Windows Intune
Na konci roku 2012 uvolnil Microsoft již čtvrtou verzi své cloudové služby Windows Intune, sloužící ke správě počítačů a mobilních zařízení. Společně s novou verzí přichází několik změn souvisejících zejména s licencováním, podporou klientů, dále také s přímou správou mobilních zařízení, či s možností integrace služby Windows Intune do prostředí System Center 2012 Configuration Manager SP1. V dnešním článku se tak zaměříme na seznámení se touto službou a na základy jejího fungování.
Windows Intune je cloudová služba sloužící ke správě počítačů a mobilních zařízení. Je vhodná pro nasazení jak do menších firem, tak do velkých korporací. Pokud vás tato služba zaujala a chcete ji začít využívat, nepotřebujete k tomu budovat žádnou infrastrukturu (tedy instalovat servery apod.), vše běží v cloudu. Windows Intune můžete např. využít v prostředích, kde neexistuje Active Directory doména a počítače tak zatím nejsou spravovány centrálně - díky Windows Intune zde můžete s centrální správou začít. A to téměř okamžitě – stačí se přihlásit a službu si nejprve na 30 dní vyzkoušet zcela zdarma a v případě obliby v jejím používání pokračovat dál. Tato služba může být ale i vhodným doplněním pro stávající prostředí – může doplnit aktuální nástroje, případně pomoci tam, kde dnes nevíme, jak danou problematiku řešit.
A k čemu všemu vám tedy může být služba Windows Intune dobrá?
Pomocí Windows Intune můžete:
monitorovat stav počítačů a na základě varování zahájit kroky k odstranění problému;
spravovat aktualizace operačního systému;
zabezpečit počítače proti nežádoucímu softwaru pomocí technologie Windows Intune Endpoint Protection;
zjistit hardwarovou konfiguraci jednotlivých počítačů;
zjistit software používaný na počítačích a pomocí vzdálené instalace provádět aktualizace stávajících programů či instalovat nové aplikace;
nastavovat politiky související se zabezpečením počítačů jako například firewall a podobně;
spravovat mobilní zařízení a nastavovat bezpečnostní pravidla pro jejich fungování;
poskytnout uživatelům ověřené aplikace nejen pro počítače, ale také pro mobilní zařízení či tablety;
sjednotit verze operačního systému díky přechodu na nejnovější verzi systému Windows Enterprise a začít tak využívat pokročilé funkce těchto edic.
Pomocí Windows Intune lze spravovat následující operační systémy:
Windows XP Professional SP3 (x86)
Windows Vista Enterprise, Ultimate, Business (x86, x64)
Windows 7 Enterprise, Ultimate, Professional (x86, x64)
Windows 8 Enterprise, Professional (x86, x64)
Správa počítačů pomocí Windows Intune spočívá v instalaci Windows Intune agenta, který zajistí synchronizaci s datovým centrem a s tím spojené přidání počítače do administrační konzole Windows Intune. Přidání počítače do administrační konzole můžete provést několika způsoby:
Ruční instalací Windows Intune agenta.
Uživatel počítače může sám přidat počítač do administrační konzole pomocí internetového prohlížeče.
Windows Intune agent může být součástí instalačního image.
Po dokončení nasazení agenta se automaticky spustí instalace antivirové ochrany v podobě Windows Intune Endpoint Protection (pouze v případě, že se již v počítači nenachází žádný jiný antivirový software) a také Windows Intune Center, pomocí něhož mohou uživatelé získávat schválené aplikace z portálu Company Portal, kontrolovat aktualizace, antivirovou ochranu, či zažádat o vzdálenou pomoc (funkce Vzdálená pomoc není podporovaná v operačním systému Windows 8).
Pomocí Windows Intune je možné, kromě klasických PC, také spravovat mobilní zařízení různých typů a výrobců. Čtvrtá generace Windows Intune podporuje správu zařízení s následujícími operačními systémy:
Windows RT a Windows Phone 8
Windows Phone 7 a 7.5
iOS 4.0 a novější
Android 2.1 nebo novější
Zařízení s operačními systémy Windows RT, Windows Phone 8 a iOS můžete spravovat přímo pomocí technologie Windows Intune Direct Management. Zařízení s operačními systémy Windows Phone 7, Windows Phone 7.5 a Android můžete spravovat pouze přes Exchange ActiveSync (více v jednom z dalších článků).
Windows Intune si můžete vyzkoušet zcela zdarma. K dispozici je 30-ti denní zkušební verze, která obsahuje veškeré funkcionality jako verze placená. Jediné omezení se vztahuje na počet uživatelů a počet zařízení, které můžete ve zkušební verzi spravovat. V této verzi lze spravovat až 25 uživatelů a s nimi spojených až 125 zařízení. To vše díky zásadní změně politiky licencování – licence jsou nově zacíleny na uživatele a ne na zařízení, tak jak tomu bylo v dřívějších verzích. Každý uživatel může mít v rámci jedné licence přiřazeno až 5 zařízení.
