Seznámení s Windows Intune 4. generace (Wave D)

Na konci roku 2012 uvolnil Microsoft již čtvrtou verzi své cloudové služby Windows Intune, sloužící ke správě počítačů a mobilních zařízení. Pojďme se společně podívat, k čemu slouží.

Co je to Windows Intune

Windows Intune je cloudová služba sloužící ke správě počítačů a mobilních zařízení. Je vhodná pro nasazení jak do menších firem, tak do velkých korporací. Pokud vás tato služba zaujala a chcete ji začít využívat, nepotřebujete k tomu budovat žádnou infrastrukturu (tedy instalovat servery apod.), vše běží v cloudu.

Windows Intune můžete např. využít v prostředích, kde neexistuje Active Directory doména a počítače tak zatím nejsou spravovány centrálně - díky Windows Intune zde můžete s centrální správou začít. A to téměř okamžitě – stačí se přihlásit a službu si nejprve na 30 dní vyzkoušet zcela zdarma a v případě obliby v jejím používání pokračovat dál. Tato služba může být ale i vhodným doplněním pro stávající prostředí – může doplnit aktuální nástroje, případně pomoci tam, kde dnes nevíme, jak danou problematiku řešit.

A k čemu všemu vám tedy může být služba Windows Intune dobrá?

1_Admin_Console.png
Celkový přehled o spravovaných zařízeních - Admin Console

Pomocí Windows Intune můžete:

  • monitorovat stav počítačů a na základě varování zahájit kroky k odstranění problému;
  • spravovat aktualizace operačního systému;
  • zabezpečit počítače proti nežádoucímu softwaru pomocí technologie Windows Intune Endpoint Protection;
  • zjistit hardwarovou konfiguraci jednotlivých počítačů;
  • zjistit software používaný na počítačích a pomocí vzdálené instalace provádět aktualizace stávajících programů či instalovat nové aplikace;
  • nastavovat politiky související se zabezpečením počítačů jako například firewall a podobně;
  • spravovat mobilní zařízení a nastavovat bezpečnostní pravidla pro jejich fungování;
  • poskytnout uživatelům ověřené aplikace nejen pro počítače, ale také pro mobilní zařízení či tablety;
  • sjednotit verze operačního systému díky přechodu na nejnovější verzi systému Windows Enterprise a začít tak využívat pokročilé funkce těchto edic.

Novinky ve Windows Intune 4. generace

Společně se čtvrtou generací Windows Intune přichází několik zásadních změn, týkajících se téměř všech oblastí služby Windows Intune. Pojďme si je v několika následujících řádcích popsat trochu detailněji.

Sjednocená správa firemního prostředí

Až doposud jste mohli mobilní zařízení spravovat pouze pomocí webového rozhraní a Admin Console. Ve čtvrté generaci Windows Intune přibyla možnost správy mobilních zařízení nejen pomocí Admin Console, ale také pomocí stávajícího řešení v podobě Microsoft System Center 2012 Configuration Manager SP1 za použití nového Windows Intune Connector. Pro správu počítačů a mobilních zařízení tak nemusíte ovládat dvě konzole, ale stačí se pohybovat pouze v jedné konzoli SCCM. To vše vede ke zjednodušení a zefektivnění správy Vaší infrastruktury.

2_SCCM.png
Možnost integrace Windows Intune se System Center 2012 Configuration Manager SP1

Licencování

Velkou změnu prodělala také politika licencování – licence jsou nově zacíleny na uživatele a ne na zařízení, tak jak tomu bylo doposud. A proč je změna velmi vítána? Každý uživatel totiž může mít v rámci své jedné licence přiřazeno až 5 zařízení. Nový model licencování tak poskytuje podporu a flexibilitu prostředím se strategií BYOD.

Cena

Společně s novým modelem licencování se ruku v ruce změnila i nabídka SKU a jejich cena.

Windows Intune lze pořídit v následujících SKU:

Windows Intune s Windows Software Assurance (SA)

Zahrnuje:

  • Cloudovou službu Windows Intune
  • System Center Configuration Manager
  • System Center Endpoint Protection
  • Windows SA zahrnující možnost upgradu na Windows 8 Enterprise

Dostupnost:

  • V rámci programu MOSP

Cena:

  • 9 EUR/uživatel/měsíc

Windows Intune

Zahrnuje:

  • Cloudovou službu Windows Intune
  • System Center Configuration Manager
  • System Center Endpoint Protection

Dostupnost:

  • V rámci programu EA/EAS, MOSP

Cena:

  • 4,90 EUR/uživatel/měsíc

Windows Intune Add-on for System Center Configuration Manager

Zahrnuje:

  • Cloudovou službu Windows Intune (pouze ale jako doplněk ke stávajícímu řešení System Center Configuration Manager)

Dostupnost:

  • V rámci programu EA/EAS/EES

Cena:

  • Cena se může lišit v závislosti na prodejci (cca 3 EUR/uživatel/měsíc)

Licenční program EA (Enterprise Agreement) či EAS (Enterprise Subscription Agreement) je vhodný pro organizace s více než 250 uživateli nebo zařízeními.

