outils locaux comme GLPI ou PRTG. |
|---|---|
VLAN 60 (DMZ) | Optionnel, sauf si vous exposez un accès RMM depuis Internet. |
VLAN 70 (VPN) | Accès à distance aux solutions de gestion pour utilisateurs. |
Pour les solutions cloud, vérifiez que les communications sont sécurisées (HTTPS, clés d’authentification).
Pour les solutions locales, activez TLS pour sécuriser les accès (SSL/TLS sur Apache pour GLPI par exemple).
Limitez les accès inter-VLANs aux ports et adresses nécessaires.
HTTPS (443) pour la gestion web.
SNMP (161/162) pour la supervision.
Agents locaux (ports spécifiques selon l’outil).
Implémentez une authentification forte (MFA) pour accéder aux solutions critiques comme GLPI ou Intune.
+---------------------+ +-------------------------+
| | | |
VLAN 40 | IT |---------| VLAN 50 |
| | | Serveurs Internes |
+---------------------+ | (GLPI, OCS, PRTG) |
+-------------------------+
+---------------------+ +-------------------------+
| | | |
VLAN 10 | Direction |---------| Internet |
| | | (Cloud MDM/RMM/Intune) |
+---------------------+ +-------------------------+
+---------------------+
| |
VLAN 30 | Marketing |
| |
+---------------------+Le MDM (Mobile Device Management) est essentiel pour gérer la flotte d’appareils mobiles : provisioning, sécurité, applications, effacement à distance. |
Voir aussi : 802.1X · Gestion de parc · Moindre privilège · Hardening |