Windows Intune lze pořídit v následujících SKU:
Windows Intune s Windows Software Assurance (SA) Zahrnuje: Cloudovou službu Windows Intune System Center Configuration Manager System Center Endpoint Protection Windows SA zahrnující možnost upgradu na Windows 8 Enterprise Dostupnost:¨V rámci programu MOSP Cena: 9 EUR/uživatel/měsíc
Windows Intune
Zahrnuje:
Cloudovou službu Windows Intune
System Center Configuration Manager
System Center Endpoint Protection
Dostupnost: V rámci programu EA/EAS, MOSP
Cena: 4,90 EUR/uživatel/měsíc
Windows Intune Add-on for System Center Configuration Manager
Zahrnuje: Cloudovou službu Windows Intune (pouze ale jako doplněk ke stávajícímu řešení System Center Configuration Manager)
Dostupnost: V rámci programu EA/EAS/EES
Cena: Cena se může lišit v závislosti na prodejci (cca 3 EUR/uživatel/měsíc)
Licenční program EA (Enterprise Agreement) či EAS (Enterprise Subscription Agreement) je vhodný pro organizace s více než 250 uživateli nebo zařízeními.
Licenční program EES (Enrollment for Education Services) nabízí možnosti využití Windows Intune na akademické půdě.
Licenční program MOSP (Microsoft Online Subscription Program) je vhodný pro organizace s méně než 250 uživateli nebo zařízeními.
Cílem tohoto článku bylo seznámit uživatele se základy služby Windows Intune, jak funguje a kolik stojí. V příštím článku se podíváme podrobněji na instalaci agentů na počítače, vzdálenou správu stanic a jejich monitorování zahrnující instalace aktualizací operačního systému, vytváření reportu a další.
V rámci naší série o Windows Intune se po minulém uvedení do problematiky v dnešním článku podíváme podrobněji na instalaci Windows Intune agentů, vzdálenou správu stanic zahrnující instalace aktualizací operačního systému, vytváření reportu či sledování upozornění vygenerovaných jednotlivými klienty. Dále se mj. podíváme na monitoring počítačů, budeme sledovat stav antivirové ochrany a podobně.
Než se podíváme na samotnou správu koncových počítačů, měli bychom si představit jednotlivé správcovské portály (Management Portals), které budete při správě počítačů a mobilních zařízení využívat. Mezi ně patří:
Account Portal zakládání nových uživatelů; správa licencí Windows Intune; propojení Windows Intune s databází Active Directory s možností replikace uživatelů.
Admin Portal (Admin Console)
hlavní nástroj pro správu počítačů a mobilních zařízení.
Company Portal:
sloužící uživatelům jako místo odkud mohou sami přidávat zařízení do služby Windows Intune, stahovat firemní aplikace a podobně.
V předchozím článku jsme se mimo jiné dozvěděli, jak zhruba Windows Intune funguje – správa počítačů zde spočívá v instalaci Windows Intune agenta, který zajistí synchronizaci s datovým centrem Windows Azure a s tím spojené přidání počítače do Admin Console.
Nyní se v několika řádcích podíváme na instalaci agenta trochu podrobněji. Při jeho instalaci máte možnost výběru z následujících voleb:
Administrátor Jednou z nejvyužívanějších možností při instalaci agenta je instalace samotným správcem systému. V takovém případě se stačí přihlásit do Admin Portal, agenta stáhnout a následně nainstalovat. Agenta lze na počítače nainstalovat buď ručně, ve větším prostředí můžete sáhnout k instalaci pomocí Group Policy.
Uživatel
Uživatel počítače může sám přidat počítač do administrační konzole pomocí internetového prohlížeče a webu Company Portal a tím vlastně agenta nainstalovat. K tomu je zapotřebí, aby měl uživatel práva lokálního administrátora, prohlížeč Internet Explorer a Microsoft Online Service ID, kterým se na portál přihlašuje (Microsoft Online Service ID zakládáme uživateli pomocí Account Portal)
Deployment
Poslední možností při instalaci Windows Intune agenta je zařadit agenta jako součást bezobslužné instalace operačního systému. V takovém případě se počítač sám zařadí do Admin Console v okamžiku, kdy je dokončena instalace operačního systému. Při standardní instalaci agenta je vyžadováno internetové připojení, pomocí kterého se vytvoří obousměrný vztah mezi počítačem a službou Windows Intune, potažmo Admin Console. Z tohoto důvodu nelze Windows Intune agenta na referenční PC nainstalovat a použít takto pro deployment, protože by v konzoli Windows Intune vznikaly duplicity. Na místo toho se použije příkaz PrepareEnroll, který zajistí automatickou instalaci agenta až po instalaci operačního systému. Více informací o přípravě referenčního počítače včetně Windows Intune agenta najdete na stránce http://technet.microsoft.com/en-us/library/jj662689.aspx.
