V minulých týdnech Microsoft dal k dispozici k veřejnému testování třetí generaci své cloudové služby pro správu a dohled počítačů, Windows Intune.
Windows Intune je na trhu k dispozici již druhým rokem, první generace služby spatřila světlo světa v březnu loňského roku, druhá verze přišla v říjnu a nyní máme možnost v předstihu se podívat na to, co nám přinese generace třetí.
Než se však dostaneme k novinkám, pojďme si připomenout, co vlastně Windows Intune umí ve své stávající podobě.
Stávající funkcionalita
Windows Intune, coby služba pro správu a dohled klientských počítačů, umožňuje následující:
- Správa klientských počítačů bez nutnosti serverové infrastruktury – serverová část je nabízena jako cloud služba, jediné co potřebujete, jsou klientské počítače připojené k internetu
- Správa aktualizací – cloudová obdoba WSUS serveru, umožňující kompletně řídit schvalování a instalaci aktualizací pro Microsoft produkty
- Antivirus a antimalware – Windows Intune obsahuje plnohodnotnou antimalwarovou ochranu, založenou na Microsoft Antimalware Protection Engine (použitá též u produktů Forefront a Security Essentials), jejíž nasazení a fungování na klientech je spravováno centrálně
- Vzdálená pomoc – umožňuje administrátorům vzdáleně přistupovat na klientské počítače a pomáhat uživatelům řešit problémy. „Firewall friendly“ umožňuje připojení odkudkoliv.
- Distribuce software - umožňuje nahrát instalační soubory libovolného softwaru do cloud služby (jako backend slouží další cloudová služba, Azure Storage) a následně distribuovat a instalovat na vybrané skupiny spravovaných počítačů.
- Distribuce aktualizací software třetích stran - Funguje na stejném principu jako distribuce software, tedy pokud daná aktualizace umožňuje bezdotazovou instalaci, není problém ji pomocí Windows Intune distribuovat a instalovat na spravované počítače.
- Bezpečnostní politiky – centrálně nastavitelné, umožňují základní bezpečnostní nastavení napříč spravovanými klienty
- Inventury, reporting – Windows Intune shromažďuje a následně přehledně zobrazuje informace o klientském hardware a software ve formě přizpůsobitelných reportů.
- Správa licencí – Windows Intune spolupracuje se službou Volume Licensing, ze které dokáže načíst typ a počty zakoupených licencí a tyto následně porovnat se skutečným stavem. Rovněž je umožněno ruční zadávání typu a počtu licencí, takže můžete evidovat krabicový software, OEM verze i software třetích stran.
- Monitoring stavu počítačů – sledování výskytu chyb na klientských PC a ve službě Windows Intune, následné generování výstrah (alertů), které správci vidí v ovládací konzoli, případně obdrží mailem
- Windows 7 Enterprise licence - Windows Intune Agent může být instalován na Windows XP Professional SP3, Windows Vista Business a vyšší, či Windows 7 Professional a vyšší (jak 32bit tak 64bit edice). Pro každý počítač s takovouto podkladovou licencí máte díky Windows Intune právo na použití aktuální verze Windows. Momentálně jde o Windows 7 Enterprise, jakmile přijde na trh další verze Windows, mohou uživatelé s Windows Intune licencí automaticky upgradovat.
- Microsoft Desktop Optimization Pack – volitelný doplněk k základní Windows Intune licencí umožňuje přístup k Enterprise nástrojům pro správu klientských počítačů (klientská virtualizace, inventarizace, diagnostika a oprava a další)
Windows Intune je k dispozici kompletně v češtině (jak administrátorská konzole, tak klientská část) a může být použit pro správu klientských počítačů, využívajících OS Windows XP Pro, Windows Vista Business a vyšší či Windows 7 Professional a vyšší.
Protože se jedná o cloudovou službu, která je placena na principu předplatného, je přechod mezi jednotlivými generacemi bezplatný, stávající uživatelé služby budou po uvedení plné verze třetí generace Windows Intune na tuto verzi převedeni automaticky
Toliko ke stávající verzi a nyní se pojďme podívat, co nás čeká nového.
Orientace na uživatele
Pravděpodobně největší novinkou je změna filozofie fungování Windows Intune. První i druhá generace se zaměřovaly čistě na počítače a bylo jim zcela jedno, jací uživatelé na spravovaných počítačích pracují. Správce cílil veškeré úkony na počítače a kromě samotných správcovských účtů se v souvislosti s uživateli nedalo dělat nic.
