ГлавнаяSoftwareПрограммное обеспечениеWindows Intune — унифицированная инфраструктура, интегрированное управление и повышенная безопасность

Windows Intune — унифицированная инфраструктура, интегрированное управление и повышенная безопасность

Microsoft последовательно переводит в «облако» свои наиболее важные и популярные продукты. Читатели InfoCity уже имели возможность познакомиться с одним из таких сервисов, как Office 365, который позволяет компаниям любых размеров быстро и без больших начальных вложений воспользоваться возможностями серьезных корпоративных продуктов, а также Microsoft Exchange, Lync и SharePoint. Сегодняшний пример из несколько иной области. Windows Intune представляет собой готовое решение по защите и управлению ПК, многие функции которого известны специалистам по продуктам из состава System Center. С его помощью администраторы получают возможность идентифицировать все конечные устройства: ПК с установленными версиями Windows Профессиональная и Корпоративная, планшеты Windows RT и iPad, смартфоны Windows Phone, телефоны iPhone и встраиваемые устройства. Windows Intune избавляет вас от необходимости планировать, приобретать и обслуживать оборудование, снижает нагрузку на IТ-отдел благодаря набору отобранных приложений, которые можно загрузить с портала самообслуживания.

Windows Intune 3Основные характеристики Intune проистекают из ее облачного характера. Служба представляет собой готовое решение (то есть не требует развертывания и обслуживания), автоматически масштабируется, оплачивается в форме подписки. Стандартная цена в 11 долларов за один обслуживаемый ПК в месяц, кроме собственно возможности централизованного управления, включает лицензию на антивирус Windows Intune Endpoint Protection, а также право на модернизацию имеющихся операционных систем до Windows 8.1 Enterprise Edition и даже (в течение действия подписки) до будущих версий. По заказу Microsoft компания IDC оценила экономический эффект от использования Intune. Источники экономии достаточно очевидны: сокращение трудозатрат IТ-персонала, исключение потребности в ряде дополнительных инструментов, повышение продуктивности конечных пользователей (за счет предупреждения сбоев и простоев ПК).

Соответственно, есть два основных сценария применения Intune:

— в крупных организациях с развитой инфраструктурой служба может использоваться наравне с другими средствами для управления компьютерами мобильных и надомных сотрудников. Обеспечить поддержку нескольких устройств с помощью Windows Intune, включая платформы Windows RT, Windows Phone 8, iOS и Android, без добавления инфраструктуры.
— малому и среднему бизнесу Intune позволяет быстро и без больших затрат перейти к использованию современных методов обслуживания и поддержки ПК, унифицировать программную среду, обеспечить централизованную защиту.
Хочется также отметить, что на территории Азербайджана Intune стал доступен с прошлого года. Более того, возможно и ее бесплатное тестирование в течение 30-дней. Сделать это довольно просто — достаточно всего лишь завести учетную запись Microsoft Account.

Итак, подписавшись на тестирование Intune с помощью MicrosoftAccount, вы через некоторое время получите письмо с приглашением (на языке выбранной страны) в свой раздел службы (впрочем, попасть туда можно и напрямую, по адресу manage.microsoft.com). Для работы с web-консолью потребуется браузер с поддержкой Silverlight. Владелец службы автоматически становится ее администратором, он также может делегировать права управления (или разрешить только доступ к консоли, но не внесение изменений) другим Microsoft Account.