Společně s instalací Windows Intune agenta se na cílových počítačích automaticky zahájí instalace další podpůrných agentů. Je možné, že pro úspěšné dokončení instalace některých z nich bude nutné restartovat počítač. Mezi tyto agenty patří mimo jiné agent monitorující stav počítače, agent umožňující sběr HW a SW informací, agent antivirové ochrany v podobě Windows Intune Endpoint Protection a v neposlední řadě také Windows Intune Center. Pomocí Windows Intune Center mohou uživatelé stahovat a instalovat schválené aplikace z Company Portal, kontrolovat aktualizace, antivirovou ochranu, či zažádat o vzdálenou pomoc (funkce Vzdálená pomoc není podporovaná v operačním systému Windows 8).
První z důležitých komponent služby Windows Intune z hlediska bezpečnosti je správa aktualizací operačních systémů. Než mohou být aktualizace aplikovány na jednotlivé skupiny počítačů, je nejprve nutné tyto aktualizace schválit v Admin Console. Pro určité typy aktualizací (Critical Updates, Security Updates, Definition Updates, atd.) zde také můžete nastavit automatické schvalování aktualizací. Následně vytvoříme v záložce Policy politiku, kterou definujeme, jak často a kdy bude agent nové aktualizace kontrolovat. Tento proces je tak obdobný jako při práci s lokálně nainstalovaným WSUS serverem.
Předplatná služeb Windows Intune se různě liší a záleží tak na konkrétní licenční situaci, ale součástí této služby může být také antivirová ochrana v podobě Windows Intune Endpoint Protection. Instalace Windows Intune Endpoint Protection se spustí zcela automaticky po instalaci Windows Intune agenta.
V případě, že se na počítači nachází jiná antivirová ochrana, Windows Intune Endpoint Protection agent svou činnost zastaví – stav antivirové ochrany tak nelze pomocí Admin Console monitorovat. K použití ochrany Windows Intune Endpoint Protection na místo stávající antivirové ochrany je nejprve nutné stávající antivirovou ochranu odstranit a v Admin Console následně vytvořit Policy, která explicitně povoluje spuštění agenta Windows Intune Endpoint Protection. Ještě dodejme, že pokud se na počítači nachází antivirová ochrana v podobě Microsoft Security Essentials, či jiný produkt z rodiny Endpoint Protection, je tato ochrana automaticky nahrazena Windows Intune Endpoint Protection.
Po úspěšné instalaci Windows Intune Endpoint Protection můžete pomocí Admin Console monitorovat zdraví počítačů, sledovat virové nákazy a způsob jak bylo s hrozbou naloženo, vzdáleně na počítačích spouštět Quick či Full scany pro kontrolu škodlivého softwaru, aktualizovat virové definice a podobně.
V záložce Alerts najdete upozornění ze všech komponent, které Windows Intune monitoruje. Mezi ty patří již zmíněné aktualizace operačního systému, stav antivirové ochrany a dalších zhruba 180 dostupných komponent. Některé z komponent jsou ve výchozím stavu zakázány a jejich sledování je tak nutné zapnout.
K tomu, abyste nemuseli hlídat stav antivirové ochrany či aktualizace operačního systému sami ručně, můžete pro jednotlivé úrovně závažnosti chyb nakonfigurovat notifikační pravidla, která následně přeposílají upozornění na vybrané emailové adresy. Nemusíte tak neustále sami kontrolovat stav počítačů v Admin Console, ale stačí čekat, než Vám dorazí email s varovným hlášením.
Pomocí Windows Intune můžete na počítače jednoduše distribuovat aplikace. Distribuce aplikací se skládá ze dvou části.
V první části nejprve přidáme do Admin Console instalační balíček (.exe, .msi, atd.) a definujeme jeho vlastnosti – vydavatele aplikace, typ aplikace, pro jaké operační systémy je aplikace určena apod. V průběhu přidávání instalačního balíčku je dobré pamatovat na to, že následná instalace aplikace běží na pozadí pod systémovým účtem a to zcela automaticky a bez zásahu uživatele či správce systému. Záleží na aplikaci, nicméně v drtivé většině případů je tedy nutné definovat parametry pro zautomatizování instalace pomocí přepínačů v příkazové řádce.
Tímto způsobem do Admin Console připravíte instalační balíčky, které v další fázi distribuujete pro koncová zařízení. Při distribuci aplikaci máte na výběr z následujících možností:
Required Install typ vzdálené instalace, kterou může vynutit administrátor v Admin Console; lze ji zacílit pouze na počítače; aplikace se instaluje na pozadí, zcela bez vědomí uživatele.
Available Install
administrátor v Admin Console pouze aplikaci publikuje skupinám uživatelů;
aplikace se tedy neinstaluje automaticky, ale vybraní uživatelé si mohou vybrat, zda danou aplikaci budou využívat či nikoli;
uživatel sám inicializuje instalaci aplikace prostřednictvím Windows Intune Center;
uživatel nemusí mít práva lokálního administrátora, pouze je potřeba, aby měl daný počítač „svázaný“ se svým účtem ve Windows Intune.
Záložka Software dále slouží ke sběru informací o aplikacích, které jsou na spravovaných počítačích nainstalovány v podobě podrobného reportu.
Společně se sledováním nainstalovaných aplikací můžete dále spravovat licenční ujednání (licensing agreements) a to jak Microsoft Volume Licensing Agreements, tak non-Microsoft Licensing Agreements.
