Týden s Intune – Správa mobilních zařízení

  • Article

V dnešním dílu série o Windows Intune volně navážeme na předchozí článek o správě počítačů a podíváme se na správu mobilních zařízení neboli MDM (Mobile Device Management). Mezi velkou konkurenční výhodu při správě mobilních zařízení pomocí Windows Intune patří, že nevyžaduje žádné další nároky či požadavky na vaši stávající infrastrukturu. Geniální je poté propojení Windows Intune se stávající konzolí Microsoft System Center 2012 Configuration Manager SP1 za použití nového Windows Intune Connector. Pro správu počítačů a mobilních zařízení tak nemusíte ovládat dvě konzole, ale stačí se pohybovat pouze v rámci jedné konzole SCCM. To vše vede ke zjednodušení a zefektivnění správy Vaší infrastruktury. Pojďme se společně podívat na novinky ve 4. generaci Windows Intune a na možnosti správy zahrnující distribuci aplikací či nasazení bezpečnostních politik.

Novinky ve 4. generaci Windows Intune

Až do 4. generace Windows Intune bylo jediné možné řešení při správě mobilních zařízení připojení těchto zařízení pomocí Exchange ActiveSync (EAS). Takový způsob správy mobilních zařízení představuje další nároky na firemní infrastrukturu – kromě Exchange serveru je dále zapotřebí dedikovaný počítač s nainstalovaným a nakonfigurovaným Windows Intune Exchange Connector, který propojí službu Windows Intune s Exchange serverem a díky němu lze touto „oklikou“ mobilní zařízení spravovat.

Nová generace Windows Intune podporuje přímou správu mobilních zařízení – Windows Intune Direct Management. Ke správě mobilních zařízení tak již není nutný Exchange Connector připojený k Exchange serveru, vše funguje napřímo. Bohužel i zde narazíme na určitá omezení, která se týkají podpory jednotlivých mobilních platforem, viz dále.

Podporovaná zařízení

Pomocí Windows Intune je možné spravovat mobilní zařízení různých typů a výrobců -> čtvrtá generace Windows Intune podporuje správu zařízení s následujícími operačními systémy:

  • Windows RT a Windows Phone 8
  • Windows Phone 7 a 7.5
  • iOS 4.0 a novější
  • Android 2.1 nebo novější

Zařízení s operačními systémy Windows RT, Windows Phone 8 a iOS můžete spravovat přímo pomocí technologie Windows Intune Direct Management či starší metodou EAS. Zařízení s operačními systémy Windows Phone 7, Windows Phone 7.5 a Android můžete spravovat pouze pomocí EAS. Konzole Windows Intune však podporuje kombinaci obou řešení – bez problémů tak můžete starší zařízení spravovat pomocí Exchange ActiveSync a nová zařízení pomocí Direct Management.

Direct Management vs. Exchange ActiveSync

Jak jsme si popsali výše – některá zařízení lze spravovat novou, přímou metodou, některá zařízení pouze pomocí EAS a někdy se hodí kombinace obou řešení. Jaké jsou tedy rozdíly ve správě zařízení pomocí Direct Management a EAS?

Direct Management

  • Na stávající infrastrukturu nejsou kladeny žádné další nároky.
  • Možnosti při správě zařízení zahrnují:
    • Hardware katalog
    • Nastavení pokročilých bezpečnostních politik
    • Distribuci softwaru
    • Vzdálené smazání zařízení (iOS, WP)
    • Nastavení politik služby iCloud (iOS)
    • Pokročilý monitoring

EAS

  • Kromě služby Windows Intune je dále zapotřebí Exchange Server a Exchange Connector
  • Možnosti při správě zařízení zahrnují:
    • Nastavení základních bezpečnostních politik
    • Distribuci softwaru
    • Vzdálené smazání zařízení (iOS, WP)
    • Vzdálené smazání mailboxu (W8, WinRT)

Oba dva typy správy tedy v sobě zahrnují různé možnosti nastavení a v některých případech je vhodné využít kombinaci obou řešení – takový scénář je plně podporovaný. V případě konfliktu bezpečnostních politik vždy vítězí politika s vyšší mírou zabezpečení.

Konfigurace

Konfigurace správy mobilních zařízení se liší na základě jednotlivých mobilních platforem a také v závislosti na typu správy. Ke snadnější orientaci nám poslouží následující obrázek, který celý proces konfigurace shrnuje.

1_Setup

Proces konfigurace MDM začíná vždy stejně nezávisle na mobilní platformě a typu správy.

