Microsoft Intune

  • Article

Microsoft Intune (dříve známý jako Windows Intune) je cloudová služba sloužící ke správě počítačů a mobilních zařízení. Světlo světa spatřila tato služba již v roce 2011 a od té doby prošla mnohým vylepšením. V dnešním článku se podíváme na přehled toho, co vlastně služba Microsoft Intune nabízí a zároveň si představíme novinky z posledních vydání.

Co je to Microsoft Intune

Pokud jste o Microsoft Intune ještě neslyšeli, pak vězte, že se jedná o cloudovou službu sloužící ke správě počítačů a mobilních zařízení, které nemáte v rámci on-premise světa (Active Directory) pod vlastní správou. Tzn. jsou to zařízení, na kterých uživatelé pracují, přistupují k firemním datům a aplikacím, ale zároveň jsou to zařízení, která nejsou v doméně a tudíž je nemůžete centrálně řídit a spravovat.

Společně s rostoucím trendem BYOD zařízení se Microsoft zaměřil na vývoj technologií umožňující pohodlný a efektivní přístup k firemním datům právě z těchto zařízení. Mezi tyto technologie patří například Work Folders či Workplace join. Tyto technologie tedy umožňují přístup k firemním datům, ale už neřeší třeba zabezpečení koncových zařízení, ze kterých se k datům přistupuje. No a právě tady se do naší „BYOD party“ zařazuje služba Microsoft Intune.

K vyzkoušení toho, co Microsoft Intune vlastně umí, nepotřebujete budovat žádnou infrastrukturu (tedy instalovat servery apod.), či vaši stávající infrastrukturu nějak složitě konfigurovat. Stačí se zaregistrovat a službu si můžete po dobu 30 dní zcela bezplatně vyzkoušet a to bez jakéhokoli omezení. Služba Microsoft Intune pak může běžet zcela samostatně, dá se říci „nezávisle“ na vašem on-premise světě nebo s ním naopak může být úzce spjata a to díky spojení s Microsoft System Center 2012 Configuration Manager R2 za použití Windows Intune Connectoru. V takové konfiguraci nemusíte pro správu počítačů a mobilních zařízení ovládat dvě konzole, ale stačí se pohybovat pouze v jedné konzoli SCCM. To vše samozřejmě vede ke zjednodušení a zefektivnění správy vaší infrastruktury. Zde je zároveň potřeba doplnit jednu důležitou věc a to, že spojení se SCCM 2012 R2 přináší při správě zejména mobilních zařízení rozsáhlejší možnosti, než ty, které nabízí cloudová konzole samostatně. Na druhou stranu se ale tyto rozdíly postupně smazávají, zejména pak s příchodem podzimní aktualizace služby, kdy některé možnosti nastavení dříve dostupné pouze po spojení Microsoft Intune a SCCM 2012 R2 najdete i v samostatné cloudové konzoli.

Microsoft Intune – obecný přehled

A k čemu všemu vám tedy může být služba Microsoft Intune prospěšná? Obecně se dá o službě říci to, co bylo popsáno již v úvodu tohoto článku – cloudová služba sloužící ke správě počítačů a mobilních zařízení. To je ale samozřejmě dost široký pojem a může být trochu zavádějící. Ono totiž ne všechny možnosti, které v rámci Microsoft Intune najdete jsou dostupné pro tyto rozdílné světy. Tzn., že některá nastavení, která můžete vynutit na PC platformu, budete mezi nastaveními pro mobilní platformu hledat marně a samozřejmě i naopak. Pokud se budeme bavit o správě mobilních zařízení, tak tady ještě záleží na operačním systému daného zařízení a na jeho verzi. No a dále je třeba rozlišit, zda se bavíme o samostatné cloudové službě nebo o jejím spojení s SCCM 2012 R2.

image
Obrázek 1: Nový vzhled Admin Console pro správu zařízení

To nám přináší širokou škálu možných kombinací, které lze shrnout v obecném přehledu toho, co Microsoft Intune dokáže.

  • Správa počítačů a mobilních zařízení rozmanitých platforem bez nutnosti stávající serverové infrastruktury;
  • vynucené šifrování dat cílových zařízení;
  • hardware a software inventář a reporting;
  • monitoring cílových zařízení;
  • distribuce software.

Správa mobilních zařízení (MDM management)

Oblast MDM managementu prošla od prvních verzí, tehdy ještě Windows Intune, značnou proměnou. Pokud jste Windows Intune používali v minulosti, tak určitě víte, že Intune trpěl především omezeným počtem nastavení, která šla na cílová zařízení vynutit. A mnohá z těchto nastavení bylo možné aplikovat pouze na jednu platformu, nejčastěji iOS. Dále zde například zcela chyběla podpora pro Android platformu. Dnes je však situace zcela jiná.

