Windows intune что это
Windows Intune: «облака» на службе сисадмина
Microsoft последовательно переводит в «облако» свои наиболее важные и популярные продукты. Читатели iXBT.com уже имели возможность познакомиться с одним из таких сервисов — Office 365, который позволяет компаниям любых размеров быстро и без больших начальных вложений воспользоваться возможностями серьезных корпоративных продуктов, таких как Exchange, Lync, SharePoint. Сегодняшний пример — из несколько иной области. Windows Intune представляет собой готовое решение по защите и управлению ПК (естественно, только под управлением Windows), многие функции которого известны специалистам по продуктам из состава System Center.
Intune была запущена Microsoft весной 2011 г., а спустя полгода уже обновилась до версии 2.0. Впрочем, в «облаке» всякая нумерация достаточно условна, ведь веб-приложения могут изменяться на лету — в этом как раз заключается одно из их преимуществ. Тем не менее, обновление свидетельствует в пользу серьезного отношения со стороны Microsoft.
Общее представление
Основные характеристики Intune проистекают из ее облачного характера. Служба представляет собой готовое решение (т. е. не требует развертывания и обслуживания), автоматически масштабируется, оплачивается в форме подписки. Стандартная цена в 11 долларов за один обслуживаемый ПК в месяц кроме собственно возможности централизованного управления включает лицензию на антивирус Windows Intune Endpoint Protection, а также право на модернизацию имеющихся ОС до Windows 7 Enterprise Edition и даже (в течение действия подписки) до будущих версий. По заказу Microsoft компания IDC оценила экономический эффект от использования Intune — конкретные цифры не так важны, поскольку они базируются на западных реалиях, но источники экономии достаточно очевидны: сокращение трудозатрат ИТ-персонала, исключение потребности в ряде дополнительных инструментов, повышение продуктивности конечных пользователей (за счет предупреждения сбоев и простоев ПК).
Второй сценарий кажется наиболее оправданным, тем более что цены на Intune достаточно гуманны даже по нашим меркам. К сожалению, на момент написания статьи на территории СНГ Intune была недоступна. Более того, даже ее тестирование в наших странах формально невозможно, хотя обойти это ограничение довольно просто — достаточно всего лишь завести учетную запись Windows Live, указав «правильную» страну. Вряд ли здесь стоит усматривать какой-то злой умысел, скорее всего дело в необходимости согласования юридических деталей (как было и в случае с Office 365). Во всяком случае, интерфейс Intune и значительная часть документации уже переведены на русский язык.
Приступая к работе
Итак, подписавшись на тестирование Intune с помощью «специального» Live ID, вы через некоторое время получите письмо с приглашением (на языке выбранной страны) в свой раздел службы — впрочем, попасть туда можно и напрямую, по адресу manage.microsoft.com. Для работы с веб-консолью потребуется браузер с поддержкой Silverlight и немного терпения, пока загрузятся локальные компоненты приложения. Владелец службы автоматически становится ее администратором, он также может делегировать права управления (или разрешить только доступ к консоли, но не внесение изменений) другим Live ID.
Настройка и подключение ПК (в режиме тестирования — не более 25) выполняются также несложно. Слева в веб-консоли имеется список разделов, последний из них — Администрирование. Здесь находится ссылка на клиентское ПО, которое комплектуется специальным сертификатом, осуществляющим привязку к вашей учетной записи в Intune. Его доставку на конкретные компьютеры можно выполнить любым доступным способом — в общем случае от управляемых ПК не требуется ни вхождения в домен, ни даже подключения к локальной сети. Сразу после установки клиентское ПО обратится к Intune за обновлениями и дополнительными программными агентами. Загрузка необходимых модулей может занять некоторое время, но, как правило, в течение получаса управляемый компьютер появляется в соответствующем списке в консоли Intune (раздел Компьютеры). Параллельно выполняется первичный сбор информации и вносятся необходимые коррективы в локальную конфигурацию (например, Windows Update перенаправляется на Intune). В конечном итоге, на управляемом ПК появляются несколько фоновых агентов для поддержки соответствующих функциональных возможностей Intune, антивирус Windows Intune Endpoint Protection (про сути, аналог Windows Security Essentials) и служебная программа Windows Intune Center. Изначально все ПК помещаются в категорию «Неназначенные компьютеры», затем их можно объединять в группы для более простого управления.
