Týden s Intune - Integrace Windows Intune a SCCM 2012 SP1

Naší sérii článků o Windows Intune zakončíme dnes povídáním o integraci služby Windows Intune se System Center 2012 Configuration Manager SP1. Postupně si představíme požadavky na integraci, samotný proces konfigurace a výhody, které Vám integrace těchto dvou technologií přinese. Během našeho povídání také často narazíme na rozdíly při správě zařízení pomocí konzole SCCM oproti správě pomocí konzole Windows Intune.

Sjednocená infrastruktura

Rodinu produktů System Center, v našem případě System Center Configuration Manager, jistě není nutno dlouze představovat. Jedná se o klient-server aplikaci, umožňující vzdálenou správu IT. System Center Configuration Manager umožňuje efektivní správu IT od malých po obrovské infrastruktury, zahrnující vzdálenou správu stanic, instalace aktualizací, distribuci software, distribuci operačních systému a mnoho dalšího. Pro podrobnější informace se podívejte na stránku věnovanou produktům System Center, případně přímo na video Správa moderní infrastruktury.

Nová verze SCCM 2012 SP1 přináší oproti svým předchůdcům celou řadu vylepšení, z našeho pohledu je však nejzásadnější novinkou možnost integrace se službou Windows Intune.

Až do 4. generace Windows Intune bylo totiž možné spravovat mobilní zařízení pouze pomocí webového rozhraní a Admin Console. Integrace služby Windows Intune s technologií Microsoft System Center 2012 Configuration Manager SP1 přináší zjednodušení a zefektivnění správy vaší infrastruktury. Pro správu počítačů a mobilních zařízení totiž nemusíte ovládat dvě konzole, ale stačí se pohybovat pouze v rámci jedné konzole SCCM. Další novinkou je zacílení služby Windows Intune na uživatele a nikoliv na konkrétní zařízení – administrátor na jedné straně vytvoří politiky, které zacílí na uživatele a ty se následně aplikují na všechna zařízení, která má uživatel ve své správě.

1_SCCM integration

Windows Intune Connector

Sjednocenou správu firemního prostředí pomocí SCCM 2012 SP1 zajišťuje Windows Intune Connector - komponenta, pomocí které se SCCM dokáže připojit ke službě Windows Intune a pomocí které lze následně mobilní zařízení spravovat.

Co se týče správy počítačů, tam zůstává vše při starém – počítače i nadále spravuje klasicky pomocí nainstalovaného SCCM agenta.

Požadavky

Ke sjednocené správě firemního prostředí je potřeba splnit několik dílčích kroků, viz dále.

  • Služba Windows Intune - Prvním z těchto kroků je samozřejmě odběr služby Windows Intune. Při integraci s SCCM není rozdíl, zda je váš odběr ve formě volné 30ti denní zkušební verze, či ve formě klasické, tedy placené verze.

  • Synchronizace AD - Doporučovaným, ne však nutným krokem, je synchronizace firemního AD s Windows Azure AD. Bez této synchronizace se však téměř neobejdete a to i v menších prostředích – v takovém případě totiž budete nuceni ve Windows Intune ručně zakládat uživatele, následně je zařazovat do spravovaných skupin a podobně. To s sebou samozřejmě přináší zvýšené nároky na správu, riziko chyb při vytváření účtu a podobně.

  • Windows Intune Subscription - Prvním krokem z pohledu SCCM je vytvoření Windows Intune Subscription a s tím spojená konfigurace MDM Authority, vlastnosti Company Portal a výběr kolekce uživatelů oprávněných pro přidávání zařízení. Po vytvoření Windows Intune Subscription je následně potřeba přidat Site System Role pro Windows Intune Connnector, která zajišťuje samotnou komunikaci s Windows Intune.

  • Nastavení MDM - Posledním krokem při konfiguraci sjednocené správy je nastavení samotného MDM. Tato nastavení se však liší v závislosti na mobilní platformě a jsou prakticky totožné jako kroky, které jsme si již představili v článku Windows Intune: Správa mobilních zařízení , pouze jsou prováděny pomocí konzole SCCM. Mohou tedy zahrnovat instalace certifikátů pro distribuci aplikací, způsob distribuce aplikace Company Portal pro zařízení Windows Phone 8 a další.

2_subscription

Správa mobilních zařízení

Oproti správě mobilních zařízení pomocí webové konzole Windows Intume, přináší SCCM netušené možnosti při aplikování bezpečnostních politik, distribuci softwaru a další. Pojďme se na tato vylepšení společně podívat.

Doporučená nastavení

V článku Windows Intune: Správa mobilních zařízení jsme si představili bezpečnostní politiky, pomocí kterých lze mobilní zařízení jednoduše zabezpečit. Jistě si však vzpomínáte, že těchto nastavení bylo v konzoli Windows Intune velmi omezené množství a navíc drtivou většinu z nich nebylo možné aplikovat napříč všemi mobilními platformami. Pro konkrétní platformy zde tedy najdeme počet nastavení v rámci jednotek.

V následující tabulce najdete seznam všech nastavení, setříděných do tematických skupin, která lze pomocí pomocí SCCM na mobilní zařízení aplikovat a rozdíl je patrný na první pohled.

3_MDM_configuration

3_MDM_configuration_2

Kromě možnosti vynucení bezpečnostních politik, mezi které patří politiky pro hesla, zákaz instalace nepodepsaných aplikací a podobně, můžete také pomocí SCCM pohodlně ovládat další nastavení a kompletně tak mobilní zařízení spravovat. Mezi taková nastavení patří omezení při využívání datových tarifů, nastavení synchronizace poštovní schránky, distribuce profilů pro bezdrátové sítě, distribuce certifikátů a další.

