Konzumerizace IT a licenční podmínky – Závěrečný díl

V seriálu si postupně představujeme všechny produkty, které využívá společnost Microsoft pro podporu konzumerizace IT a podrobně si popíšeme, jak s nimi správně zacházet i ve scénářích BYOD, abychom na všech stranách zůstali v souladu s licenčními podmínkami.

V předchozích dílech seriálu jsme popsali, jak volit správné přístupové licence pro serverovou infrastrukturu, jak licenčně vyřešit aplikace Office na firemních i soukromých zařízeních a v posledním díle si představíme možnosti a způsoby pokrytí desktopového operačního systému Windows (Windows OS) v konzumerizovaném IT.

Abychom byli schopni jednotný, odladěný a zabezpečený desktopový operační systém Windows doručit na libovolné zařízení, kdykoliv a kamkoliv, je vhodné zvolit prostředky centralizace a virtualizace IT a doručovat jej včetně aplikací na vyžádání . Ve chvíli, kdy chceme dostat operační systém a aplikace na rozličná zařízení, která často nemá podnikové IT pod kontrolou a mnohdy jde o mobilní zařízení, kterých je nepřeberná škála na různorodých platformách, může přijít na řadu sjednocující řešení v podobě infrastruktury virtuálního desktopového operačního systému (infrastruktura VDI).

Tradiční licenční pokrytí Windows ve VDI

Až do prosince loňského roku existoval vlastně jediný možný model, jak pokrýt Windows OS v infrastruktuře VDI. Bylo nutné přidělit potřebné licence všem zařízením, která se k infrastruktuře VDI připojovala a využívala virtualizovaný operační systém. Základní cestou pro takové pokrytí byl multilicenční upgrade Windows OS, nebo předplatné služby Windows Intune, obojí pouze pořízené spolu se Software Assurance k desktopovému operačnímu systému. Právě Software Assurance dává zařízení (resp. ze zařízení) , kterému byla licence přidělena, právo přistupovat až ke čtyřem virtuálním Windows OS provozovaným v infrastruktuře VDI.

Multilicenční upgrade je možné přiřadit pouze zařízením s odpovídající podkladovou licencí , což kupříkladu rozhodně nejsou domácí edice desktopových operačních systémů Windows, ani vestavěné (Embedded) operační systémy na tenkých klientech. Navíc Software Assurance je nutné pořizovat vždy společně s nákupem multilicenčního upgradu. Dodatečně to nejde.

Pokud zákazník tuto možnost už propásl nebo potřeboval umožnit přístup k  infrastruktuře VDI zařízení s „neoprávněnou“ podkladovou licencí, mohl mu jedině přiřadit licenci předplatného VDA, která je vybavila stejnými právy přístupu až ke čtyřem virtuálním desktopům.

Přístup k VDI ze zařízení mimo správu společnosti

Podobně, jako tomu bylo v předchozím díle u multilicenčních aplikací Office, i Windows OS disponuje díky Software Assurance právy na Roaming (Roaming Use Rights). Ta dávají, stejně jako u Office, pouze primárnímu uživateli, právo přistupovat k virtualizovanému desktopu v rámci VDI z libovolného oprávněného zařízení třetí strany, tedy z domácího PC nebo třeba PC v internetové kavárně. POZOR: i zde platí, že tento uživatel může k virtualizovanému desktopu v rámci VDI přistupovat pouze mimo sídlo firmy. Jakmile se nachází v sídle firmy, musí k přístupu využít pouze firemní licenčně pokryté zařízení.

Toto poněkud nepohodlné omezení bylo dříve možné vyřešit doplňkovou licencí CSL (Companion Subscription License), která se dala pořídit k předplatnému Windows SA a přiřadit danému zařízení. CSL opravňovala primárního uživateletohoto zařízení přistupovat k infrastruktuře VDI z libovolných čtyř zařízení, včetně domácího PC nebo například soukromého tabletu, a to mimo firmu i v jejích kancelářích.

