Microsoft Windows Intune

Pre každého zodpovedného IT správcu je bezpečnosť firemného prostredia jednou z hlavných priorít. Neoddeliteľnou súčasťou bezpečnostnej politiky je starostlivosť o klientske stanice, a to najmä z pohľadu aplikácie opravných balíčkov, brány firewall, antivírusového a antimalwarového riešenia a sledovanie inštalovaných aplikácií, ktoré môžu predstavovať bezpečnostné riziko.


Nielen tieto, ale aj ďalšie oblasti správy a zabezpečenia klientskych počítačov pokrýva nová cloudová služba Microsoftu, Windows Intune.

Cloud ako centrálny bod

Cloudové služby z pohľadu IT správcu bývajú zahalené oblakom tajomna, pretože nie je ľahké pochopiť niečo, čo nemáte pod vlastnou správou. Služby bežia "niekde" na "niečom" a pre ich nasadenie je potrebné prepisovať aplikácie a podobne. Windows Intune je cloud službou, ktorá je naopak pochopiteľná veľmi dobre, pretože pokrýva rovnakú oblasť, akou každý zodpovedný IT správca pokrýva už teraz.

Predstavte si situáciu v stredne veľkej firme, kde správu aktualizácií má na starosti WSUS, antivíry sú tiež pod kontrolou za pomoci centrálneho servera a tiež je tu riešenie pre manažment pracovných staníc (sledovanie zdravia počítačov, pády aplikácií atď), tiež umiestnené na treťom servery.

Ak tieto servery odstránite a umiestnite ich do datacentra Microsoftu, dostanete Windows Intune. Bez starostí o serverový hardvér, bez nutnosti inštalovať, konfigurovať, aktualizovať a celkovo sa o tieto servery starať. Toto všetko za vás vyrieši Microsoft s garantovanou dostupnosťou 99,9%. Na vás zostáva (rovnako ako v prípade fyzických serverov) prepojenie klientskych staníc inštaláciou Intune agenta, správa aktualizácií, sledovanie antivírusu a varovných hlásení z pracovných staníc. To všetko je doplnené hardvérovými a softvérovými inventarizáciami, reportingom a správou licencií.

Vzhľadom na umiestnenie Windows Intune služby v cloude máte pod správou aj počítače, ktoré sa momentálne nenachádzajú vo vašej firemnej sieti. Možno tak dohľadovať aj počítače, ktoré sú dlhodobo mimo dosahu štandardných nástrojov pre správu.

Celé prostredie je ovládané pomocou centrálnej webovej konzoly postavené na Silverlighte, kde vykonávate všetky úkony spojené s nastavením a správou.
 
 
Obrázok 1: Centrálna konzola Windows Intune

Webová konzola je pre správcu jediným potrebným nástrojom, nie je teda potrebné inštalovať špecifickú aplikáciu na vlastný počítač. Windows Intune tak možno spravovať odkiaľkoľvek.

Ak ponúkate dohľad nad klientskymi počítačmi iným firmám, poteší vás fakt, že Windows Intune umožňuje pomocou dashboard sledovať viac firiem súčasne. Získate tak okamžitý prehľad o tom, ktoré firemné prostredie je v poriadku a v ktorom je potreba váš zásah.
 
 
Obrázok 2: Dashboard pri správe viacerých účtov
 

Podporované operačné systémy

Podporované sú tieto operačné systémy:

  • Windows XP Professional SP3 (32bit aj 64bit)
  • Windows Vista Business / Enterprise / Ultimate (32bit i 64bit)
  • Windows 7 Professional / Enterprise / Ultimate (32bit aj 64bit)


Obrázok 3: Windows Intune agent na klientskom počítači

Súčasťou Windows Intune agenta je aj antivírusové a antimalwarové riešenie založené na Microsoft Malware Protection Engine, využité aj v produktoch Forefront Endpoint Protection a Microsoft Security Essentials.

Pokiaľ sa jedná o počítač bez antivírusu, antimalwarová časť je nainštalovaná a okamžite chráni počítač. Distribúcia vírusových definícií prebieha automaticky, opäť pomocou Microsoft Update.
 
 
Obrázok 4: Intune Endpoint Protection na klientskom počítači

Vzdialená pomoc

Windows Intune agent pomáha aj vo chvíli, keď užívateľ potrebuje pomôcť s konkrétnym problémom a vyžiada si pomoc IT správcu. Súčasťou agenta je aj Microsoft Easy Assist. Vo chvíli, keď užívateľ prostredníctvom Easy Assist požiada o pomoc, objaví sa jednak hlásenie pre správcu v Management konzole (toto hlásenie možno tiež posielať e-mailom), jednak sa z klienta nadviaže spojenie na Microsoft Live Meeting service.

Užívateľ potom môže IT správcovi nazdieľať celú pracovnú plochu, prípadne iba jednu aplikáciu. Užívateľ a správca môžu tiež chatovať, vymieňať si súbory, a ak je potreba, do rovnakej relácie sa môže pripojiť aj ďalší IT správca (napríklad v prípade, že je potreba jeho vedomostí s riešením špecifického problému).
 

Bezpečnostné politiky

Bezpečnostné politiky - Windows Intune obsahuje pripravenú šablónu bezpečnostnej politiky, ktorú možno ďalej upravovať podľa potrieb a následne aplikovať na skupinu počítačov, prípadne na celú organizáciu.