Samozřejmě, ne všechna nastavení jsou dostupná pro všechny mobilních platformy a to, zda je právě vaše nastavení na konkrétní platformě podporováno můžete sledovat přímo při vytváření tzv. Configuration Item.

Configuration Item je samotná definice vlastního nastavení a jedna taková definice může zahrnovat nastavení z jedné či více tematických skupin.

Z jednotlivých Configuration Item se pak skládají Configuration Baseline, tedy skupiny vybraných nastavení, které následně aplikujeme na cílové kolekce. Configuration Baseline můžete jednoduše škálovat na základě téměř libovolných požadavků a každá se skládá minimálně z jedné Configuration Item.

Aplikování Configuration Baseline se také v mnohém liší od aplikování bezpečnostních politik pomocí konzole Windows Intune. Nastavení totiž aplikujeme na tzv. kolekce, které mohou být uživatelské či kolekce zařízení. Dále můžeme využít možnosti plánovaní, tedy aplikování nastavení v určitých časových intervalech a podobně.

Inventář zařízení

Po integraci SCCM se službou Windows Intune najdeme v kolekci zařízení novou položku - mobilní zařízení. Zde najdeme seznam všech mobilních zařízení včetně možnosti zobrazení základních vlastností o zařízení jako je typ zařízení, verze operačního systému, atp.

SCCM však poskytuje mnohem podrobnější přehled o vlastnostech vybraného zařízení pomocí volby Resource Explorer. Vzorový výpis vlastností zařízení najdete na následujícím obrázku.

4_resource explorer

U vybraného zařízení tak můžeme sledovat vlastnosti zařízení z pohledu hardware či software. Samozřejmě výpis inventáře zařízení opět záleží na typu daného zařízení.

Reporty

SCCM 2012 SP1 dále nabízí podrobný a propracovaný systém reportů o využití mobilních zařízení. Můžete si tak jednoduše nechat vygenerovat report o počtu mobilních zařízení podle operačního systému, počet všech mobilních zařízeních spravovaných službou Windows Intune a podobně. Vybraný report je následně možné uložit v několika standardizovaných formátech, například do souboru pdf.

5_reports

Životní cyklus

V přehledu mobilních zařízení můžete kromě generování reportů a zjišťování vlastností o vybraném zařízení kompletně spravovat životní cyklus zařízení. Mezi důležité volby patří například vzdálené smazání obsahu zařízení, které se hodí v případě odcizení, či ztráty zařízení. Dostupná je taktéž volba pro odebrání zařízení ze správy Windows Intune bez smazání dat. V takovém případě je však samozřejmě nutné dodržet firemní SECPOL.

U správy životního cyklu zařízení opět platí určité rozdíly a omezení vztahující se na typ platformy - například odstranění zařízení z konzole SCCM může mít na různých platformách různé dopady – například u zařízení Windows RT dojde k odinstalaci sideloaded aplikací, v případě zařízení iOS nikoli, atp.

Distribuce software

Konzole SCCM poskytuje podobné možnosti při distribuci software jako samotná konzole Windows Intune. V případě integrace těchto dvou technologií Vám ale opět bude odměnou větší škála možností a nastavení.

Významným rozdílem oproti distribuci aplikací skrze konzoli Windows Intune je, že v SCCM může být k jedné aplikaci přiřazeno více publikačních možností. V konzoli Windows Intune jste již při nahrání aplikace do konzole vybírali, jak bude aplikace dostupná (přímá instalace, či pouze link do obchodu aplikací) a podobně. Následně jste již aplikaci „pouze“ publikovali vybraným uživatelům.

V konzoli SCCM může být k jedné aplikaci přiřazeno více publikačních možností, což samozřejmě vede ke zjednodušení správy distribuce aplikací a ke zvýšení přehlednosti.

Aplikace můžete také na rozdíl od konzole Windows Intune instalovat na základě nejrůznějších podmínek – například na základě velikosti RAM paměti. U některých platforem můžeme také využít superseedování aplikace a instalací jedné verze aplikace tak nahradit starší verzi aplikace.

Podobně jako u aplikování doporučených nastavení, může být distribuce aplikace zacílena nejen na kolekci uživatelů, ale třeba i na konkrétní typy zařízení.

Při distribuci aplikací je také nutné myslet na to, že pokud se jedná o mobilní zařízení, musí být aplikace umístěna v distribučním bodě, který je dostupný odkudkoli. V konzoli SCCM 2012 SP1 proto najdeme nově možnost umístění aplikace do distribučního bodu manage.microsoft.com – do cloudu. V takovém případě se využije úložiště konzole Windows Intune, potažmo Windows Azure.

6_db_point

Kam dál?

Dnešním povídáním o integraci služby Windows Intune se System Center 2012 Configuration Manager SP1 končí naše minisérie Týden s Windows Intune. Postupně jsme si v ní představili téměř všechny možnosti, které služba Windows Intune při správě zařízení nabízí.

Další informace naleznete na české TechNet stránce věnované Windows Intune, případně můžete zdarma absolvovat kurz Windows Intune for IT Professionals JumpStart, který je k dispozici na Microsoft Virtuální Akademii (MVA).

- Lukáš Keicher, KPCS (www.kpcs.cz).