Nezbytnou součástí správy počítačů pomocí Windows Intune je také vytváření politik (Policy), pomocí kterých můžete řídit nastavení zabezpečení mobilních zařízení, firewallu, Windows Intune Agenta či Windows Intune Center. Tyto politiky se aplikují vždy a to nezávisle na tom, zda je počítač členem domény či nikoli. Jedná se tedy o jakési „cloudové GPO“, které však mají oproti standardním GPO v AD jen velmi omezené možnosti a funkce. Můžete vybírat pouze z omezené sady čtyř politik, bez možnosti vytváření politik vlastních.
V případech, kdy spravujete pomocí Windows Intune počítač, který je zároveň členem domény, je potřebné se vyvarovat konfliktů mezi politikami z Windows Intune a Group Policy z Active Directory.
Mezi možnosti řešení při konfliktu politik patří:
Blokování Group Policy na OU, kde se počítače spravované pomocí Windows Intune nacházejí
Filtrování skupinových politik a jejich zacílení buď podle Security filtering či WMI filtering
Změna stávajících Group Policy a odstranění duplicitních politik
Velmi silnou zbraní při správě počítačů je propracovaný systém reportů, který Windows Intune nabízí. Můžeme zmínit například opravdu luxusní report o hardware na konkrétním počítači, obsahující všechny důležité informace o zařízení od verze BIOSu, přes typ a kapacitu disků, až třeba k připojeným tiskárnám.
Mezi další reporty patří report obsahující seznam všech nainstalovaných aplikací včetně verze aplikace, vydavatele a podobně, report o stavu aktualizací operačního systému, seznam zakoupených licencí, seznam použitých licencí a podobně.
V tomto článku jste se blíže seznámili se správou klientských počítačů pomocí Admin Console Windows Intune. Podrobně jsme si popsali nasazení Windows Intune agenta a jednotlivé komponenty administrátorské konzole, které budete při správě počítačů nejčastěji využívat. V příštím článku o Windows Intune si představíme Správu mobilních zařízení.
V dnešním dílu série o Windows Intune volně navážeme na předchozí článek o správě počítačů a podíváme se na správu mobilních zařízení neboli MDM (Mobile Device Management). Mezi velkou konkurenční výhodu při správě mobilních zařízení pomocí Windows Intune patří, že nevyžaduje žádné další nároky či požadavky na vaši stávající infrastrukturu. Geniální je poté propojení Windows Intune se stávající konzolí Microsoft System Center 2012 Configuration Manager SP1 za použití nového Windows Intune Connector. Pro správu počítačů a mobilních zařízení tak nemusíte ovládat dvě konzole, ale stačí se pohybovat pouze v rámci jedné konzole SCCM. To vše vede ke zjednodušení a zefektivnění správy Vaší infrastruktury. Pojďme se společně podívat na novinky ve 4. generaci Windows Intune a na možnosti správy zahrnující distribuci aplikací či nasazení bezpečnostních politik.
Až do 4. generace Windows Intune bylo jediné možné řešení při správě mobilních zařízení připojení těchto zařízení pomocí Exchange ActiveSync (EAS). Takový způsob správy mobilních zařízení představuje další nároky na firemní infrastrukturu – kromě Exchange serveru je dále zapotřebí dedikovaný počítač s nainstalovaným a nakonfigurovaným Windows Intune Exchange Connector, který propojí službu Windows Intune s Exchange serverem a díky němu lze touto „oklikou“ mobilní zařízení spravovat.
Nová generace Windows Intune podporuje přímou správu mobilních zařízení – Windows Intune Direct Management. Ke správě mobilních zařízení tak již není nutný Exchange Connector připojený k Exchange serveru, vše funguje napřímo. Bohužel i zde narazíme na určitá omezení, která se týkají podpory jednotlivých mobilních platforem, viz dále.
Pomocí Windows Intune je možné spravovat mobilní zařízení různých typů a výrobců -> čtvrtá generace Windows Intune podporuje správu zařízení s následujícími operačními systémy:
Windows RT a Windows Phone 8
Windows Phone 7 a 7.5
iOS 4.0 a novější
Android 2.1 nebo novější
Zařízení s operačními systémy Windows RT, Windows Phone 8 a iOS můžete spravovat přímo pomocí technologie Windows Intune Direct Management či starší metodou EAS. Zařízení s operačními systémy Windows Phone 7, Windows Phone 7.5 a Android můžete spravovat pouze pomocí EAS. Konzole Windows Intune však podporuje kombinaci obou řešení – bez problémů tak můžete starší zařízení spravovat pomocí Exchange ActiveSync a nová zařízení pomocí Direct Management.
Jak jsme si popsali výše – některá zařízení lze spravovat novou, přímou metodou, některá zařízení pouze pomocí EAS a někdy se hodí kombinace obou řešení. Jaké jsou tedy rozdíly ve správě zařízení pomocí Direct Management a EAS?
Direct Management
Na stávající infrastrukturu nejsou kladeny žádné další nároky.
