V rámci naší série o Windows Intune se po minulém uvedení do problematiky v dnešním článku podíváme podrobněji na instalaci Windows Intune agentů, vzdálenou správu stanic zahrnující instalace aktualizací operačního systému, vytváření reportu či sledování upozornění vygenerovaných jednotlivými klienty. Dále se mj. podíváme na monitoring počítačů, budeme sledovat stav antivirové ochrany a podobně.
Na úvod
Než se podíváme na samotnou správu koncových počítačů, měli bychom si představit jednotlivé správcovské portály (Management Portals), které budete při správě počítačů a mobilních zařízení využívat. Mezi ně patří:
- Account Portal
- https://account.manage.microsoft.com;
- zakládání nových uživatelů;
- správa licencí Windows Intune;
- propojení Windows Intune s databází Active Directory s možností replikace uživatelů.
- Admin Portal (Admin Console)
- https://admin.manage.microsoft.com;
- hlavní nástroj pro správu počítačů a mobilních zařízení.
- Company Portal:
- https://portal.manage.microsoft.com;
- sloužící uživatelům jako místo odkud mohou sami přidávat zařízení do služby Windows Intune, stahovat firemní aplikace a podobně.
Windows Intune Agent
V předchozím článku jsme se mimo jiné dozvěděli, jak zhruba Windows Intune funguje – správa počítačů zde spočívá v instalaci Windows Intune agenta, který zajistí synchronizaci s datovým centrem Windows Azure a s tím spojené přidání počítače do Admin Console.
Nyní se v několika řádcích podíváme na instalaci agenta trochu podrobněji. Při jeho instalaci máte možnost výběru z následujících voleb:
- Administrátor
- Jednou z nejvyužívanějších možností při instalaci agenta je instalace samotným správcem systému. V takovém případě se stačí přihlásit do Admin Portal, agenta stáhnout a následně nainstalovat. Agenta lze na počítače nainstalovat buď ručně, ve větším prostředí můžete sáhnout k instalaci pomocí Group Policy.
- Uživatel
- Uživatel počítače může sám přidat počítač do administrační konzole pomocí internetového prohlížeče a webu Company Portal a tím vlastně agenta nainstalovat. K tomu je zapotřebí, aby měl uživatel práva lokálního administrátora, prohlížeč Internet Explorer a Microsoft Online Service ID, kterým se na portál přihlašuje (Microsoft Online Service ID zakládáme uživateli pomocí Account Portal)
- Deployment
- Poslední možností při instalaci Windows Intune agenta je zařadit agenta jako součást bezobslužné instalace operačního systému. V takovém případě se počítač sám zařadí do Admin Console v okamžiku, kdy je dokončena instalace operačního systému. Při standardní instalaci agenta je vyžadováno internetové připojení, pomocí kterého se vytvoří obousměrný vztah mezi počítačem a službou Windows Intune, potažmo Admin Console. Z tohoto důvodu nelze Windows Intune agenta na referenční PC nainstalovat a použít takto pro deployment, protože by v konzoli Windows Intune vznikaly duplicity. Na místo toho se použije příkaz PrepareEnroll, který zajistí automatickou instalaci agenta až po instalaci operačního systému. Více informací o přípravě referenčního počítače včetně Windows Intune agenta najdete na stránce http://technet.microsoft.com/en-us/library/jj662689.aspx.
Společně s instalací Windows Intune agenta se na cílových počítačích automaticky zahájí instalace další podpůrných agentů. Je možné, že pro úspěšné dokončení instalace některých z nich bude nutné restartovat počítač. Mezi tyto agenty patří mimo jiné agent monitorující stav počítače, agent umožňující sběr HW a SW informací, agent antivirové ochrany v podobě Windows Intune Endpoint Protection a v neposlední řadě také Windows Intune Center. Pomocí Windows Intune Center mohou uživatelé stahovat a instalovat schválené aplikace z Company Portal, kontrolovat aktualizace, antivirovou ochranu, či zažádat o vzdálenou pomoc (funkce Vzdálená pomoc není podporovaná v operačním systému Windows 8).
Aktualizace
První z důležitých komponent služby Windows Intune z hlediska bezpečnosti je správa aktualizací operačních systémů. Než mohou být aktualizace aplikovány na jednotlivé skupiny počítačů, je nejprve nutné tyto aktualizace schválit v Admin Console. Pro určité typy aktualizací (Critical Updates, Security Updates, Definition Updates, atd.) zde také můžete nastavit automatické schvalování aktualizací. Následně vytvoříme v záložce Policy politiku, kterou definujeme, jak často a kdy bude agent nové aktualizace kontrolovat. Tento proces je tak obdobný jako při práci s lokálně nainstalovaným WSUS serverem.
Endpoint Protection
Předplatná služeb Windows Intune se různě liší a záleží tak na konkrétní licenční situaci, ale součástí této služby může být také antivirová ochrana v podobě Windows Intune Endpoint Protection. Instalace Windows Intune Endpoint Protection se spustí zcela automaticky po instalaci Windows Intune agenta.
V případě, že se na počítači nachází jiná antivirová ochrana, Windows Intune Endpoint Protection agent svou činnost zastaví – stav antivirové ochrany tak nelze pomocí Admin Console monitorovat. K použití ochrany Windows Intune Endpoint Protection na místo stávající antivirové ochrany je nejprve nutné stávající antivirovou ochranu odstranit a v Admin Console následně vytvořit Policy, která explicitně povoluje spuštění agenta Windows Intune Endpoint Protection. Ještě dodejme, že pokud se na počítači nachází antivirová ochrana v podobě Microsoft Security Essentials, či jiný produkt z rodiny Endpoint Protection, je tato ochrana automaticky nahrazena Windows Intune Endpoint Protection.
