Na konci roku 2012 uvolnil Microsoft již čtvrtou verzi své cloudové služby Windows Intune. Pojďme se společně podívat na to, co to vlastně je, k čemu slouží a jaké novinky ve čtvrté generaci, někdy nazývané také jako Wave D, najdete. Hlavním smyslem existence této služby je dostat pod kontrolu koncová zařízení, která třeba ani nejsou zařazena do firemní domény, nebo se i jinak chovají „jako pytel blech“ – jsou mobilní až běda.

externí autořiexterní autoři
Cloud ServicesCloud Services
25.03.2013 16:27:0025.03.2013 16:27:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

ALSO Czech Republic s.r.o.
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Přivalila se čtvrtá vlna!

Na konci roku 2012 uvolnil Microsoft již čtvrtou verzi své cloudové služby Windows Intune. Pojďme se společně podívat na to, co to vlastně je, k čemu slouží a jaké novinky ve čtvrté generaci, někdy nazývané také jako Wave D, najdete. Hlavním smyslem existence této služby je dostat pod kontrolu koncová zařízení, která třeba ani nejsou zařazena do firemní domény, nebo se i jinak chovají „jako pytel blech“ – jsou mobilní až běda.

Co je to Windows Intune?

Windows Intune je cloudová služba určená ke správě počítačů a mobilních zařízení. Je vhodná pro nasazení jak do menších firem, tak do velkých korporací. Pokud ji chcete začít využívat, nepotřebujete k tomu budovat žádnou infrastrukturu (tedy instalovat servery apod.), vše běží v cloudu. Windows Intune můžete použít i v prostředích, kde neexistuje doména Active Directory a počítače tak zatím nejsou spravovány centrálně – díky Windows Intune zde můžete s centrální správou začít. A to téměř okamžitě – stačí se přihlásit a službu si nejprve na 30 dní vyzkoušet zcela zdarma. Když se vám zalíbí, můžete prostě v jejím používání pokračovat dál. Tato služba může být také vhodným doplněním pro standardní prostředí, kde by mohl být, měl být, ale zřídkakdy doopravdy bývá, nasazen pro správu zařízení System Center Configuration Manager – může přidat aktuální nástroje, případně pomoci tam, kde dnes nevíme, jak danou problematiku řešit.

A k čemu všemu tedy může být služba Windows Intune dobrá? Můžete:

  • monitorovat stav počítačů a na základě varování zahájit kroky k odstranění problému;
  • spravovat aktualizace operačního systému;
  • zabezpečit počítače proti nežádoucímu softwaru (viry, malware…) pomocí technologie Windows Intune Endpoint Protection;
  • zjistit hardwarovou konfiguraci jednotlivých počítačů;
  • zjistit software používaný na počítačích a pomocí vzdálené instalace provádět aktualizace programů či instalovat nové aplikace;
  • nastavovat politiky související se zabezpečením počítačů, jako například firewall;
  • spravovat mobilní zařízení a nastavovat bezpečnostní pravidla pro jejich fungování;
  • poskytnout uživatelům ověřené aplikace nejen pro počítače, ale také pro mobilní zařízení či tablety;
  • sjednotit verze operačního systému díky přechodu na nejnovější verzi systému Windows Enterprise a začít využívat pokročilé funkce této edice.

Správa klientských počítačů

Správa počítačů pomocí Windows Intune spočívá v instalaci Windows Intune agenta, který zajistí synchronizaci s datovým centrem Windows Azure a s ní spojené přidání počítače do administrační konzole Windows Intune. Společně s instalací agenta Windows Intune se na cílových počítačích automaticky zahájí instalace další podpůrných agentů, například agenta antivirové ochrany (Endpoint Protection).

Mezi komponenty pro správu počítačů v konzoli Windows Intune patří třeba správa automatických aktualizací či zajištění antivirové ochrany pomocí Windows Intune Endpoint Protection. V Admin Console můžete monitorovat zdraví počítačů, sledovat virové nákazy a způsob, jak bylo s hrozbou naloženo, vzdáleně na počítačích spouštět scany pro kontrolu škodlivého softwaru či aktualizovat virové definice.