K dispozícii sú tri šablóny:
  • Windows Intune Agent: nastavuje inštalácie aktualizácií a správanie Antimalware. Pri aktualizáciách možno definovať, ako často sa kontrolujú aktualizácie, kedy prebieha inštalácia, či a na ako dlho si môže užívateľ odložiť prípadný reštart. Antimalware umožňuje nastaviť, či je Endpoint Protection aktívny, či je aktívny real-time ochrana, kedy a za akých podmienok sa spustí rýchly, prípadne úplný test počítača a ďalšie parametre.
  • Windows Intune Center: môžete definovať kontaktné informácie, ktoré sa užívateľovi zobrazia pri žiadosti o vzdialenú pomoc.
  • Windows firewall - Windows Intune nemá vlastné firewall riešenie, využíva systémový firewall, ktorého správanie možno pomocou politiky nastaviť. V závislosti na sieťovom profile (domáca sieť, pracovná sieť, verejná sieť) možno firewall zapnúť, blokovať všetky prichádzajúce spojenia, varovať užívateľov pri pokuse aplikácie o prístup k sieti a spravovať povolené výnimky.

Inventúry, reporting, licencovanie

Windows Intune zhromažďuje kompletné informácie o hardware počítačov a pomocou Microsoft Asset Inventory Service sleduje aj inštalovaný softvér (rovnaký prehľad ako v Ovládacom paneli). Tieto údaje potom môžete sledovať jednotlivo po počítačoch, alebo si ich zobrazíte hromadne nad skupinou počítačov, prípadne nad celou firmou.

Zo všetkých údajov (nielen hw a sw inventúry, ale aj stav aktualizácií, antimalware, alertov atď) sa dajú jednoducho vyrobiť reporty. Buď sa použije preddefinovaná šablóna, alebo možno priamo v aktuálnom okne management konzoly použiť tlačidlo Export List, ktoré ponúkne vytvorenie reportu vo formáte .csv alebo html.

Ak používate niektorý z Volume licenčných programov, môžete informácie o licenciách zahrnúť do Windows Intune a následne jednoducho porovnať stav licencií so skutočným počtom reálnych inštalácií. Pre zahrnutie licenčných informácií potrebujete len poznať Agreement Number a Customer Number, samotné informácie o produktoch a počte licencií si Windows Intune automaticky stiahne z Microsoft Volume Licensing služby.
 
 
Obrázok 5: Zadanie Volume Licensing Agreement

Monitoring stavu počítačov

Súčasťou Windows Intune je aj monitorovanie stavu klientskych počítačov pomocou alertov. Tieto alerty sledujú špecifické udalosti na klientskych počítačoch a ak nastane daná udalosť, je vygenerované hlásenie viditeľné v Intune management konzole.

V rámci Intune je k dispozícii 380 alertov, však okrem povolenia alebo zakázania daného Alertu nemožno meniť žiadne nastavenia či pridávať nové alerty. Pre potreby detailnejšieho monitoringu je potom nutné využiť nástroje rodiny System Center.

Jednotlivé alerty sú klasifikované ako kritické, výstražné či informatívne. Môžete si nastaviť zasielanie informácií mailom na jedného alebo viacerých IT správcov. Zvláštnu skupinu tvoria žiadosti o vzdialenú pomoc, ktorú možno nastaviť separátne a získať tak okamžite informácie o žiadosti.
 

Upgrade licencie na Windows 7 Enterprise

Windows Intune Agent môže byť inštalovaný na Windows XP Professional SP3, Windows Vista Business a vyššie, či Windows 7 Professional a vyššie (ako 32bit tak 64bit edície). Obrovskou výhodou Windows Intune je ale fakt, že každý počítač s licenciou Windows Intune má licenčné právo na upgrade na Windows 7 Enterprise. Týmto je možné veľmi jednoducho, bez vysokých finančných nárokov, zjednotiť celé firemné prostredie na najnovšiu verziu Windows 7 operačného systému, a využiť tak ďalšie benefity týkajúce sa bezpečnosti a užívateľského komfortu: intuitívne užívateľské rozhranie, pokročilé vyhľadávanie, šifrovanie BitLocker a ďalšie.

V rámci Windows Intune môžete v prípade potreby využiť aj právo na downgrade a zjednotiť svoje firemné počítače na nižšiu verziu podporovaného operačného systému.
 

Microsoft Desktop Optimization Pack

Voliteľnou súčasťou Windows Intune je Microsoft Desktop Optimization Pack (MDOP), ktorý ďalej rozširuje možnosti správy klientskych staníc pomocou nasledujúcich nástrojov:

  • Diagnostics and Recovery Toolset (DART) - umožňuje efektívnu a rýchlu diagnostiku a obnovu poškodených inštalácií klientskych operačných systémov. Umožňuje vytvoriť bootovateľné DVD s diagnostickými a opravnými nástrojmi, ktoré dokážu obnoviť aj PC inštaláciu poškodenú natoľko, že nedokáže naštartovať operačný systém.
  • Advanced Group Policy Management (AGMP) - nadstavba nad Group Policy v rámci Active Directory. Umožňuje delegovať úlohy nad jednotlivými politikami, verziovanie, návrat k predchádzajúcemu stavu a off-line editácia Group Policy
  • Microsoft Application Virtualization - firemné aplikácie je možné nasadiť centrálne v rámci virtuálneho prostredia a odtiaľ ich poskytovať užívateľom. Podstatne sa tým uľahčuje riadenie, dohľad a prechod na nové verzie aplikácií.
  • Microsoft Enterprise Desktop Virtualization - riešenie pre staršie aplikácie, nekompatibilné s novým operačným systémom. Umožňuje spúšťať starší operačný systém vrátane danej aplikácie v rámci virtuálneho prostredia.
  • Microsoft System Center Desktop Error Monitoring - ak používate riešenie System Center pre dohľad nad svojimi servermi, SCDEM rozširuje možnosti dohľadu aj na klientske stanice

Microsoft Desktop Optimization Pack ďalej prechádza inováciami, pri vydaní novej verzie MDOP majú užívatelia Windows Intune automaticky nárok na najnovšiu verziu.