Интерфейс административной консоли Intune достаточно прозрачен. Слева находится список разделов, при заходе в каждый появляется панель с подразделами: стандартный Обзор представляет краткую информационную сводку и обеспечивает доступ к основным задачам, остальные отображают списки соответствующих объектов. Применение Silverlight сделало веб-консоль практически неотличимой от обычного приложения: используются контекстные меню, можно корректировать табличное представление данных и т. д. Общее управление функционированием Intune осуществляется в разделе Администрирование.
Основные возможности
Всего в Intune можно выделить шесть основных функциональных блоков, каждый из которых представлен собственным информационным разделом. Некоторые из них не являются независимыми — к примеру, политики используются для управления обновлениями и антивирусной защитой, — но в целом деление выглядит логичным и удобным.
Обновления
Этот блок наверняка покажется знакомым многим практикующим администраторам. Действительно, он фактически полностью дублирует возможности WSUS, с той лишь разницей, что локальное хранилище обновлений по понятным причинам не предусмотрено. Похожим образом осуществляется и управление процессом обновления: можно выбирать категории и конкретные продукты Microsoft, типы заплаток, формировать правила их автоматического утверждения, централизованно контролировать состояние программной среды на управляемых компьютерах. Все это делается в соответствующем подразделе раздела Администрирование.
Также имеется возможность обновления стороннего ПО. Для этого администратор с помощью специального мастера должен сформировать программный пакет и загрузить его в хранилище Intune. Для EXE-модулей этот процесс может оказаться достаточно трудоемким, так как нужно четко описать принципы проверки наличия ПО, его версии и пр., а для MSI и MSP — все гораздо проще, так как часть нужной информации зашита прямо в сами модули. В любом случае надо иметь в виду, что обновления устанавливаются только в «тихом» (не интерактивном) режиме, то есть необходимо сразу указывать все ключи, опции и пр.
Endpoint Protection
Как уже упоминалось, подписка на Intune включает в себя лицензии на антивирусную поддержку Endpoint Protection. В данном случае она носит имя Intune, а не Forefront, но понятно, что это то же самое решение. Клиентское ПО должно быть предварительно развернуто — оно устанавливается вместе с агентами собственно Intune, в дальнейшем обновление осуществляется стандартно через Windows Update. Интерфейс Intune позволяет контролировать состояние защиты на управляемых компьютерах, централизованно назначать проверки и конфигурировать привычные параметры — это выполняется в разделе Политика. Как только политики вступают в силу, изменять настройки Intune Endpoint Protection локально становится невозможно. В итоге имеем более-менее типичный корпоративный антивирус.
Оповещения
Функционирование ПК зависит не только от обновления ОС и основных приложений, но также от множества других факторов, поэтому Intune поддерживает механизм оповещения о различных событиях, происходящих на управляемых компьютерах — похожую функциональность обеспечивает Microsoft SCOM. Всего таких оповещений насчитывается порядка двухсот: о сбоях в работе различных системных служб и приложений (только самой Microsoft), о критическом заполнении дисков, высокой загрузке процессора и пр. — они поделены на несколько очевидных категорий и могут включаться/отключаться как индивидуально, так и группами. Некоторые допускают настройку соответствующих параметров, в том числе можно реагировать не на одиночные, а на повторяющиеся явления. Оповещения не только фиксируются в системе, но и могут пересылаться одному или нескольким администраторам — к примеру, каждый может отвечать за определенную категорию событий (всё это, естественно, настраивается). Правда, выбор последующих действий не слишком широк: в Intune 2.0 появилась поддержка некоторых удаленных задач (обновление антивируса, выполнение проверки, перезагрузка ПК), но, к примеру, даже заметив приближение проблемы, администратор не имеет явной возможности предложить пользователю установить сеанс дистанционной помощи (подробнее ниже).