  • Prvním společným krokem je přidání uživatelů mobilních zařízení do konzole Windows Intune. Každé spravované mobilní zařízení totiž musí mít svého vlastníka, uživatele, který má ve službě Windows Intune svůj účet. Uživatele můžeme do konzole Windows Intune přidat ručně nebo nastavit synchronizaci s Active Directory – v některých implementacích, např.: EAS je synchronizace s Active Directory dokonce vyžadována.
  • Druhým společným krokem na nastavení tzv. Mobile Device Management Authority. Tímto nastavením vlastně definujete, z jaké konzole budete mobilní zařízení spravovat. A máme zde dvě možnosti – pokud budete zařízení spravovat pomocí konzole Windows Intune, je potřeba nastavit MDM Authority přímo z Administration Console Windows Intune. Pokud budete zařízení spravovat pomocí SCCM je potřeba nastavit MDM Authority v konzoli SCCM. Pozor, toto nastavení je velmi důležité a nelze jednoduše zpětně změnit! Přechod z Windows Intune na SCCM je podporovaný, ale pouze skrze Microsoft HelpDesk. Přechod z SCCM na Windows Intune není podporovaný vůbec.

2_MDM_authority

Další kroky se již liší v závislosti na typu správy a mobilní platformě a mohou zahrnovat například vytvoření DNS záznamů pro enrollment server, přítomnost certifikátů pro distribuci aplikací a podobně. Přehled všech kroků pro jednotlivé platformy a typy správy najdete na https://technet.microsoft.com/en-us/library/jj733654.aspx. Ke znázornění postupu u jednotlivých platforem nám poslouží následující obrázek.

3_Prerequisites

Přidání mobilního zařízení

Přidání mobilního zařízení do konzole Windows Intune už provádí sám přímo uživatel zařízení nebo například správce sítě, který zařízení pro uživatele konfiguruje. A opět záleží na té či oné mobilní platformě. Přidání zařízení s Windows RT a Windows Phone 8 probíhá skrze Company Apps, předinstalovanou součástí systému. Pro iOS zařízení zatím taková aplikace k dispozici není, zařízení se tedy přidává pomocí internetového prohlížeče. Ostatní zařízení připojená pomocí EAS se do konzole Intune synchronizují automaticky z Exchange serveru.

4_Enrollment

Policy

A co že nám vlastně správa mobilních zařízení v podání Windows Intune přináší za možnosti? První důležitou součástí je nastavení bezpečnostních politik, které následně aplikujeme na vybrané skupiny uživatelů a jejich přiřazená zařízení. Se záložkou Policy jsme se již setkali při správě počítačů. V případě správy mobilních zařízení je situace velmi podobná - na základě šablony Mobile Device Security Policy můžeme vytvořit předdefinovanou politiku s doporučeným nastavením obsahující řekněme základní bezpečnostní mechanizmy nebo vytvořit politiku s vlastním nastavením. Bohužel Windows Intune v této verzi zatím neumožňuje vytvářet žádné nové šablony a na jejich základě další nové politiky.

5_Policy

Některá nastavení v šabloně jsou pro všechna zařízení společná, například nastavení zámku displeje, některá jsou specifická pro vybrané mobilní platformy. Například pro iOS zařízení je dostupné nastavení zakazující synchronizaci se službou iCloud a podobně. Při aplikování některých specifických nastavení může docházet k delším prodlevám.

Distribuce aplikací

Ke správě mobilních zařízení patří ve Windows Intune neodmyslitelně také distribuce aplikací. Na mobilní zařízení nelze aplikace instalovat potichu na pozadí bez vědomí uživatele, tak jako v případě instalace aplikací na počítače. Distribuce aplikací tak spočívá „pouze“ v tzv. publikaci aplikace v Company Portal a uživatel si sám následně může vybrat, zda si danou aplikaci nainstaluje či nikoli. Na zařízeních Windows RT, Windows 8 a Windows Phone 8 přistupuje uživatel k publikovaným aplikacím pomocí speciální aplikace Company Portal, na ostatních zařízení pomocí webového rozhraní.

Z pohledu administrátora je proces distribuce aplikace podobný jako při distribuci aplikací pro počítače. Nejprve vybranou aplikaci přidáme do Admin Console a následně ji publikujeme pro vybrané skupiny uživatelů.

Aplikace můžeme publikovat ve dvou formách:

Instalační balíček

  • Do Admin Console se nahraje vlastní instalační soubor dané aplikace. Mezi podporované formáty patří .appx (Windows RT), .xap (Windows Phone 8), .ipa & .plist (iOS), .apk (Android).
  • Tento způsob distribuce aplikace je vhodným scénářem při distribuci vlastních firemních aplikací.
  • Při tomto způsobu distribuce není příslušný obchod aplikací vůbec kontaktován.

Externí odkaz

  • Publikace aplikace pomocí externího odkazu vlastně spočívá ve zveřejnění odkazu pro danou aplikaci ve vybraném obchodu aplikací. Mezi podporované patří Windows Store, Apple Itunes či Google Play.

Kam dál?

V tomto článku jsme si představili možnosti, které Windows Intune nabízí při správě mobilních zařízení. V dalším článku o Windows Intune se podíváme samoobslužný portál, pomocí kterého si mohou uživatelé do svých zařízení instalovat aplikace, kontaktovat IT oddělení a podobně.

- Lukáš Keicher, KPCS (www.kpcs.cz).