Windows Intune také monitoruje stav klíčových komponent operačního systému. Můžete si vybírat mezi cca 180 komponentami. K tomu, abyste jejich stav nemuseli hlídat sami, lze nakonfigurovat notifikační pravidla, která následně přeposílají upozornění na vybrané emailové adresy.

Mezi další lákadla při správě počítačů patří:

Distribuce aplikací

Pomocí Windows Intune můžete sbírat informace o nainstalovaných aplikacích či distribuovat aplikace nové. Distribuce aplikace může být zacílena na počítače, v takovém případě probíhá instalace na pozadí, zcela bez vědomí uživatele, či může být „pouze“ publikována skupinám uživatelů, kteří si mohou vybrat, zda si danou aplikaci nainstalují, či nikoli.

Policy

Nezbytnou součástí při správě počítačů je také vytváření politik (Policy), pomocí kterých můžete řídit nastavení firewallu, agenta Windows Intune či Windows Intune Center. Tyto politiky se aplikují vždy, nezávisle na tom, zda je počítač členem domény, či nikoli. Jedná se tedy o jakési „cloudové GPO“, které však mají oproti standardním GPO (Group Policy Objects) v AD jen velmi omezené možnosti a funkce. Máte na výběr sadu čtyř politik, bez možnosti vytvářet vlastní.

Reporty

Důležitou komponentou je také propracovaný systém sestav. Můžeme zmínit například opravdu luxusní report o hardwaru na konkrétním počítači, obsahující všechny důležité informace o zařízení od verze BIOSu, přes typ a kapacitu disků, až třeba k připojeným tiskárnám.

Správa mobilních zařízení

Mezi velkou konkurenční výhodu při správě mobilních zařízení pomocí Windows Intune patří, že nemá žádné další nároky či požadavky na vaši infrastrukturu. Windows Intune totiž nově podporuje přímou správu (Direct Management) mobilních zařízení, a to na platformách Windows RT, Windows Phone 8 a iOS. Ke správě mobilních zařízení tak již není nutný Windows Intune Exchange Connector připojený k Exchange Serveru, jako v předchozí generaci Windows Intune, vše funguje napřímo. Direct Management navíc nabízí oproti připojení pomocí Exchange ActiveSync (EAS) rozšířené možnosti nastavení, reportů či řízení životního cyklu zařízení. Narazíme zde však na určitá omezení, která se týkají podpory jednotlivých mobilních platforem. Zařízení s operačními systémy Windows RT, Windows Phone 8 a iOS můžete spravovat přímo pomocí technologie Windows Intune Direct Management či starší metodou EAS. Zařízení s operačními systémy Windows Phone 7, Windows Phone 7.5 a Android můžete spravovat pouze pomocí EAS.

A co že nám vlastně správa mobilních zařízení v podání Windows Intune přináší za možnosti?

Policy

Podobně jako při správě počítačů můžeme na vybraná mobilní zařízení aplikovat politiky, zde výhradně politiky bezpečnostní. Některá nastavení jsou pro všechna zařízení společná, třeba nastavení zámku displeje, některá jsou specifická pro vybrané mobilní platformy. Například pro iOS zařízení je dostupné nastavení zakazující synchronizaci se službou iCloud a podobně.

Distribuce aplikací

Ke správě mobilních zařízení patří, podobně jako při správě počítačů, neodmyslitelně také distribuce aplikací. Na mobilní zařízení však nelze aplikace instalovat potichu na pozadí bez vědomí uživatele, distribuce tak spočívá „pouze“ v tzv. publikaci aplikace v Company Portal a uživatel si sám následně může vybrat, zda si danou aplikaci nainstaluje či nikoli. Aplikace můžeme publikovat ve dvou formách – pomocí instalačního balíčku, který se nahraje přímo do Admin Console nebo pomocí zveřejnění odkazu pro danou aplikaci ve vybraném obchodu aplikací (Windows Store, Apple Itunes či Google Play).