Программное обеспечение
Соответствующий блок включает инструменты для инвентаризации ПО на клиентских ПК и централизованного развертывания приложений. Функция инвентаризации достаточно очевидна — клиентские агенты собирают информацию об установленном ПО, извлекают, насколько это возможно, информацию о нем и передают в службу, где все данные систематизируются и представляются администратору. По мере унификации процедур установки ПО в Windows собранная таким образом информация становится все более полной и адекватной. В большинстве случаев совершенно корректно определяется название, издатель, номер версии и т. д. Исключением является, конечно, лицензия (см. ниже), так как все разработчики применяют собственные методы ее привязки к конкретному экземпляру.
Функция удаленного развертывания ПО позволяет унифицировать программную среду управляемых компьютеров с помощью онлайновой библиотеки. На тестовый период для этих целей выделяется 2 ГБ в облачном хранилище Microsoft; при оформлении подписки — 20 ГБ, и при необходимости можно приобрести дополнительное пространство (заполнение библиотеки контролируется в интерфейсе Intune). Инсталляционные пакеты для дистанционного развертывания требуют подготовки, упростить которую призван еще один специальный мастер: в частности, необходимо указать целевые платформы, а при необходимости — дополнительные параметры командной строки и признаки присутствия данного ПО в системе (это могут быть программные идентификаторы, конкретные файлы или записи в реестре). Развертываться такие пакеты могут исключительно по расписанию, и к сожалению, нет возможности делегировать конечным пользователям право их загрузки из библиотеки по требованию. Дополнительную степень свободы при централизованном управлении ПО может обеспечить технология виртуализации приложений (точнее, среды их исполнения) App-V из состава MDOP. Хотя изначально данный пакет ориентирован на корпоративных лицензиатов Microsoft, он также доступен подписчикам Intune, причем по очень умеренной цене — дополнительный доллар на рабочее место.
Лицензии
Инвентаризация ПО позволяет не только унифицировать программную среду управляемых ПК, но и корректно учитывать использование лицензий. К сожалению, в полной мере эта функциональность предоставляется только для приложений самой Microsoft — в этом случае удается корректно различать и автоматически учитывать как персональные, так и корпоративные (пакетные) лицензии. В остальных случаях их придется описывать и контролировать фактически вручную (просто по количеству инсталляций), но, тем не менее, значительную часть черновой работы Intune все-таки берет на себя. В целом этот блок функциональности сильно напоминает другую службу Microsoft — Asset Inventory Service, которая предлагается в составе MDOP и может использоваться независимо.
Политика
Политики Intune представляют собой средство управления функционированием самой системы — в частности, клиентскими агентами и антивирусами. Их не следует путать со стандартными групповыми политиками, которые они ни в коем случае не подменяют. Тем не менее, некоторые параметры все-таки могут пересекаются — в частности, те, что управляют работой Windows Firewall, — и в этом случае приоритет отдается именно групповым политикам. В остальном все достаточно стандартно, политики создаются на основе немногочисленных предопределенных шаблонов, в которых визуализируются и изменяются все актуальные параметры.
На управляемые ПК политики загружаются при очередном этапе проверки обновлений, применить их принудительно невозможно. Период проверки можно регулировать, но допустимое минимальное значение составляет 8 часов. Вероятно, это сделано с целью ограничения трафика Intune.