Windows Desktop v licenčním modelu PER USER

Od prosince loňského roku licenci CSL nahradila možnost pořízení Windows Software Assurance vázané na uživatele. Každý uživatel, kterému je přiřazena licence Windows SA per User, získává právo přistupovat k virtualizovanému desktopu v rámci VDI odkudkoliv a z jakéhokoliv zařízení, ať už se jedná o firemní zařízení, domácí PC nebo například hotelové PC. Dále je tento uživatel oprávněn si vytvořit instance Windows OS na přenosném USB disku a spouštět je prostřednictvím technologie Windows To Go na libovolném zařízení . Do třetice získává také právo instalovat Windows OSna libovolné své zařízení s přiřazenou licencí Windows 7 nebo 8, 8.1 Pro nebo Enterprise a na libovolné zařízení s integrovaným displejem (typicky soukromý tablet) o úhlopříčce 10,1“ nebo menší.

Zde je určitě na místě upozornit na jistou ošidnost licenčního modelu desktopového operačního systému vázaného na uživatele. Konkrétně jde o to, že si licencovaný uživatel může lokálně instalovat Windows 8 Enterprise na víceméně libovolné zařízení, ovšem využívatje zde pak smí pouze on sám. Ostatní uživatelé si tam Windows 8 Enterprise pustí pouze, pokud mají také přidělenu stejnou licenci, tedy Windows Software Assurance na uživatele. Když si tedy na základě Windows SA nainstaluje uživatel Windows 8 Enterprise na svůj domácí počítač, je třeba pamatovat na to, že tento operační systém na něm smí užívat pouze on, ale další členové domácnosti nikoliv.

Navíc je třeba vzít v potaz i fakt, že licence Windows SA na uživatele nikdy nedává právo k užívání trvalého charakteru. Pokud Software Assurance nebude prodloužena, zanikají všechna práva, která přinesla.

Licence Windows Software Assurance per User je možné pořídit jako doplňkovou licenci (Add-On) k již pořízené Windows Software Assurance per Device nebo zcela samostatně (Full USL). Pak je ale nutné určit pro primárního uživatele s přidělenou licencí i jeho primární zařízení, které využívá více než 50 % času a které má přidělenou licenci desktopového operačního systému Windows 7 nebo 8, 8.1 Pro nebo Enterprise. Pokud uživatel takové zařízení nemá, je možné mu pořídit o něco dražší licenci předplatného VDA vázaného na uživatele.

Jak jsme si tedy ukázali, pro scénáře BYOD jsou všechny potřebné licence dostupné v licenčním modelu na uživatele. Jak klientské přístupové licence k serverovým produktům, tak licence pro desktopové aplikace Office. A k tomu patří i možnost pořídit licenci Windows OS s vazbou na uživatele (zaměstnance). Nové modely usnadňují a zpřehledňují licenční aspekty zavádění, využívání a uplatňování konceptu BYOD.

Enteprise Mobility Suite (EMS)

Společně s tím, jak si podniky postupně osvojují koncept BYOD, přirozeně narůstá počet a různorodost zařízení, která k podnikové infrastruktuře přistupují. Podnikové IT musí nově čelit výzvám, jak jednotlivá přistupující zařízení identifikovat, jak je udržet aktuální, doručit na ně podnikové aplikace a data a jak taková data následně udržet v bezpečí, například v případě ztráty nebo odcizení mobilního zařízení. Všem těmto výzvám pomáhá společnost Microsoft čelit prostřednictvím svých cloudových služeb, určených pro správu mobilních zařízení a aplikací.

Mezi služebně nejstarší cloudové služby, určené pro Mobile Device Management (MDM) a Mobile Application Management (MAM) , patří bezesporu služba Microsoft Intune.

Microsoft Intune

Jedná se o službu určenou k centrální správě koncových zařízení, především pak těch mobilních. Služba se stará o jejich monitoring, včasné aktualizace i antivirovou ochranu. Zvládne se stejným způsobem postarat i o instalaci, aktualizaci a konfiguraci aplikací, které jsou na zařízeních využívány, a přirozeně zajistí i aplikaci podnikových politik v rámci jednotlivých nastavení mobilního zařízení. Podporuje velkou škálu mobilních zařízení a mobilních platforem, včetně platforem Android, iOS a samozřejmě Windows. V případě, že již máte pro správu podnikových koncových zařízení (on-premise), nasazeny technologie rodiny System Center, pak vás jistě potěší, že služba Microsoft Intune je velmi snadno integrovatelná se System Center Configuration Managerem a sama je zároveň management licencí pro koncová zařízení uživatele, spravovaná SCCM.