Možnosti při správě zařízení zahrnují:
Hardware katalog
Nastavení pokročilých bezpečnostních politik
Distribuci softwaru
Vzdálené smazání zařízení (iOS, WP)
Nastavení politik služby iCloud (iOS)
Pokročilý monitoring
EAS
Kromě služby Windows Intune je dále zapotřebí Exchange Server a Exchange Connector
Možnosti při správě zařízení zahrnují:
Nastavení základních bezpečnostních politik
Distribuci softwaru
Vzdálené smazání zařízení (iOS, WP)
Vzdálené smazání mailboxu (W8, WinRT)
Oba dva typy správy tedy v sobě zahrnují různé možnosti nastavení a v některých případech je vhodné využít kombinaci obou řešení – takový scénář je plně podporovaný. V případě konfliktu bezpečnostních politik vždy vítězí politika s vyšší mírou zabezpečení.
Konfigurace správy mobilních zařízení se liší na základě jednotlivých mobilních platforem a také v závislosti na typu správy. Ke snadnější orientaci nám poslouží následující obrázek, který celý proces konfigurace shrnuje.
Proces konfigurace MDM začíná vždy stejně nezávisle na mobilní platformě a typu správy.
Prvním společným krokem je přidání uživatelů mobilních zařízení do konzole Windows Intune. Každé spravované mobilní zařízení totiž musí mít svého vlastníka, uživatele, který má ve službě Windows Intune svůj účet. Uživatele můžeme do konzole Windows Intune přidat ručně nebo nastavit synchronizaci s Active Directory – v některých implementacích, např.: EAS je synchronizace s Active Directory dokonce vyžadována.
Druhým společným krokem na nastavení tzv. Mobile Device Management Authority. Tímto nastavením vlastně definujete, z jaké konzole budete mobilní zařízení spravovat. A máme zde dvě možnosti – pokud budete zařízení spravovat pomocí konzole Windows Intune, je potřeba nastavit MDM Authority přímo z Administration Console Windows Intune. Pokud budete zařízení spravovat pomocí SCCM je potřeba nastavit MDM Authority v konzoli SCCM. Pozor, toto nastavení je velmi důležité a nelze jednoduše zpětně změnit! Přechod z Windows Intune na SCCM je podporovaný, ale pouze skrze Microsoft HelpDesk. Přechod z SCCM na Windows Intune není podporovaný vůbec.
Další kroky se již liší v závislosti na typu správy a mobilní platformě a mohou zahrnovat například vytvoření DNS záznamů pro enrollment server, přítomnost certifikátů pro distribuci aplikací a podobně. Přehled všech kroků pro jednotlivé platformy a typy správy najdete na http://technet.microsoft.com/en-us/library/jj733654.aspx. Ke znázornění postupu u jednotlivých platforem nám poslouží následující obrázek.
Přidání mobilního zařízení do konzole Windows Intune už provádí sám přímo uživatel zařízení nebo například správce sítě, který zařízení pro uživatele konfiguruje. A opět záleží na té či oné mobilní platformě. Přidání zařízení s Windows RT a Windows Phone 8 probíhá skrze Company Apps, předinstalovanou součástí systému. Pro iOS zařízení zatím taková aplikace k dispozici není, zařízení se tedy přidává pomocí internetového prohlížeče. Ostatní zařízení připojená pomocí EAS se do konzole Intune synchronizují automaticky z Exchange serveru.
A co že nám vlastně správa mobilních zařízení v podání Windows Intune přináší za možnosti? První důležitou součástí je nastavení bezpečnostních politik, které následně aplikujeme na vybrané skupiny uživatelů a jejich přiřazená zařízení. Se záložkou Policy jsme se již setkali při správě počítačů. V případě správy mobilních zařízení je situace velmi podobná - na základě šablony Mobile Device Security Policy můžeme vytvořit předdefinovanou politiku s doporučeným nastavením obsahující řekněme základní bezpečnostní mechanizmy nebo vytvořit politiku s vlastním nastavením. Bohužel Windows Intune v této verzi zatím neumožňuje vytvářet žádné nové šablony a na jejich základě další nové politiky.
Některá nastavení v šabloně jsou pro všechna zařízení společná, například nastavení zámku displeje, některá jsou specifická pro vybrané mobilní platformy. Například pro iOS zařízení je dostupné nastavení zakazující synchronizaci se službou iCloud a podobně. Při aplikování některých specifických nastavení může docházet k delším prodlevám.
Ke správě mobilních zařízení patří ve Windows Intune neodmyslitelně také distribuce aplikací. Na mobilní zařízení nelze aplikace instalovat potichu na pozadí bez vědomí uživatele, tak jako v případě instalace aplikací na počítače. Distribuce aplikací tak spočívá „pouze“ v tzv. publikaci aplikace v Company Portal a uživatel si sám následně může vybrat, zda si danou aplikaci nainstaluje či nikoli. Na zařízeních Windows RT, Windows 8 a Windows Phone 8 přistupuje uživatel k publikovaným aplikacím pomocí speciální aplikace Company Portal, na ostatních zařízení pomocí webového rozhraní.