Дополнительно
В Intune имеется еще целый ряд вспомогательных инструментов, список которых постоянно расширяется. Так, в версии 2.0 появились дистанционные задачи: антивирусные проверки, обновление баз с сигнатурами, перезагрузка. Кроме инвентаризации ПО также выполняется инвентаризация аппаратного обеспечения, имеется возможность строить различные отчеты (для чего предназначен соответствующий раздел консоли) и т. д. Впрочем, один дополнительный инструмент заслуживает подробного рассмотрения.
Удаленная помощь
На каждый управляемый ПК устанавливается программа Windows Intune Center, в которой присутствует инструмент Microsoft Easy Assist. С его помощью пользователь может отправить администратору запрос на организацию сеанса удаленной помощи. Такие заявки фиксируется в Intune в качестве оповещений специального типа — администратор всегда о них уведомляется, после чего может принять их и тут же установить сеанс.
Вообще-то похожая функция имеется в самой Windows, однако она работает только в локальной сети и, соответственно, для мобильных пользователей далеко не всегда доступна (к примеру, при невозможности установления VPN-соединения). Поэтому в Intune применяется более универсальный метод: на лету создается специальное мероприятие в онлайновом Microsoft LiveMeeting, и обе стороны приглашаются к участию в нем (при необходимости загружается клиентское ПО). Дальнейшая работа происходит в режиме разделения рабочего стола, администратор видит происходящее на пользовательском компьютере и может запросить управление им, чтобы самостоятельно выполнить необходимые действия. В сеансе также работает текстовый чат, так что можно просто передать пользователю необходимые инструкции.
Резюме
Итак, Intune представляет собой подборку наиболее востребованных функций из продуктов семейства System Center (и некоторых других), которые могут применяться к ПК вне (и даже вовсе без) какой бы то ни было инфраструктуры. Средой в этом случае выступает интернет (естественно, все коммуникации шифруются), который позволяет добраться до любого компьютера, практически независимо от его местонахождения — в этом как раз и заключается одно из преимуществ облачного подхода.
Intune, конечно, нельзя напрямую сравнивать с System Center. Однако эта служба прежде всего ориентирована на нужды небольших компаний, для которых полный спектр возможностей System Center явно избыточен. Кроме того, в нынешнем виде Intune представляет собой прекрасный «каркас» для дальнейшего расширения функциональности, и, как видим, оно действительно происходит.
Управление мобильными устройствами с помощью Microsoft Intune
Хотите позволить сотрудникам использовать личный ноутбук, планшет, телефон в качестве рабочего — запросто! Но как защитить, разделить персональную информацию от рабочей? А как же быть с приложениями? Нужно настроить все устройства согласно политикам компании? А если кто-то потеряет свое устройство с важной рабочей информацией?
Давайте узнаем ответы на эти и другие вопросы.
Сотрудники могут использую свое личное устройство на работе в личных целях, если политики компании это позволяют. Так почему бы не разрешить им использовать личное устройство и для рабочих задач?
«Возьми Свое Собственное Устройство на работу» — именно так звучит концепция BYOD (Bring Your Own Device). Тенденция BYOD снимает границы между частной жизнью и работой. Для ИТ-специалистов лучше контролировать ситуацию, а не бороться с ней административными способами.Разрешение использовать собственные устройства — это еще и инструмент повышения лояльности сотрудников, что важно для любой компании.
Желание сотрудников работать удаленно очевидно. Есть масса специалистов, которые не только хотят, но и могут работать удаленно. Для этого нужно иметь определенный уровень самоконтроля, но это вполне реально.
Однако, несмотря на неоспоримые плюсы, внедрение BYOD ассоциируется с проблемами безопасности и управляемости. Есть вероятность утери, кражи устройства, заражения зловредом. Но если разобраться, то преимущества BYOD для бизнеса существенно перевешивают недостатки.
Сегодня на рынке масса крупных и мелких компаний предоставляющих сервис MDM (Mobile Device Management).
Много кто пытался создавать, продвигать свое решение, но не все «выжили».
