Windows Intune: Pokročilá správa

V předchozím článku Windows Intune: Co je to Windows Intune jsme se seznámili s tím, co je to vlastně služba Windows Intune, k čemu slouží a jakým způsobem lze pomocí Windows Intune spravovat počítače s operačními systémy Windows. V dnešním článku se podíváme na to, jaké možnosti Vám Windows Intune nabízí při správě mobilních zařízení, včetně představení samoobslužného portálu a integrace služby Windows Intune se System Center 2012 Configuration Manager SP1.

Správa mobilních zařízení pomocí konzole Windows Intune

Mezi velkou konkurenční výhodu při správě mobilních zařízení pomocí Windows Intune patří, že nevyžaduje žádné další nároky či požadavky na vaši stávající infrastrukturu.

Direct Management vs. Exchange ActiveSync

Až do 4. generace Windows Intune bylo jediné možné řešení při správě mobilních zařízení připojení těchto zařízení pomocí Exchange ActiveSync (EAS). Takový způsob správy mobilních zařízení představuje další nároky na firemní infrastrukturu – kromě Exchange serveru je dále zapotřebí dedikovaný počítač s nainstalovaným a nakonfigurovaným Windows Intune Exchange Connector, který propojí službu Windows Intune s Exchange serverem a díky němu lze touto „oklikou“ mobilní zařízení spravovat.

Nová generace Windows Intune podporuje přímou správu mobilních zařízení – Windows Intune Direct Management. Ke správě mobilních zařízení tak již není nutný Exchange Connector připojený k Exchange serveru, vše funguje napřímo.

Jaké jsou rozdíly ve správě zařízení pomocí Direct Management a EAS?

Direct Management

Na stávající infrastrukturu nejsou kladeny žádné další nároky.

Možnosti při správě zařízení zahrnují:

• Hardware katalog
• Nastavení pokročilých bezpečnostních politik:
• Distribuci softwaru
• Vzdálené smazání zařízení (iOS, WP)
• Nastavení politik služby iCloud (iOS)
• Pokročilý monitoring

EAS

• Kromě služby Windows Intune je dále zapotřebí Exchange Server a Exchange Connector
• Možnosti při správě zařízení zahrnují:
• Nastavení základních bezpečnostních politik
• Distribuci softwaru
• Vzdálené smazání zařízení (iOS, WP)
• Vzdálené smazání mailboxu (W8, WinRT)

Oba dva typy správy tedy v sobě zahrnují různé možnosti nastavení a v některých případech je vhodné využít kombinaci obou řešení – takový scénář je plně podporovaný. V případě konfliktu bezpečnostních politik vždy vítězí politika s vyšší mírou zabezpečení. Bohužel i zde narazíme na určitá omezení, která se týkají podpory jednotlivých mobilních platforem.

Podporovaná zařízení

Pomocí Windows Intune je možné spravovat mobilní zařízení různých typů a výrobců -> čtvrtá generace Windows Intune podporuje správu zařízení s následujícími operačními systémy:

• Windows RT a Windows Phone 8
• Windows Phone 7 a 7.5
• iOS 4.0 a novější
• Android 2.1 nebo novější

Zařízení s operačními systémy Windows RT, Windows Phone 8 a iOS můžete spravovat přímo pomocí technologie Windows Intune Direct Management či starší metodou EAS. Zařízení s operačními systémy Windows Phone 7, Windows Phone 7.5 a Android můžete spravovat pouze pomocí EAS.

Konfigurace

Konfigurace správy mobilních zařízení se liší na základě jednotlivých mobilních platforem a také v závislosti na typu správy. Ke snadnější orientaci nám poslouží následující obrázek, který celý proces konfigurace shrnuje.

Proces zprovoznění správy mobilních zařízení

Proces konfigurace MDM začíná vždy stejně nezávisle na mobilní platformě a typu správy.

• Prvním společným krokem je přidání uživatelů mobilních zařízení do konzole Windows Intune. Každé spravované mobilní zařízení totiž musí mít svého vlastníka, uživatele, který má ve službě Windows Intune svůj účet. Uživatele můžeme do konzole Windows Intune přidat ručně nebo nastavit synchronizaci s Active Directory – v některých implementacích, např.: EAS je synchronizace s Active Directory dokonce vyžadována.
• Druhým společným krokem na nastavení tzv. Mobile Device Management Authority. Tímto nastavením vlastně definujete, z jaké konzole budete mobilní zařízení spravovat. A máme zde dvě možnosti – pokud budete zařízení spravovat pomocí konzole Windows Intune, je potřeba nastavit MDM Authority přímo z Administration Console Windows Intune. Pokud budete zařízení spravovat pomocí SCCM je potřeba nastavit MDM Authority v konzoli SCCM. Pozor, toto nastavení je velmi důležité a nelze jednoduše zpětně změnit! Přechod z Windows Intune na SCCM je podporovaný, ale pouze skrze Microsoft HelpDesk. Přechod z SCCM na Windows Intune není podporovaný vůbec.