Po úspěšné instalaci Windows Intune Endpoint Protection můžete pomocí Admin Console monitorovat zdraví počítačů, sledovat virové nákazy a způsob jak bylo s hrozbou naloženo, vzdáleně na počítačích spouštět Quick či Full scany pro kontrolu škodlivého softwaru, aktualizovat virové definice a podobně.
Alerts
V záložce Alerts najdete upozornění ze všech komponent, které Windows Intune monitoruje. Mezi ty patří již zmíněné aktualizace operačního systému, stav antivirové ochrany a dalších zhruba 180 dostupných komponent. Některé z komponent jsou ve výchozím stavu zakázány a jejich sledování je tak nutné zapnout.
K tomu, abyste nemuseli hlídat stav antivirové ochrany či aktualizace operačního systému sami ručně, můžete pro jednotlivé úrovně závažnosti chyb nakonfigurovat notifikační pravidla, která následně přeposílají upozornění na vybrané emailové adresy. Nemusíte tak neustále sami kontrolovat stav počítačů v Admin Console, ale stačí čekat, než Vám dorazí email s varovným hlášením.
Software
Pomocí Windows Intune můžete na počítače jednoduše distribuovat aplikace. Distribuce aplikací se skládá ze dvou části.
V první části nejprve přidáme do Admin Console instalační balíček (.exe, .msi, atd.) a definujeme jeho vlastnosti – vydavatele aplikace, typ aplikace, pro jaké operační systémy je aplikace určena apod. V průběhu přidávání instalačního balíčku je dobré pamatovat na to, že následná instalace aplikace běží na pozadí pod systémovým účtem a to zcela automaticky a bez zásahu uživatele či správce systému. Záleží na aplikaci, nicméně v drtivé většině případů je tedy nutné definovat parametry pro zautomatizování instalace pomocí přepínačů v příkazové řádce.
Tímto způsobem do Admin Console připravíte instalační balíčky, které v další fázi distribuujete pro koncová zařízení. Při distribuci aplikaci máte na výběr z následujících možností:
- Required Install
- typ vzdálené instalace, kterou může vynutit administrátor v Admin Console;
- lze ji zacílit pouze na počítače;
- aplikace se instaluje na pozadí, zcela bez vědomí uživatele.
- Available Install
- administrátor v Admin Console pouze aplikaci publikuje skupinám uživatelů;
- aplikace se tedy neinstaluje automaticky, ale vybraní uživatelé si mohou vybrat, zda danou aplikaci budou využívat či nikoli;
- uživatel sám inicializuje instalaci aplikace prostřednictvím Windows Intune Center;
- uživatel nemusí mít práva lokálního administrátora, pouze je potřeba, aby měl daný počítač „svázaný“ se svým účtem ve Windows Intune.
Záložka Software dále slouží ke sběru informací o aplikacích, které jsou na spravovaných počítačích nainstalovány v podobě podrobného reportu.
Společně se sledováním nainstalovaných aplikací můžete dále spravovat licenční ujednání (licensing agreements) a to jak Microsoft Volume Licensing Agreements, tak non-Microsoft Licensing Agreements.
Policy
Nezbytnou součástí správy počítačů pomocí Windows Intune je také vytváření politik (Policy), pomocí kterých můžete řídit nastavení zabezpečení mobilních zařízení, firewallu, Windows Intune Agenta či Windows Intune Center. Tyto politiky se aplikují vždy a to nezávisle na tom, zda je počítač členem domény či nikoli. Jedná se tedy o jakési „cloudové GPO“, které však mají oproti standardním GPO v AD jen velmi omezené možnosti a funkce. Můžete vybírat pouze z omezené sady čtyř politik, bez možnosti vytváření politik vlastních.
V případech, kdy spravujete pomocí Windows Intune počítač, který je zároveň členem domény, je potřebné se vyvarovat konfliktů mezi politikami z Windows Intune a Group Policy z Active Directory.
Mezi možnosti řešení při konfliktu politik patří:
- Blokování Group Policy na OU, kde se počítače spravované pomocí Windows Intune nacházejí
- Filtrování skupinových politik a jejich zacílení buď podle Security filtering či WMI filtering
- Změna stávajících Group Policy a odstranění duplicitních politik
Reporty
Velmi silnou zbraní při správě počítačů je propracovaný systém reportů, který Windows Intune nabízí. Můžeme zmínit například opravdu luxusní report o hardware na konkrétním počítači, obsahující všechny důležité informace o zařízení od verze BIOSu, přes typ a kapacitu disků, až třeba k připojeným tiskárnám.
Mezi další reporty patří report obsahující seznam všech nainstalovaných aplikací včetně verze aplikace, vydavatele a podobně, report o stavu aktualizací operačního systému, seznam zakoupených licencí, seznam použitých licencí a podobně.
Kam dál?
V tomto článku jste se blíže seznámili se správou klientských počítačů pomocí Admin Console Windows Intune. Podrobně jsme si popsali nasazení Windows Intune agenta a jednotlivé komponenty administrátorské konzole, které budete při správě počítačů nejčastěji využívat. V příštím článku o Windows Intune si představíme Správu mobilních zařízení.
- Lukáš Keicher, KPCS (www.kpcs.cz).