Licenční program EES (Enrollment for Education Services) nabízí možnosti využití Windows Intune na akademické půdě.

Licenční program MOSP (Microsoft Online Subscription Program) je vhodný pro organizace s méně než 250 uživateli nebo zařízeními.

Ještě doplňme, že si Windows Intune můžete vyzkoušet zcela zdarma. K dispozici je 30-ti denní zkušební verze, která obsahuje veškeré funkcionality jako verze placená. Jediné omezení se vztahuje na počet uživatelů a počet zařízení, které můžete ve zkušební verzi spravovat. V této verzi lze spravovat až 25 uživatelů a s nimi spojených až 125 zařízení.

Podpora zařízení

Kromě podpory stávajících zařízení přibyla ve čtvrté verzi Windows Intune podpora pro kompletní rodinu zařízení Windows 8 zahrnující Windows 8 Professional, Microsoft Surface, Microsoft Surface Pro, Windows RT a Windows Phone 8.

Mobile Device Management (MDM)

Windows Intune nově podporuje přímou správu mobilních zařízení na platformách Windows RT, Windows Phone 8 a iOS. Ke správě těchto zařízení již tedy nepotřebujete Exchange ActiveSync (EAS) připojení. Uživatelé tak mohou do konzole Windows Intune sami přidávat mobilní zařízení pomocí aplikace Company Portal či pomocí webového rozhraní. Zařízení běžící na platformách Windows Phone 7, Windows Phone 7.5 a Android můžete spravovat pouze přes Exchange ActiveSync.

3_Company_Portal.png
Windows Intune Company Portal

A mnoho dalšího...

Mezi další novinky patří:

  • Přístup na Company Portal pomocí aplikace Company Portal aplikace (pouze na systémech Windows 8);
  • rozšířené možnosti úpravy vzhledu Company Portal;
  • distribuce aplikací pro operační systémy Windows 8;
  • vylepšená práce s uživatelskými skupinami;
  • a další.

Podporované operační systémy

Pomocí Windows Intune lze spravovat klasické PC s operační systémy:

  • Windows XP Professional SP3 (x86)
  • Windows Vista Enterprise, Ultimate, Business (x86, x64)
  • Windows 7 Enterprise, Ultimate, Professional (x86, x64)
  • Windows 8 Enterprise, Professional (x86, x64)

Kromě klasických PC je možné také spravovat mobilní zařízení různých typů a výrobců -> čtvrtá generace Windows Intune podporuje správu zařízení s následujícími operačními systémy:

  • Windows RT a Windows Phone 8
  • Windows Phone 7 a 7.5
  • iOS 4.0 a novější
  • Android 2.1 nebo novější

Správa klientských počítačů

Než se podíváme na samotnou správu koncových počítačů, měli bychom si představit jednotlivé správcovské portály (Management Portals), které budete při správě počítačů a mobilních zařízení využívat. Mezi ně patří:

Account Portal

  • https://account.manage.microsoft.com;
  • ozakládání nových uživatelů;
  • správa licencí Windows Intune;
  • propojení Windows Intune s databází Active Directory s možností replikace uživatelů.

Admin Portal (Admin Console)

Company Portal:

  • https://portal.manage.microsoft.com;
  • sloužící uživatelům jako místo odkud mohou sami přidávat zařízení do služby Windows Intune, stahovat firemní aplikace a podobně.

Jak Windows Intune funguje?

Správa počítačů pomocí Windows Intune spočívá v instalaci Windows Intune agenta, který zajistí synchronizaci s datovým centrem Windows Azure a s tím spojené přidání počítače do administrační konzole Windows Intune. Přidání počítače do administrační konzole můžete provést několika způsoby:

Administrátor

Jednou z nejvyužívanějších možností při instalaci agenta je instalace samotným správcem systému. V takovém případě se stačí přihlásit do Admin Portal, agenta stáhnout a následně nainstalovat. Agenta lze na počítače nainstalovat buď ručně, ve větším prostředí můžete sáhnout k instalaci pomocí Group Policy.