Azure Rights Management

Tak, jak se služba Intune dokáže postarat o samotné mobilní zařízení, tak další cloudová služba společnosti Microsoft – Azure Rights Management – napomáhá zabezpečit samotná podniková data a informace, která mohou být na tato zařízení doručována a ukládána. Služba Azure Rights Management má za úkol pro tato citlivá podniková data zajistit ochranu a pomocí technologií pro šifrování, identifikaci uživatele a sad autorizačních pravidel zabránit nepovolenému nakládání s nimi. Výsledkem je pak stav, kdy s určitým dokumentem nebo sadou/typem dokumentů mohou nakládat předem zvoleným způsobem jen vybraní uživatelé. Služba Azure Rights Management může zároveň sloužit jako přístupová licence (CAL) k on-premise Windows Server Rights Management Services.

Azure Active Directory Premium

Jak už jsme několikrát zmiňovali, uživatelé dnes běžně přistupují k datům a prostředkům jak v rámci podnikové infrastruktury, tak v rámci mnoha cloudových služeb z rozličného množství zařízení. Ve všech těchto prostředích se musí uživatelé nějak identifikovat a ověřovat, aby jim byl k těmto prostředkům umožněn přístup na potřebné úrovni. S tím, jak narůstá počet těchto prostředků, narůstá i náročnost správy všech identit, které uživatelé používají. Proto je snahou oddělení IT tyto identity co nejvíce sjednotit a propojit. Pro tyto účely nabízí společnost Microsoft službu Azure Active Directory Premium. Ta je schopná rozličné identity propojit a zajistit jejich synchronizaci jak v prostředí cloudu, tak i v prostředí podnikové infrastruktury. Nabízí také využití víceúrovňového ověřování a samoobslužného ovládání identity uživatelem.

Všechny tyto tři služby pro správu platformy mobilních zařízení nabízí společnost Microsoft v cenově zvýhodněném balíčku Enterprise Mobility Suite (EMS). Jeho licence jsou – poměrně logicky J – typu Per User. Součástí EMS jsou i přístupové licence (CAL) k on-premise infrastruktuře, konkrétně k Windows Serveru a SCCM.

Enterprise Cloud Suite (ECS)

Když už to společnost myslí se zavedením konceptu BYOD skutečně vážně a licenční model Per User se jeví jako nejpřehlednější a optimální, pak bude zajímavé sáhnout po dalším komplexním licenčním balíčku: Enterprise Cloud Suite. Ten v sobě kombinuje takřka všechny licence, o kterých jsme se doposud zmiňovali. Je však dostupný jako tzv. platformový produkt pouze prostřednictvím celopodnikových smluv Enterprise Agreement, tedy pro společnosti s více než 250 uživateli.

Jeho součástí je předplatné služby Office 365 E3, obsahující licence aplikací Office 365 Pro Plus a přístupové licence k Exchange, SharePoint a Lync (Skype for Business) serveru, provozovaných v cloudu i on-premise, tedy licence, kterými jsme se zabývali v předchozích dvou dílech našeho seriálu. Zároveň jsou součástí i licence, o kterých jsme se dozvěděli v tomto článku, tedy předplatné Windows Software Assurance, vázané na uživatele a balíček Enterprise Mobility Suite, tedy licence pro služby Microsoft Intune, Azure Rights Management a Azure Active Directory Premium.

Seriál končí… starosti začínají?

Kombinace starého s novým dá vždycky dost zabrat. Bohužel, jen málokdy se nachomýtnete k tomu, abyste mohli stavět dokonale vyladěné prostředí IT na zelené louce a s dostatkem prostředků. Takže se na nějakou tu kombinatoriku (produktů, licenčních modelů, provozních modelů, vlastních i hostovaných/cloudových řešení) musíte duševně připravit. Nepouštějte se ale do složitějších projektů a úvah sami. Investovat čas a prostředky do konzultace se specialisty se mnohonásobně vyplatí. Každý má dělat to, co umí. A perfektní znalost licenčních možností, pravidel a nabídek je poměrně vzácná – neboť se získává dlouho a jen s velkou trpělivostí. Držíme vám palce, abyste ji měli. A nebo: abyste si dali poradit.

Radek Žalud, MCTS, Senior Software Specialist společnosti DAQUAS