Перейдем к Intune. Доступно много теоретической информации, обзоров про Intune от Microsoft. Вкратце это облачная служба для управления мобильными устройствами на базе Windows, iOS, Android а так же компьютерами c ОС Windows.
Есть несколько конфигураций использования Intune. Я выделил две основные:
Итак, Вы решили попробовать. После регистрации будет доступна панель управления Intune а так же центр администрирования. Далее администратор создает пользователей вручную в панели управления или импортирует из CSV файла в центре администрирования. Пример файла CSV. Каждый созданный пользователь будет иметь логин в виде UserName@CompanyName.onmicrosoft.com или собственное доменное имя.
Весь процесс управления можно разделить на 5 основных шагов: 
Регистрация
Чтобы облегчить администраторам общение с пользователями Microsoft предоставляет список ссылок, данная информация поможет им при регистрации устройств в Intune и выполнения различных задач на устройствах после регистрации.
После того как пользователь установил приложение и залогинился его устройство будет зарегистрировано.
После того как устройство зарегистрировано, им можно управлять.
Все зарегистрированные устройства и пользователи добавляются в соответствующие ветки в панели управления вкладки «Groups».
Администратор может группировать устройства (device group) и пользователей (user group) по доступным критериям или напрямую задавать членство в группе для дальнейшего распространения управления ими, аналогично коллекциям в SCCM 2012.
Развертывание приложений
Выбираем установочный файл:
Заполняем описание:
Задаем требования к версии операционной системы:
Приложение добавлено в список приложений в панели управления:
Указываем ссылку на приложение в маркете:
Заполняем описание:
После того как приложение добавлено и доступно в списке приложений осталось лишь развернуть его на устройствах пользователей. Выбрав в контекстом меню «Manage Deployment. » назначаем приложение на группу пользователей или группу устройств.
На пользовательском устройстве появится приложение назначенное на соответствующую группу.
Android:
Windows Mobile:
Windows 10
iOS: 
Настройка
При запуске камеры пользователь будет уведомлен:
Хотя Intune предоставляет широкий спектр параметров для настройки устройств, может возникнуть ситуация, когда требуемый параметр недоступен. Во многих случаях эту проблему можно решить с помощью настраиваемой политики, которая позволяет настраивать параметры OMA-URI — это общий стандарт для настройки мобильных устройств, чтобы задать необходимые значения.
Развертывание настроек происходит аналогичным образом как и развертывание приложений.
Мониторинг
После развертывания приложений и политик администратор следит за статусом на соответствующих вкладках.
Администратор будет уведомлен о наличии проблем в Intune при помощи оповещения.
Оповещения позволяют отслеживать, что происходит в Microsoft Intune. Например, на компьютере обнаружена вредоносная программа или обнаружен конфликт между двумя политиками Intune.
На вкладке с устройствами доступен очень полезный список фильтров, с помощью которого можно найти устройства с различным статусом.
Защита
В случае потери сотрудником мобильного устройства или его кражи можно удалить корпоративные данные и приложения с устройства, можно также выполнить полную очистку. При необходимости возможен сброс секретного кода или удаленная блокировка устройства.
Все достаточно просто: находим имя пользователя, выбираем из его устройств нужное, и в контекстом меню выбираем необходимое действие:
В качестве заключения хотелось бы отметить зрелость продукта, ведь еще каких-то пару лет назад Intune был сыроват для корпоративного использования. На сегодняшний день это один из немногих стабильных решений с полноценной поддержкой и обновлениями. Кроме того он интегрируется с SCCM что немаловажно для больших корпораций.
Microsoft Intune — это поставщик MDM и MAM для ваших устройств
Microsoft Intune — это облачная служба, которая предназначена для управления мобильными устройствами (MDM) и мобильными приложениями (MAM). Вы контролируете использование устройств организации, включая мобильные телефоны, планшеты и ноутбуки. Вы также можете настроить определенные политики для управления приложениями. Например, вы можете запретить отправку электронных писем людям за пределами вашей организации. Intune также позволяет сотрудникам вашей организации использовать личные устройства для учебы или работы. На личных устройствах Intune помогает обеспечить защиту данных вашей организации и может изолировать данные организации от личных данных.