Uživatel

Uživatel počítače může sám přidat počítač do administrační konzole pomocí internetového prohlížeče a webu Company Portal a tím vlastně agenta nainstalovat. K tomu je zapotřebí, aby měl uživatel práva lokálního administrátora, prohlížeč Internet Explorer a Microsoft Online Service ID, kterým se na portál přihlašuje (Microsoft Online Service ID zakládáme uživateli pomocí Account Portal)

Deployment

Poslední možností při instalaci Windows Intune agenta je zařadit agenta jako součást bezobslužné instalace operačního systému. V takovém případě, se počítač sám zařadí do Admin Console v okamžiku, kdy je dokončena instalace operačního systému. Při standardní instalaci agenta je vyžadováno internetové připojení, pomocí kterého se vytvoří obousměrný vztah mezi počítačem a službou Windows Intune, potažmo Admin Console. Z tohoto důvodu nelze Windows Intune agenta na referenční PC nainstalovat a použít takto pro deployment, protože by v konzoli Windows Intune vznikaly duplicity. Na místo toho se použije příkaz PrepareEnroll, který zajistí automatickou instalaci agenta až po instalaci operačního systému. Více informací o přípravě referenčního počítače včetně Windows Intune agenta najdete na stránce http://technet.microsoft.com/en-us/library/jj662689.aspx.

Společně s instalací Windows Intune agenta se na cílových počítačích automaticky zahájí instalace další podpůrných agentů. Je možné, že pro úspěšné dokončení instalace některých z nich bude nutné restartovat počítač. Mezi tyto agenty patří mimo jiné agent monitorující stav počítače, agent umožňující sběr HW a SW informací, agent antivirové ochrany v podobě Windows Intune Endpoint Protection a v neposlední řadě také Windows Intune Center. Pomocí Windows Intune Center mohou uživatelé stahovat a instalovat schválené aplikace z Company Portal, kontrolovat aktualizace, antivirovou ochranu, či zažádat o vzdálenou pomoc (funkce Vzdálená pomoc není podporovaná v operačním systému Windows 8)

4_Intune_Center.png
Možnosti dostupné ve Windows Intune Center

Aktualizace

První z důležitých komponent služby Windows Intune z hlediska bezpečnosti je správa aktualizací operačních systémů. Než mohou být aktualizace aplikovány na jednotlivé skupiny počítačů, je nejprve nutné tyto aktualizace schválit v Admin Console. Pro určité typy aktualizací (Critical Updates, Security Updates, Definition Updates, atd.) zde také můžete nastavit automatické schvalování aktualizací. Následně vytvoříme v záložce Policy politiku, kterou definujeme, jak často a kdy bude agent nové aktualizace kontrolovat. Tento proces je tak obdobný jako při práci s lokálně nainstalovaným WSUS serverem.

Endpoint Protection

Předplatná služeb Windows Intune se různě liší a záleží tak na konkrétní licenční situaci, ale součástí této služby může být také antivirová ochrana v podobě Windows Intune Endpoint Protection. Instalace Windows Intune Endpoint Protection se spustí zcela automaticky po instalaci Windows Intune agenta.

V případě, že se na počítači nachází jiná antivirová ochrana, Windows Intune Endpoint Protection agent svou činnost zastaví – stav antivirové ochrany tak nelze pomocí Admin Console monitorovat. K použití ochrany Windows Intune Endpoint Protection na místo stávající antivirové ochrany je nejprve nutné stávající antivirovou ochranu odstranit a v Admin Console následně vytvořit Policy, která explicitně povoluje spuštění agenta Windows Intune Endpoint Protection. Ještě dodejme, že pokud se na počítači nachází antivirová ochrana v podobě Microsoft Security Essentials, či jiný produkt z rodiny Endpoint Protection, je tato ochrana automaticky nahrazena Windows Intune Endpoint Protection.

Po úspěšné instalaci Windows Intune Endpoint Protection můžete pomocí Admin Console monitorovat zdraví počítačů, sledovat virové nákazy a způsob jak bylo s hrozbou naloženo, vzdáleně na počítačích spouštět Quick či Full scany pro kontrolu škodlivého softwaru, aktualizovat virové definice a podobně.

5_Protection.png
Přehled možností vzdálené správy Windows Intune Endpoint Protection

Alerts

V záložce Alerts najdete upozornění ze všech komponent, které Windows Intune monitoruje. Mezi ty patří již zmíněné aktualizace operačního systému, stav antivirové ochrany a dalších zhruba 180 dostupných komponent. Některé z komponent jsou ve výchozím stavu zakázány a jejich sledování je tak nutné zapnout.

6_Alert.png
Přehled komponent, které je možné pomocí Windows Intune monitorovat

K tomu, abyste nemuseli hlídat stav antivirové ochrany či aktualizace operačního systému sami ručně, můžete pro jednotlivé úrovně závažnosti chyb nakonfigurovat notifikační pravidla, která následně přeposílají upozornění na vybrané emailové adresy. Nemusíte tak neustále sami kontrolovat stav počítačů v Admin Console, ale stačí čekat, než Vám dorazí email s varovným hlášením.

Software

Pomocí Windows Intune můžete na počítače jednoduše distribuovat aplikace. Distribuce aplikací se skládá ze dvou části.