Windows Intune 1Настройка и подключение ПК выполняются также несложно. Слева в web-консоли имеется список разделов. Последний из них — «Администрирование». Здесь находится ссылка на клиентское ПО, которое комплектуется специальным сертификатом, осуществляющим привязку к вашей учетной записи в Intune. Его доставку на конкретные компьютеры можно выполнить любым доступным способом — в общем случае от управляемых ПК не требуется ни вхождения в домен, ни даже подключения к локальной сети. Сразу после установки клиентское ПО обратится к Intune за обновлениями и дополнительными программными агентами. Загрузка необходимых модулей может занять некоторое время. Параллельно выполняется первичный сбор информации, и вносятся необходимые коррективы в локальную конфигурацию (например, Windows Update перенаправляется на Intune). В конечном итоге, на управляемом ПК появляются несколько фоновых агентов для поддержки соответствующих функциональных возможностей Intune, антивирус Windows Intune Endpoint Protection (по сути, аналог Windows Security Essentials) и служебная программа Windows Intune Center. Изначально все ПК помещаются в категорию «Неназначенные компьютеры», после чего их можно объединять в группы для более простого управления.

Интерфейс административной консоли Intune достаточно прозрачен. Слева находится список разделов, при заходе в каждый из которых появляется панель с подразделами: стандартный «Обзор» представляет краткую информационную сводку и обеспечивает доступ к основным задачам, а остальные отображают списки соответствующих объектов. Общее управление функционированием Intune осуществляется в разделе «Администрирование».

Всего в Intune можно выделить шесть основных функциональных блоков, каждый из которых представлен собственным информационным разделом. Некоторые из них не являются независимыми, к примеру, политики используются для управления обновлениями и антивирусной защитой, но в целом деление выглядит логичным и удобным.

Обновления. Этот блок наверняка покажется знакомым многим практикующим администраторам. Действительно, он фактически полностью дублирует возможности WSUS. Похожим образом осуществляется и управление процессом обновления: можно выбирать категории и конкретные продукты Microsoft, типы «заплаток», формировать правила их автоматического утверждения, централизованно контролировать состояние программной среды на управляемых компьютерах. Все это делается в соответствующем подразделе раздела «Администрирование».

Как уже упоминалось, подписка на Intune включает в себя лицензии на антивирусную поддержку Endpoint Protection. Клиентское ПО должно быть предварительно развернуто — оно устанавливается вместе с агентами собственно Intune, в дальнейшем обновление осуществляется стандартно через Windows Update. Интерфейс Intune позволяет контролировать состояние защиты на управляемых компьютерах, централизованно назначать проверки и конфигурировать привычные параметры — это выполняется в разделе «Политика». Как только политики вступают в силу, изменять настройки Intune Endpoint Protection локально становится невозможно. В итоге мы имеем типичный корпоративный антивирус.

Оповещения. Функционирование ПК зависит не только от обновления операционной системы и основных приложений, но также от множества других факторов. Поэтому Intune поддерживает механизм оповещения о различных событиях, происходящих на управляемых компьютерах. Похожую функциональность обеспечивает Microsoft System Center Operations Manager. Всего таких оповещений насчитывается порядка 200: о сбоях в работе различных системных служб и приложений, о критическом заполнении дисков, высокой загрузке процессора и пр. Они поделены на несколько очевидных категорий и могут включаться/отключаться как индивидуально, так и группами. Некоторые допускают настройку соответствующих параметров, в том числе можно реагировать не на одиночные, а на повторяющиеся явления. Оповещения не только фиксируются в системе, но и могут пересылаться одному или нескольким администраторам, например, каждый может отвечать за определенную категорию событий (все это, естественно, настраивается). Администратор также имеет возможности предложить пользователю установить сеанс дистанционной помощи.

Инвентаризация. Соответствующий блок включает инструменты для инвентаризации программного обеспечения на клиентских ПК и централизованного развертывания приложений. Функция инвентаризации достаточно очевидна: клиентские агенты собирают информацию об установленном ПО, извлекают, насколько это возможно, информацию о нем и передают в службу, где все данные систематизируются и представляются администратору. По мере унификации процедур установки ПО в Windows, собранная таким образом информация становится все более полной и адекватной.