Tento přístup třetí generace mění. Místo soustředění na zařízení se směruje na uživatele a na zařízení, která tento uživatel používá (o tom, proč už nepoužívám slovo „počítač“, ale „zařízení“, se dočtete o pár odstavců níže). Dochází tak k těsnějšímu provázání s dalšími cloud službami Microsoftu a vylepšuje se možnost fungování těchto služeb a jejich správa. Windows Azure, Windows Intune i Office 365 nyní sdílejí jednotnou platformu pro správu identit, kterou je Windows Azure Active Directory (WAAD). Pokud využíváte Office 365, pak víte, že lze jednak zakládat uživatele přímo ve WAAD, ale že lze rovněž využít Active Directory Federation Services (ADFS) a propojit tak cloudový svět s vaší vlastní doménou Active Directory. Stejný postup budete nyní moci využít i ve Windows Intune.
Nový portál pro správu
Podobnost s Office 365 je ostatně více než zřejmá. Správa předplatného Windows Intune už nebude prováděna odděleně přes MOCP portál, veškeré činnosti a vstupy se nyní sjednocují do jediného Windows Intune portálu, dostupného na adrese https://account.manage.microsoft.com (nyní, v testovací verzi https://account.manage-beta.microsoft.com). Stejným procesem prošla před nějakým časem i služba Office 365, a když se podíváte na úvodní obrazovku, uznáte, že i zde je podobnost s Office 365 více než zřejmá:
Na jednom centrálním místě tedy budete spravovat předplatné, přidávat či odebírat uživatelské licence, dokupovat dodatečné služby typu většího úložiště a podobně. Přímo z portálu můžete rovněž zažádat o technickou podporu, pokud se dostanete do potíží, můžete odsud přistoupit k firemnímu či správcovskému portálu a provádět další věci, například pracovat s uživatelskými účty.
Správa počítačů? Nejenom to.
Jak jsem popsal v předchozích kapitolách, Windows Intune umí pracovat s uživatelskými účty. Ty můžete do služby dostat buďto z vlastní domény pomocí Federation Services (tuto věc bohužel v rámci Beta testování nevyzkoušíte, bude přístupná až s plnou verzí), nebo je můžete vytvářet, spravovat, mazat a přiřazovat jim licence přímo ve Windows Intune portálu. Ve chvíli uvedení do plného provozu si budete moci vybrat libovolné jméno domény, v rámci testování je k dispozici možnost jediná, něco.ccsctp.net.
Kromě možnosti práce s uživateli a počítači ovšem Windows Intune přináší i další možnost, a tou jsou chytrá zařízení typu smartphony, tablety a další zařízení, které je možné spravovat pomocí protokolu Exchange ActiveSync. Hned na začátku je nutno zmínit, že tato možnost už vyžaduje i serverovou infrastrukturu na straně zákazníka. Jmenovitě je potřeba vlastní doména Active Directory a Exchange Server 2010 (případně jejich kombinace v podobě SBS 2011), na němž mají uživatelé své mailboxy, na které se připojují pomocí chytrých telefonů.
Díky Exchange konektoru se Windows Intune dokáže s touto infrastrukturou propojit a prostřednictvím Exchange serveru potom tato zařízení dohledovat, instalovat aplikace, vzdáleně mazat a podobně. Konkrétně jsou podporovány následující mobilní operační systémy:
- Windows Phone 7.0 a vyšší
- iOS 4.0 a vyšší (iPad, iPad 2, iPhony, iTouch)
- Android 2.1 a vyšší
Vzhledem k využití ActiveSync lze potom jednotlivým skupinám zařízení definovat bezpečnostní politiky typu vynucení zamčení zařízení PIN kódem či heslem, vynucení kryptování informací uložených v zařízení, možnost zakázat stahování e-mailových příloh do zařízení a podobně. Bohužel i v tomto případě si na vyzkoušení budeme muset počkat až na ostrý start služby, v rámci Beta testování není možné Exchange konektor použít.
Pod správou Windows Intune samozřejmě i nadále zůstávají klientské počítače, podporované operační systémy jsou stejné jako v předchozí generaci:
- Windows XP Professional SP3 (32bit i 64bit)
- Windows Vista Business/Enterprise/Ultimate (32bit i 64bit)
- Windows 7 Professional/Enterprise/Ultimate (32bit i 64bit)
Inteligentní třídění do skupin
Stávající generace Windows Intune umožňovala správcům třídit spravované počítače do skupin podle jejich logické příslušnosti (typicky podle lokalit, případně podle oddělení ve firmě), ovšem zařazování do skupin, případně přesuny do skupiny jiné, museli provádět správci ručně. Speciálně ve velkých prostředích (Windows Intune bez problémů zvládá i desetitisíce počítačů v jednom předplatném) je však tato činnost vyčerpávající a lidský faktor zde způsoboval chybná přiřazení.