 

Samoobslužný portál Windows Intune

Samoobslužný portál Windows Intune, někdy také označovaný jako Company Portal, je prostředí určené zejména pro uživatele. S jeho pomocí službu Windows Intune ovládají. Slouží k celé řadě úkonů, například:

  • Přidání a odebrání počítačů
  • Přidání a odebrání mobilních zařízení
  • Vzdálené smazání obsahu mobilních zařízení
  • Instalace aplikací (počítače + mobilní zařízení)
  • Nalezení kontaktů na IT oddělení

K samoobslužnému portálu je možné přistupovat pomocí webového prohlížeče ze všech typů zařízení, či pomocí speciální aplikace Company Portal, která je v tuto chvíli dostupná pro platformy Windows 8, Windows RT a Windows Phone 8.

Integrace Windows Intune a SCCM 2012 SP1

Jednou z největších novinek ve čtvrté vlny Windows Intune je možnost integrace služby Windows Intune se System Center 2012 Configuration Manager SP1.

Až do této generace bylo možné spravovat mobilní zařízení pouze pomocí webového rozhraní a Admin Console. Integrace služby Windows Intune s technologií Microsoft System Center 2012 Configuration Manager SP1 přináší zjednodušení a zefektivnění správy infrastruktury. Pro správu počítačů a mobilních zařízení totiž nemusíte ovládat dvě konzole, ale stačí se pohybovat pouze v rámci konzole SCCM. Další novinkou je zacílení služby Windows Intune na uživatele a nikoliv na konkrétní zařízení – administrátor na jedné straně vytvoří politiky dle uživatele a ty se následně aplikují na všechna zařízení, která má uživatel ve své správě.

Windows Intune Connector

Sjednocenou správu firemního prostředí pomocí SCCM 2012 SP1 zajišťuje Windows Intune Connector. Co se týče správy počítačů, tam zůstává vše při starém – počítače i nadále SCCM spravuje klasicky pomocí nainstalovaného agenta.

 

Správa mobilních zařízení

Podobně jako při správě zařízení pomocí webové konzole Windows Intune, najdete i v konzoli SCCM všechny důležité součásti, které očekáváte. Odměnou při spojení služby Windows Intune s technologií Microsoft System Center 2012 Configuration Manager SP1 vám ovšem bude větší škála možností a nastavení takřka ve všech dostupných komponentách.

Můžeme například zmínit desítky možných nastavení, pomocí kterých lze mobilní zařízení kompletně ovládat, a to jak z hlediska bezpečnosti, tak třeba z pohledu řízení e-mailových schránek, nastavení wifi profilů, distribuce certifikátu a další.

Vylepšení se dočkáte i při vytváření reportů poskytujících přehled zařízení řízených službou Windows Intune, řízení životního cyklu zařízení (vzdálené smazání obsahu zařízení), či distribuce aplikací. Aplikace můžete na rozdíl od konzole Windows Intune instalovat na základě nejrůznějších podmínek – například v závislosti na velikosti RAM paměti a podobně.

Kolik Windows Intune stojí?

Windows Intune si můžete vyzkoušet zcela zdarma. K dispozici je 30denní zkušební verze, která obsahuje veškeré funkcionality jako verze placená. Jediné omezení se vztahuje na počet uživatelů a počet zařízení, které můžete ve zkušební verzi spravovat. V této verzi lze spravovat až 25 uživatelů a s nimi spojených až 125 zařízení. To vše díky zásadní změně politiky licencování – licence jsou nově na uživatele a ne na zařízení, jak tomu bylo v dřívějších verzích. Každý uživatel může mít v rámci jedné licence přiřazeno až 5 zařízení.

Když je něco v nepořádku s koncovým zařízením, je vám sebelépe fungující serverová infrastruktura reálně k ničemu. Správa pomocí nástrojů zbavuje oddělení IT kupy zbytečné, náročné ruční práce a uvolňuje prostor pro lepší péči o uživatele (kterým pro změnu elegantně zabrání tropit neplechu). Řešení Windows Intune je vhodné i pro menší společnosti a přinese úspory jak uživatelům, tak provozovatelům takových prostředí. Určitě to stojí za vyzkoušení, co říkáte?

Lukáš Keicher | KPCS