Z pohledu administrátora je proces distribuce aplikace podobný jako při distribuci aplikací pro počítače. Nejprve vybranou aplikaci přidáme do Admin Console a následně ji publikujeme pro vybrané skupiny uživatelů.
Aplikace můžeme publikovat ve dvou formách:
Instalační balíček
Do Admin Console se nahraje vlastní instalační soubor dané aplikace. Mezi podporované formáty patří .appx (Windows RT), .xap (Windows Phone 8), .ipa & .plist (iOS), .apk (Android).
Tento způsob distribuce aplikace je vhodným scénářem při distribuci vlastních firemních aplikací.
Při tomto způsobu distribuce není příslušný obchod aplikací vůbec kontaktován.
Externí odkaz
Publikace aplikace pomocí externího odkazu vlastně spočívá ve zveřejnění odkazu pro danou aplikaci ve vybraném obchodu aplikací. Mezi podporované patří Windows Store, Apple Itunes či Google Play.
V tomto článku jsme si představili možnosti, které Windows Intune nabízí při správě mobilních zařízení. V dalším článku o Windows Intune se podíváme samoobslužný portál, pomocí kterého si mohou uživatelé do svých zařízení instalovat aplikace, kontaktovat IT oddělení a podobně.
Všechny naše předchozí články v sérii o Windows Intune byly zaměřeny převážně na správce systému, kteří službu Windows Intune nasazují či spravují. V dnešním článku se podíváme na to, jak vlastně vnímá službu Windows Intune druhá strana – její uživatelé. Představíme si samoobslužný portál Windows Intune, někdy také označovaný jako Company Portal, prostředí určené pro uživatele, pomocí kterého mohou do konzole Windows Intune přidávat svá zařízení, stahovat aplikace a podobně.
Company Portal je tedy místo, skrze které uživatelé službu Windows Intune ovládají. K samoobslužnému portálu je možné přistupovat pomocí webového prohlížeče ze všech typů zařízení, či pomocí speciální aplikace Company Portal, která je v tuto chvíli dostupná pro platformy Windows 8, Windows RT a Windows Phone 8.
Mezi podporované internetové prohlížeče patří:
Windows® Internet Explorer® 7 a vyšší
Google Chrome version 15 a vyšší
Mozilla Firefox 5.0 a vyšší
Na ostatních internetových prohlížečích nemusí být dostupné veškeré funkcionality.
Uživatelé využívají Company Portal k celé řadě úkonů, mezi které patří:
Přidání a odebírání počítačů
Přidání a odebírání mobilních zařízení
Vzdálené smazání obsahu mobilních zařízení
Instalace aplikací (počítače + mobilní zařízení)
Nalezení kontaktů na IT oddělení
Přístup k samoobslužnému portálu je kromě webového prohlížeče možné také pomocí speciální aplikace, která je v tuto chvíli dostupná pro platformy Windows 8, Windows RT a Windows Phone 8. Aplikaci Company Portal najdete vždy v příslušném obchodu aplikací, v případě Windows Phone 8 ji lze na zařízení vzdálené nainstalovat přímo během přidání zařízení do konzole Windows Intune. Na těchto operačních systémech nejsou některé funkce Company Portal přes webový prohlížeč dostupné - například instalace publikovaných aplikací. K využití všech funkcionalit je tedy nutné na těchto systémech k portálu přistupovat výhradně přes tuto aplikaci.
Správce služby Windows Intune může upravovat vzhled portálu, poskytnou uživateli kontakty na IT podporu, včetně odkazů, kde může uživatel zažádat o vzdálenou pomoc. Administrátor samozřejmě také mění obsah portálu a to z hlediska distribuce aplikací. Veškeré tyto změny provádí pomocí Admin Console.
V záložce All My Devices najde každý uživatel seznam všech svých přidružených zařízeních. Zde může přidávat nová zařízení, odstranit stávající zařízení či měnit základní popis zařízení. U mobilních zařízení může provést i vzdálené smazání zařízení, které se hodí v případě odcizení, či ztráty zařízení. Práva na tyto úkony má samozřejmě také administrátor a může jej provádět pomocí Admin Console.
Přehled dostupných aplikací v záložce Apps záleží hned na několika faktorech:
- Uživatel: Administrátor publikuje aplikace vždy pro skupinu uživatelů.
- Zařízení: Administrátor publikuje aplikace pro konkrétní platformy a v rámci nich pro konkrétní verze operačních systémů.
Uživatel tedy vidí v Company Portal pouze aplikace jemu výslovně publikované a navíc určené pouze pro dané zařízení, pomocí kterého k Company Portal přistupuje. V případě distribuce aplikace v podobě balíčku si může aplikaci nainstalovat bez kontaktování příslušného obchodu aplikací, v případě že se jedná pouze o odkaz, je odkázán na příslušný obchod aplikací.
V tomto článku jsme si přestavili samoobslužný portál jak ve formě webového prohlížeče, tak pomocí speciální aplikace Company Portal. V dalším článku o Windows Intune se podíváme na integraci služby Windows Intune se System Center Configuration Manager 2012 SP1.