Třetí generace Windows Intune, díky integraci s Active Directory, umožňuje i tvorbu tzv. dynamických skupin, do kterých jsou uživatelé či zařízení přidávání automaticky dle zvolených atributů. Těmito atributy může být u například zařazení do určité bezpečnostní skupiny v rámci Active Directory, reportování vybranému managerovi (opět definováno v AD), a podobně.
Firemní portál
Velkou novinkou je rovněž přítomnost Firemního portálu neboli rozhraní, které je k dispozici všem uživatelům.
Uživatelsky přívětivé rozhraní (z něhož přímo čiší připravenost použití na tabletech s Windows 8) umožňuje uživatelům jednak se podívat na seznam zařízení, ze kterých přistupuje k firemním prostředkům, jednak u těchto zařízení provádět úkony typu vzdálené vymazání v případě ztráty.
Druhou možností je kontaktování firemního IT oddělení, které pak může využít možností vzdáleného přístupu a pomoci uživateli s jeho problémem.
Třetí možností je volitelná instalace software. Abychom si rozuměli: tato možnost nenahrazuje bezobslužnou instalaci aplikací, tak jak ji umí stávající verze Windows Intune. I v nové generaci můžete definovat skupinu počítačů či chytrých telefonů a vybraný software na tato zařízení silou natlačit. V případě firemního portálu jde spíše o volitelný software, který je prověřený, správně nakonfigurovaný a připravený k instalaci. Uživatel, pokud danou aplikaci potřebuje, na ni jednoduše klikne a instalace se následně bezobslužně provede. Vzhledem k tomu, že instalace aplikací můžete cílit nejen na počítače, ale i na tablety, případně chytré telefony, můžete Windows Intune velice efektivně využít pro jednoduchou tvorbu firemního katalogu aplikací, který je k dispozici kdekoliv, kdykoliv a pro jakékoliv zařízení.
Portál je k dispozici ve dvou verzích: klasická desktopová se otevře uživatelům desktopů a notebooků, upravená mobilní je cílena na uživatele mobilních zařízení.
Mimochodem nenechte se odradit anglickou verzí portálu. Lokalizace je v procesu a při uvedení služby na trh by měly být všechny části Windows Intune česky.
Doporučená nastavení bezpečnostních zásad
Windows Intune i ve stávající verzi umožňuje nastavit bezpečnostní politiky, které jsou následně aplikovány na zařízení. Ve stávajících verzích bylo nutné tyto politiky pokaždé znovu definovat od základu, zatímco v nové verzi lze využít výchozí doporučená nastavení, která jsou založená na „best practices“ neboli doporučených nastaveních.
Tuto možnost pravděpodobně uvítají zejména správci v malých a středních firmách, kde se doposud bezpečnostní zásady neřešily vůbec, případně jen sporadicky.
Konec vícenásobného stahování velkých objemů dat
Pojem cloudová služba mimo jiné znamená, že každý počítač, připojený do Windows Intune, se periodicky přes internet k této službě připojuje, zjišťuje nová nastavení bezpečnostních zásad, stahuje antivirové definice, balíčky aktualizací a další. V některých scénářích (například u obchodních cestujících) je tento model výhodou, protože data jsou k dispozici kdekoliv na světě s maximální přenosovou kapacitou.
Pokud se ovšem bavíme o scénáři, kdy máme sto počítačů pod jednou střechou, a jeden každý musí sám za sebe stahovat balíčky aktualizací, je situace poněkud jiná. Windows Intune nemá pro tento scénář žádné předpřipravené řešení typu firemního Proxy serveru, jedinou náhražkovou možností bylo nasazení Proxy server cache, která si po stažení prvním počítačem uložila danou aktualizaci do paměti a při každém dalším požadavku servírovala obsah z lokálního úložiště, tedy podstatně rychleji. Tento postup ovšem má svá úskalí, jednak vyžaduje Proxy server na každé firemní pobočce, jednak je potřeba tyto servery nasadit, nakonfigurovat a udržovat.