Windows Intune 2Функция удаленного развертывания ПО позволяет унифицировать программную среду управляемых компьютеров с помощью on-line библиотеки. Для этих целей выделяется 20 Gb облачного пространства, которое при необходимости можно расширить (заполнение библиотеки контролируется в интерфейсе Intune). Инсталляционные пакеты для дистанционного развертывания требуют подготовки, упростить которую призван еще один специальный мастер: в частности, необходимо указать целевые платформы, а при необходимости — дополнительные параметры командной строки и признаки присутствия данного ПО в системе (это могут быть программные идентификаторы, конкретные файлы или записи в реестре). Дополнительную степень свободы при централизованном управлении ПО может обеспечить технология виртуализации приложений (точнее, среды их исполнения) App-V из состава MDOP.

Лицензии. Инвентаризация ПО позволяет не только унифицировать программную среду управляемых ПК, но и корректно учитывать использование лицензий. В полной мере эта функциональность предоставляется только для приложений самой Microsoft. В этом случае удается корректно различать и автоматически учитывать как персональные, так и корпоративные (пакетные) лицензии. В остальных случаях их придется описывать и контролировать фактически вручную (просто по количеству инсталляций), но, тем не менее, значительную часть черновой работы Intune берет на себя.

Политика. Политики Intune представляют собой средство управления функционированием самой системы, в частности, клиентскими агентами и антивирусами. Их не следует путать со стандартными групповыми политиками, которые они ни в коем случае не подменяют. Тем не менее, некоторые параметры все-таки могут пересекаться, например, те, что управляют работой Windows Firewall. И в этом случае приоритет отдается именно групповым политикам. В остальном все достаточно стандартно: политики создаются на основе предопределенных шаблонов, в которых визуализируются и изменяются все актуальные параметры. На управляемые ПК политики загружаются при очередном этапе проверки обновлений, применить их принудительно невозможно. Период проверки можно регулировать.

В Intune имеется еще целый ряд вспомогательных инструментов, список которых постоянно расширяется. Кроме инвентаризации ПО также выполняется инвентаризация аппаратного обеспечения, имеется возможность строить различные отчеты (для чего предназначен соответствующий раздел консоли) и т.д. Впрочем, один дополнительный инструмент заслуживает подробного рассмотрения.

Удаленная помощь. На каждый управляемый ПК устанавливается программа Windows Intune Center, в которой присутствует инструмент Microsoft Easy Assist. С его помощью пользователь может отправить администратору запрос на организацию сеанса удаленной помощи. Такие заявки фиксируется в Intune в качестве оповещений специального типа — администратор всегда о них уведомляется, после чего может принять их и тут же установить сеанс.

Итак, Intune представляет собой подборку наиболее востребованных функций из продуктов семейства System Center (и некоторых других), которые могут применяться к ПК вне (и даже вовсе без) какой бы то ни было инфраструктуры. Средой в этом случае выступает интернет (естественно, все коммуникации шифруются), который позволяет добраться до любого компьютера, практически независимо от его местонахождения. В этом как раз и заключается одно из преимуществ облачного подхода.

Intune, конечно, нельзя напрямую сравнивать с System Center. Однако, эта служба прежде всего ориентирована на нужды небольших компаний, для которых полный спектр возможностей System Center явно избыточен. Более подробную информацию о Windows Intune можно получить по адресу www.microsoft.com/intune.

При подготовке статьи были использованы материалы из следующего источника: www.microsoft.com/ru-ru/server-cloud/products/windows-intune/default.aspx#fbid=w5cphrnZkED

Гачай Мирзаев, технологический консультант партнеров, Microsoft Azerbaijan, gmirzay@microsoft.com

Nintendo планирует выпустить новую бюджетную консоль
VMware - визионер на рынке сетей ЦОД, согласно Gartner
Оформление подписки
Оформить подписку на журнал InfoCity вы можете заполнив приведенную
ниже форму. Стоимость одного выпуска — 2 маната.
Ваше имя
Адрес доставки журнала и номер телефона для контактов
Число месяцев подписки
Благодарим вас за подписку!