Naší sérii článků o Windows Intune zakončíme dnes povídáním o integraci služby Windows Intune se System Center 2012 Configuration Manager SP1. Postupně si představíme požadavky na integraci, samotný proces konfigurace a výhody, které Vám integrace těchto dvou technologií přinese. Během našeho povídání také často narazíme na rozdíly při správě zařízení pomocí konzole SCCM oproti správě pomocí konzole Windows Intune.
Rodinu produktů System Center, v našem případě System Center Configuration Manager, jistě není nutno dlouze představovat. Jedná se o klient-server aplikaci, umožňující vzdálenou správu IT. System Center Configuration Manager umožňuje efektivní správu IT od malých po obrovské infrastruktury, zahrnující vzdálenou správu stanic, instalace aktualizací, distribuci software, distribuci operačních systému a mnoho dalšího. Pro podrobnější informace se podívejte na stránku věnovanou produktům System Center, případně přímo na video Správa moderní infrastruktury.
Nová verze SCCM 2012 SP1 přináší oproti svým předchůdcům celou řadu vylepšení, z našeho pohledu je však nejzásadnější novinkou možnost integrace se službou Windows Intune.
Až do 4. generace Windows Intune bylo totiž možné spravovat mobilní zařízení pouze pomocí webového rozhraní a Admin Console. Integrace služby Windows Intune s technologií Microsoft System Center 2012 Configuration Manager SP1 přináší zjednodušení a zefektivnění správy vaší infrastruktury. Pro správu počítačů a mobilních zařízení totiž nemusíte ovládat dvě konzole, ale stačí se pohybovat pouze v rámci jedné konzole SCCM. Další novinkou je zacílení služby Windows Intune na uživatele a nikoliv na konkrétní zařízení – administrátor na jedné straně vytvoří politiky, které zacílí na uživatele a ty se následně aplikují na všechna zařízení, která má uživatel ve své správě.
Sjednocenou správu firemního prostředí pomocí SCCM 2012 SP1 zajišťuje Windows Intune Connector - komponenta, pomocí které se SCCM dokáže připojit ke službě Windows Intune a pomocí které lze následně mobilní zařízení spravovat.
Co se týče správy počítačů, tam zůstává vše při starém – počítače i nadále spravuje klasicky pomocí nainstalovaného SCCM agenta.
Ke sjednocené správě firemního prostředí je potřeba splnit několik dílčích kroků, viz dále.
Služba Windows Intune - Prvním z těchto kroků je samozřejmě odběr služby Windows Intune. Při integraci s SCCM není rozdíl, zda je váš odběr ve formě volné 30ti denní zkušební verze, či ve formě klasické, tedy placené verze.
Synchronizace AD - Doporučovaným, ne však nutným krokem, je synchronizace firemního AD s Windows Azure AD. Bez této synchronizace se však téměř neobejdete a to i v menších prostředích – v takovém případě totiž budete nuceni ve Windows Intune ručně zakládat uživatele, následně je zařazovat do spravovaných skupin a podobně. To s sebou samozřejmě přináší zvýšené nároky na správu, riziko chyb při vytváření účtu a podobně.
Windows Intune Subscription - Prvním krokem z pohledu SCCM je vytvoření Windows Intune Subscription a s tím spojená konfigurace MDM Authority, vlastnosti Company Portal a výběr kolekce uživatelů oprávněných pro přidávání zařízení. Po vytvoření Windows Intune Subscription je následně potřeba přidat Site System Role pro Windows Intune Connnector, která zajišťuje samotnou komunikaci s Windows Intune.
Nastavení MDM - Posledním krokem při konfiguraci sjednocené správy je nastavení samotného MDM. Tato nastavení se však liší v závislosti na mobilní platformě a jsou prakticky totožné jako kroky, které jsme si již představili v článku Windows Intune: Správa mobilních zařízení, pouze jsou prováděny pomocí konzole SCCM. Mohou tedy zahrnovat instalace certifikátů pro distribuci aplikací, způsob distribuce aplikace Company Portal pro zařízení Windows Phone 8 a další.
Oproti správě mobilních zařízení pomocí webové konzole Windows Intume, přináší SCCM netušené možnosti při aplikování bezpečnostních politik, distribuci softwaru a další. Pojďme se na tato vylepšení společně podívat.
V článku Windows Intune: Správa mobilních zařízení jsme si představili bezpečnostní politiky, pomocí kterých lze mobilní zařízení jednoduše zabezpečit. Jistě si však vzpomínáte, že těchto nastavení bylo v konzoli Windows Intune velmi omezené množství a navíc drtivou většinu z nich nebylo možné aplikovat napříč všemi mobilními platformami. Pro konkrétní platformy zde tedy najdeme počet nastavení v rámci jednotek.
V následující tabulce najdete seznam všech nastavení, setříděných do tematických skupin, která lze pomocí pomocí SCCM na mobilní zařízení aplikovat a rozdíl je patrný na první pohled.