Výběr MDM Authority

Další kroky se již liší v závislosti na typu správy a mobilní platformě a mohou zahrnovat například vytvoření DNS záznamů pro enrollment server, přítomnost certifikátů pro distribuci aplikací a podobně. Přehled všech kroků pro jednotlivé platformy a typy správy najdete na http://technet.microsoft.com/en-us/library/jj733654.aspx. Ke znázornění postupu u jednotlivých platforem nám poslouží následující obrázek.

Požadavky na správu mobilních zařízení na základě platformy

Přidání mobilního zařízení

Přidání mobilního zařízení do konzole Windows Intune už provádí sám přímo uživatel zařízení nebo například správce sítě, který zařízení pro uživatele konfiguruje. A opět záleží na té či oné mobilní platformě. Přidání zařízení s Windows RT a Windows Phone 8 probíhá skrze Company Apps, předinstalovanou součástí systému. Pro iOS zařízení zatím taková aplikace k dispozici není, zařízení se tedy přidává pomocí internetového prohlížeče. Ostatní zařízení připojená pomocí EAS se do konzole Intune synchronizují automaticky z Exchange serveru.

Přidání iOS zařízení do konzole Windows Intune

Policy

A co že nám vlastně správa mobilních zařízení v podání Windows Intune přináší za možnosti? První důležitou součástí je nastavení bezpečnostních politik, které následně aplikujeme na vybrané skupiny uživatelů a jejich přiřazená zařízení. Se záložkou Policy jsme se již setkali při správě počítačů. V případě správy mobilních zařízení je situace velmi podobná - na základě šablony Mobile Device Security Policy můžeme vytvořit předdefinovanou politiku s doporučeným nastavením obsahující řekněme základní bezpečnostní mechanizmy nebo vytvořit politiku s vlastním nastavením. Bohužel Windows Intune v této verzi zatím neumožňuje vytvářet žádné nové šablony a na jejich základě další nové politiky.

Nastavení bezpečnostních politik na mobilní zařízení

Některá nastavení v šabloně jsou pro všechna zařízení společná, například nastavení zámku displeje, některá jsou specifická pro vybrané mobilní platformy. Například pro iOS zařízení je dostupné nastavení zakazující synchronizaci se službou iCloud a podobně. Při aplikování některých specifických nastavení může docházet k delším prodlevám.

Distribuce aplikací

Ke správě mobilních zařízení patří ve Windows Intune neodmyslitelně také distribuce aplikací. Na mobilní zařízení nelze aplikace instalovat potichu na pozadí bez vědomí uživatele, tak jako v případě instalace aplikací na počítače. Distribuce aplikací tak spočívá „pouze“ v tzv. publikaci aplikace v Company Portal a uživatel si sám následně může vybrat, zda si danou aplikaci nainstaluje či nikoli. Na zařízeních Windows RT, Windows 8 a Windows Phone 8 přistupuje uživatel k publikovaným aplikacím pomocí aplikace Company Portal, na ostatních zařízení pomocí webového rozhraní.

Z pohledu administrátora je proces distribuce aplikace podobný jako při distribuci aplikací pro počítače. Nejprve vybranou aplikaci přidáme do Admin Console a následně ji publikujeme pro vybrané skupiny uživatelů.

Aplikace můžeme publikovat ve dvou formách:

• Instalační balíček:
• Do Admin Console se nahraje vlastní instalační soubor dané aplikace. Mezi podporované formáty patří .appx (Windows RT), .xap (Windows Phone 8), .ipa & .plist (iOS), .apk (Android).
• Tento způsob distribuce aplikace je vhodným scénářem při distribuci vlastních firemních aplikací.
• Při tomto způsobu distribuce není příslušný obchod aplikací vůbec kontaktován.
• Externí odkaz:
• Publikace aplikace pomocí externího odkazu vlastně spočívá ve zveřejnění odkazu pro danou aplikaci ve vybraném obchodu aplikací. Mezi podporované patří Windows Store, Apple Itunes či Google Play.

Autor: Lukáš Keicher – KPCS CZ, s.r.o., keicher@kpcs.cz
 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.