Třetí generace Windows Intune posunuje využití dostupné šířky pásma o dva kroky dál. Prvním krokem je možnost definování zásady, která vymezuje čas (například pracovní dobu), během kterého je rychlost stahování Windows Intune dat omezena na určitou hodnotu:
Druhý krok je pro uživatele i správce zcela transparentní, ovšem vyžaduje nasazení OS Windows 7. Pouze Windows 7 Professional a vyšší totiž obsahují tzv. peer distribution platform, neboli jakousi sdílenou cache, kdy si počítače mezi sebou předávají lokálně uložené soubory, které by jinak musely být stahovány pokaždé znovu z internetu. Jde o logické rozšíření výše popsané metody využití Proxy serveru, ovšem bez serveru. Jakmile první klient stáhne například požadovanou aktualizaci, ostatní klienti v rámci stejného síťového subnetu jsou schopni si tuto aktualizaci stáhnout přímo od prvního klienta, bez nutnosti stahovat z původního internetového umístění.
Lepší přizpůsobitelnost alertů
Již první verze Windows Intune umožňovala alerty neboli generování výstrah na základě určitých podnětů. Pokud například na klientském počítači kleslo volné místo na pevném disku pod deset procent, byl generován alert a administrátor obdržel informaci o docházejícím místu u daného klienta. Alerty bylo možné povolovat či zakazovat, už jste však nemohli přizpůsobit jejich parametry. Pokud zůstaneme u příkladu pevného disku: pokud měl klient dvouterabajtový disk, deset procent volného místa znamená 200 GB, což je pořád dost a není třeba generovat alert. Druhá generace Windows Intune umožnila měnit i tyto parametry (a změnit tak hodnotu třeba na pět procent) a dokonce povolovala nastavit varování až ve chvíli, kdy se daný alert objevil na určitém počtu (v kusech) či procentu (v celkovém objemu) spravovaných počítačů.
Třetí generace jde o další krůček dál a kromě výše zmíněných parametrů umožňuje i změnit závažnost daného alertu.
Problém s docházejícím místem už se tak nemusí jevit jako chyba kritická, ale pouze varovná a podobně.
Automatické odebrání klientského software Windows Intune
Do Windows Intune přidáte počítač tak, že si stáhnete klientský software, ten nainstalujete na daný počítač a vše další probíhá automaticky. Klient se stará o antimalwarovou ochranu, instalaci aktualizací a softwaru, monitoruje a shromažďuje data. Pokud ovšem počítač odeberete z Windows Intune prostředí (například proto, že ho vyřazujete, případně přesunujete jinam), účet počítače je sice odebrán z Windows Intune databáze, ovšem klientský software běží vesele dál. Je nutné na počítači ručně, ve správném pořadí odinstalovat všechny Windows Intune komponenty, což není zrovna jednoduchý a uživatelsky přívětivý úkon. Jsou sice k dispozici odinstalační skripty, které celý proces značně ulehčují, ovšem i tyto skripty je nutné spouštět ručně.
Toto vše je odbouráno ve třetí verzi Windows Intune. Pokud počítač odeberete ve správcovské konzoli, dojde k automatické odinstalaci všech Windows Intune komponent z daného PC, bez nutnosti manuálního zásahu.
Závěrem
Ač je testovací verze třetí generace služby Windows Intune funkčně omezená a neumožňuje vyzkoušet kombinaci cloud služby s vlastním prostředím (není možné propojit Windows Intune a vlastní Active Directory, případně Exchange server), i tak jasně demonstruje velký posun, který nás s touto verzí čeká. Windows Intune se díky orientaci na uživatele, možnosti správy počítačů i chytrých telefonů (včetně aplikace software na tato zařízení), integraci uživatelského samoobslužného portálu a dalším vylepšením stále více profiluje coby plnohodnotná cloudová náhrada klasického řešení pro správu, postaveného na produktech rodiny System Center. Stejně jako i v dalších případech (Exchange, Lync, SharePoint vs. Office 365, SQL vs. SQL Azure) tak Microsoft nabízí kromě on-premise produktů i cloudovou alternativu, pokrývající správu a dohled nad uživateli a jejich zařízeními, včetně samoobslužné správy a instalace aplikací.
Pokud vás třetí generace služby Windows Intune zaujala, nic vám nebrání využít třicetidenní zkušební verzi, která je limitovaná na maximální počet 10 počítačů. Odkaz na aktivaci zkušební verze, stejně jako další informace o Windows Intune, získáte na českém TechNetu, případně na produktových stránkách věnovaných Windows Intune.
Autor: Tomáš Kantůrek, Microsoft
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.