Kromě možnosti vynucení bezpečnostních politik, mezi které patří politiky pro hesla, zákaz instalace nepodepsaných aplikací a podobně, můžete také pomocí SCCM pohodlně ovládat další nastavení a kompletně tak mobilní zařízení spravovat. Mezi taková nastavení patří omezení při využívání datových tarifů, nastavení synchronizace poštovní schránky, distribuce profilů pro bezdrátové sítě, distribuce certifikátů a další.
Samozřejmě, ne všechna nastavení jsou dostupná pro všechny mobilních platformy a to, zda je právě vaše nastavení na konkrétní platformě podporováno můžete sledovat přímo při vytváření tzv. Configuration Item.
Configuration Item je samotná definice vlastního nastavení a jedna taková definice může zahrnovat nastavení z jedné či více tematických skupin.
Z jednotlivých Configuration Item se pak skládají Configuration Baseline, tedy skupiny vybraných nastavení, které následně aplikujeme na cílové kolekce. Configuration Baseline můžete jednoduše škálovat na základě téměř libovolných požadavků a každá se skládá minimálně z jedné Configuration Item.
Aplikování Configuration Baseline se také v mnohém liší od aplikování bezpečnostních politik pomocí konzole Windows Intune. Nastavení totiž aplikujeme na tzv. kolekce, které mohou být uživatelské či kolekce zařízení. Dále můžeme využít možnosti plánovaní, tedy aplikování nastavení v určitých časových intervalech a podobně.
Po integraci SCCM se službou Windows Intune najdeme v kolekci zařízení novou položku - mobilní zařízení. Zde najdeme seznam všech mobilních zařízení včetně možnosti zobrazení základních vlastností o zařízení jako je typ zařízení, verze operačního systému, atp.
SCCM však poskytuje mnohem podrobnější přehled o vlastnostech vybraného zařízení pomocí volby Resource Explorer. Vzorový výpis vlastností zařízení najdete na následujícím obrázku.
U vybraného zařízení tak můžeme sledovat vlastnosti zařízení z pohledu hardware či software. Samozřejmě výpis inventáře zařízení opět záleží na typu daného zařízení.
SCCM 2012 SP1 dále nabízí podrobný a propracovaný systém reportů o využití mobilních zařízení. Můžete si tak jednoduše nechat vygenerovat report o počtu mobilních zařízení podle operačního systému, počet všech mobilních zařízeních spravovaných službou Windows Intune a podobně. Vybraný report je následně možné uložit v několika standardizovaných formátech, například do souboru pdf.
V přehledu mobilních zařízení můžete kromě generování reportů a zjišťování vlastností o vybraném zařízení kompletně spravovat životní cyklus zařízení. Mezi důležité volby patří například vzdálené smazání obsahu zařízení, které se hodí v případě odcizení, či ztráty zařízení. Dostupná je taktéž volba pro odebrání zařízení ze správy Windows Intune bez smazání dat. V takovém případě je však samozřejmě nutné dodržet firemní SECPOL.
U správy životního cyklu zařízení opět platí určité rozdíly a omezení vztahující se na typ platformy - například odstranění zařízení z konzole SCCM může mít na různých platformách různé dopady – například u zařízení Windows RT dojde k odinstalaci sideloaded aplikací, v případě zařízení iOS nikoli, atp.
Konzole SCCM poskytuje podobné možnosti při distribuci software jako samotná konzole Windows Intune. V případě integrace těchto dvou technologií Vám ale opět bude odměnou větší škála možností a nastavení.
Významným rozdílem oproti distribuci aplikací skrze konzoli Windows Intune je, že v SCCM může být k jedné aplikaci přiřazeno více publikačních možností. V konzoli Windows Intune jste již při nahrání aplikace do konzole vybírali, jak bude aplikace dostupná (přímá instalace, či pouze link do obchodu aplikací) a podobně. Následně jste již aplikaci „pouze“ publikovali vybraným uživatelům.
V konzoli SCCM může být k jedné aplikaci přiřazeno více publikačních možností, což samozřejmě vede ke zjednodušení správy distribuce aplikací a ke zvýšení přehlednosti.
Aplikace můžete také na rozdíl od konzole Windows Intune instalovat na základě nejrůznějších podmínek – například na základě velikosti RAM paměti. U některých platforem můžeme také využít superseedování aplikace a instalací jedné verze aplikace tak nahradit starší verzi aplikace.
Podobně jako u aplikování doporučených nastavení, může být distribuce aplikace zacílena nejen na kolekci uživatelů, ale třeba i na konkrétní typy zařízení.
Při distribuci aplikací je také nutné myslet na to, že pokud se jedná o mobilní zařízení, musí být aplikace umístěna v distribučním bodě, který je dostupný odkudkoli. V konzoli SCCM 2012 SP1 proto najdeme nově možnost umístění aplikace do distribučního bodu manage.microsoft.com – do cloudu. V takovém případě se využije úložiště konzole Windows Intune, potažmo Windows Azure.
Dnešním povídáním o integraci služby Windows Intune se System Center 2012 Configuration Manager SP1 končí naše minisérie Týden s Windows Intune. Postupně jsme si v ní představili téměř všechny možnosti, které služba Windows Intune při správě zařízení nabízí.