V první části nejprve přidáme do Admin Console instalační balíček (.exe, .msi, atd.) a definujeme jeho vlastnosti – vydavatele aplikace, typ aplikace, pro jaké operační systémy je aplikace určena apod. V průběhu přidávání instalačního balíčku je dobré pamatovat na to, že následná instalace aplikace běží na pozadí pod systémovým účtem a to zcela automaticky a bez zásahu uživatele či správce systému. Záleží na aplikaci, nicméně v drtivé většině případů je tedy nutné definovat parametry pro zautomatizování instalace pomocí přepínačů v příkazové řádce.

Tímto způsobem do Admin Console připravíte instalační balíčky, které v další fázi distribuujete pro koncová zařízení. Při distribuci aplikaci máte na výběr z následujících možností:

Required Install

  • typ vzdálené instalace, kterou může vynutit administrátor v Admin Console;
  • lze ji zacílit pouze na počítače;
  • aplikace se instaluje na pozadí, zcela bez vědomí uživatele.

Available Install

  • administrátor v Admin Console pouze aplikaci publikuje skupinám uživatelů;
  • aplikace se tedy neinstaluje automaticky, ale vybraní uživatelé si mohou vybrat, zda danou aplikaci budou využívat či nikoli;
  • uživatel sám inicializuje instalaci aplikace prostřednictvím Windows Intune Center;
  • uživatel nemusí mít práva lokálního administrátora, pouze je potřeba, aby měl daný počítač „svázaný“ se svým účtem ve Windows Intune.

Záložka Software dále slouží ke sběru informací o aplikacích, které jsou na spravovaných počítačích nainstalovány v podobě podrobného reportu.

7_Software.png
Seznam nainstalovaných aplikací na koncových PC

Společně se sledováním nainstalovaných aplikací můžete dále spravovat licenční ujednání (licensing agreements) a to jak Microsoft Volume Licensing Agreements, tak non-Microsoft Licensing Agreements.

Policy

Nezbytnou součástí správy počítačů pomocí Windows Intune je také vytváření politik (Policy), pomocí kterých můžete řídit nastavení zabezpečení mobilních zařízení, firewallu, Windows Intune Agenta či Windows Intune Center. Tyto politiky se aplikují vždy a to nezávisle na tom, zda je počítač členem domény či nikoli. Jedná se tedy o jakési „cloudové GPO“, které však mají oproti standardním GPO v AD jen velmi omezené možnosti a funkce. Můžete vybírat pouze z omezené sady čtyř politik, bez možnosti vytváření politik vlastních.

8_Policy.png
Přehled Policy pro správu zařízení

V případech, kdy spravujete pomocí Windows Intune počítač, který je zároveň členem domény, je potřebné se vyvarovat konfliktům mezi politikami z Windows Intune a Group Policy z Active Directory.

Mezi možnosti řešení při konfliktu politik patří:

  • Blokování Group Policy na OU, kde se počítače spravované pomocí Windows Intune nacházejí
  • Filtrování skupinových politik a jejich zacílení buď podle Security filtering či WMI filtering
  • Změna stávajících Group Policy a odstranění duplicitních politik

Reporty

Velmi silnou zbraní při správě počítačů je propracovaný systém reportů, který Windows Intune nabízí. Můžeme zmínit například opravdu luxusní report o hardware na konkrétním počítači, obsahující všechny důležité informace o zařízení od verze BIOSu, přes typ a kapacitu disků, až třeba k připojeným tiskárnám.

Mezi další reporty patří report obsahující seznam všech nainstalovaných aplikací včetně verze aplikace, vydavatele a podobně, report o stavu aktualizací operačního systému, seznam zakoupených licencí, seznam použitých licencí a podobně.

9_Report.png
HW report spravované stanice

Kam dál?

V tomto článku jste se seznámili se službou Windows Intune. Zjistili jste, jak služba funguje, kolik stojí a jaké novinky přináší ve své čtvrté generaci. Podrobně jsme se věnovali nasazení Windows Intune agenta a jednotlivým komponentám administrátorské konzole, které budete při správě počítačů nejčastěji využívat. Ve výčtu jednotlivých komponent jsme si mimo jiné představili vzdálenou správu stanic, monitorování stanic, vytváření reportu a další. V příštím článku o Windows Intune si představíme Správu mobilních zařízení, Samoobslužný portál (Company Portal) a spolupráci s SCCM.

Autor: Lukáš Keicher, KPCS (www.kpcs.cz).


Sledujte Živě na Facebooku

celkem 0

Poslední názory Názory



DEJTE NÁM TIP NA ČLÁNEK



Aktuální číslo časopisu Computer
  • Testy nejnovějších produktů na českém trhu.
  • Informace ze světa internetu i bezpečnosti.
  • Plné verze programů zdarma pro všechny čtenáře.

Partnerská sekce pro IT profesionály
Microsoft TechNet/MSDN