Intune является компонентом решения Microsoft Enterprise Mobility + Security (EMS). Intune интегрируется с Azure Active Directory (Azure AD), чтобы контролировать доступ для пользователей и доступ к продуктам. Он также интегрируется с Azure Information Protection для защиты данных. Ее можно использовать с набором продуктов Microsoft 365. Например, вы можете развернуть на устройствах Microsoft Teams, OneNote и другие приложения Microsoft 365. Эта функция позволяет сотрудникам работать на всех устройствах организации, обеспечивая при этом защиту данных организации с помощью создаваемых вами политик.
Благодаря Intune вы можете:
Управление устройствами
В Intune вы управляете устройствами с помощью подхода, который подходит вам. Для устройств, принадлежащих организации, может потребоваться полный контроль над устройствами, включая параметры, функции и безопасность. В этом подходе устройства и их пользователи «регистрируются» в Intune. После регистрации они получают ваши правила и параметры с помощью политик, настроенных в Intune. Например, вы можете задать требования к паролю и ПИН-коду, создать VPN-подключение, настроить защиту от угроз и многое другое.
Пользователи могут не захотеть, чтобы их личные или приносимые собственные устройства находились под полным контролем администраторов организации. При таком подходе у пользователей есть варианты. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. Если же этим пользователям нужен доступ только к электронной почте или Microsoft Teams, используйте политики защиты приложений, требующие многофакторной проверки подлинности (MFA) для использования этих приложений.
Если устройства зарегистрированы и управляются в Intune, администраторы могут:
Онлайн-ресурсы:
Опробуйте интерактивное руководство
Интерактивное руководство Управление устройствами с помощью Microsoft Endpoint Manager описывает, как в центре администрирования Microsoft Endpoint Manager можно управлять мобильными и настольными приложениями и защищать их.
Управление приложениями
Управление мобильными приложениями (MAM) в Intune предназначено для защиты данных организации на уровне приложений, включая пользовательские приложения и приложения Магазина. Управление приложениями можно использовать на устройствах, принадлежащих организации, и персональных устройствах.
При управлении приложениями в Intune администраторы могут:
Одним из способов обеспечения безопасности мобильных приложений в Intune является политика защиты приложений. Политики защиты приложений:
Например, пользователь входит на устройство с учетными данными организации. Идентификатор организации позволяет получить доступ к данным, которые запрещены для их личного идентификатора. При использовании данных организации политики защиты приложений контролируют их сохранение и совместное использование. Когда пользователи входят с помощью личного идентификатора, эти средства защиты не применяются. Таким образом, ИТ-отдел может управлять данными организации, а пользователи сохраняют контроль над своими личными данными, которые остаются конфиденциальными.
Вы также можете использовать Intune с другими службами EMS. Эта функция обеспечивает безопасность ваших мобильных приложений организации за пределами операционной системы и любых других приложений. Приложения, управляемые с помощью EMS, имеют доступ к более широкому набору мобильных приложений и функций защиты данных.
Соответствие требованиям и условный доступ
Благодаря интеграции между Intune и Azure AD реализован широкий набор сценариев управления доступом. Например, требуйте, чтобы перед доступом к сетевым ресурсам мобильные устройства соответствовали стандартам организации, определенным в Intune, таким как электронная почта или SharePoint. Аналогичным образом вы можете заблокировать доступ к службам, чтобы они были доступны только для определенного набора мобильных приложений. Например, можно разрешить доступ к Exchange Online только из Outlook или Outlook Mobile.
Онлайн-ресурсы:
Сведения о получении Intune
Intune используется во многих секторах, включая государственные организации, образование, терминал или специальное устройство для производства и розничной торговли и многое другое.