MDM management můžeme zejména kvůli přehlednosti rozdělit do několika skupin:

Konfigurace a zabezpečení zařízení

Od počátku vzniku MDM managementu bylo zabezpečení zařízení jednou z hlavních priorit. V současné verzi Microsoft Intune najdete nepřeberné množství bezpečnostních nastavení, mezi nejzajímavější patří:

  • Nastavení hesla pro odemčení zařízení, včetně zapamatování historie hesel;
  • nastavení šifrování zařízení a jejich datových úložišť;
  • nejrůznější systémová nastavení v závislosti na dané platformě, například vynucení automatických aktualizací (Windows 8.1), či přístup k notifikacím z uzamčené obrazovky (iOS)
  • povolení přístupu k webovým prohlížečům;
  • povolení přístupu k obchodu s aplikacemi;
  • nastavení hardware - přístup k Wi-Fi, vytváření hotspotu, přístup ke kameře;
  • a další.

Na platformě iOS je pak horkou novinkou vytváření zcela vlastních bezpečnostních nastavení pomocí nástroje Apple Configurator, která lze následně do konzole Microsoft Intune naimportovat.

Novinkou je také podpora Kiosk módu, tedy definice toho, jaké funkce jsou na zařízení aktivní. Zde můžeme například omezit použití tlačítek hlasitosti, zoom obrazovky a další.

image
Obrázek 2: Přehled nového rozdělení politik pro mobilní zařízení

Správa aplikací

V dřívějších verzích Microsoft Intune bylo možné v rámci správy aplikací pouze aplikace tzv. vypublikovat na portál aplikací, odkud si je uživatelé následně nainstalovali, případně byli přesměrování do obchodu aplikací pro danou platformu. Dnes je možné na některé mobilní platformy aplikace instalovat bez intervence uživatelů, dále pak zjistit seznam nainstalovaných aplikací a porovnat je se seznamem povolených aplikací v rámci vaší organizace. Správa aplikací šla však ještě dále a nově umožňuje omezovat fungování aplikací jako takových – například omezit sdílení dat mezi jednotlivými aplikacemi, či v prostředí webových prohlížečů definovat povolené webové stránky.

Přístup k firemním zdrojům

Pomocí Microsoft Intune můžete nově na koncová zařízení distribuovat VPN profily, Wi-Fi profily, emailové profily, či certifikáty. To bylo samozřejmě možné i v dřívějších verzích, nicméně pouze ve spojení s SCCM 2012 R2.

Inventář a reporting

Hardwarový a softwarový inventář a reporting koncových zařízení je opět závislý na konkrétní platformě. Novinkou napříč platformami je ale například zjištění toho, zda je zařízení přehráno neoriginálním firmware, tzn. zda došlo k jailbreaku či rootu zařízení.

Správa počítačů

Microsoft Intune dále navazuje na předchozí generace i co se týče správy počítačů, i když novinek zde nenajdeme tolik, jako na poli mobilních zařízení. Vyjmenujme si proto základní možnosti při správě počítačů mezi které patří:

  • Konfigurace aktualizací operačního systému;
  • nastavení firewallu;
  • instalace, konfigurace a monitoring anti-malware ochrany v podobě Intune Endpoint Protection;
  • vzdálená pomoc;
  • distribuce aplikací;
  • hardwarový a softwarový inventář;
  • reporting.

Novinky na PC platformě mají charakter spíše kosmetických vylepšení, mezi které patří podpora nejnovějších verzí operačních systémů a další drobnosti.

Licencování

Oproti dřívějším verzím Windows Intune se toho na poli licenování moc nezměnilo. Licence jsou zacíleny na uživatele, kdy každý uživatel může mít v rámci své jedné licence přiřazeno až 5 zařízení.

Microsoft Intune lze pořídit v následujících SKU:

Windows Intune s Windows Software Assurance (SA)
Zahrnuje:

  • Cloudovou službu Windows Intune
  • Microsoft System Center Configuration Manager
  • Microsoft System Center Endpoint Protection
  • Windows SA zahrnující možnost upgradu na nejnovější verzi desktopového OS

Dostupnost:
V rámci programu MOSP

Cena:
$11/uživatel/měsíc

Windows Intune
Zahrnuje:

  • Cloudovou službu Windows Intune
  • System Center Configuration Manager
  • System Center Endpoint Protection

Dostupnost:
V rámci programu EA/EAS, MOSP

Cena:
$6/uživatel/měsíc

Windows Intune Add-on for System Center Configuration Manager
Zahrnuje:

  • Cloudovou službu Windows Intune (pouze ale jako doplněk ke stávajícímu řešení System Center Configuration Manager)

Dostupnost:
V rámci programu EA/EAS/EES

Cena:
Cena se liší v závislosti na programu - $4 v rámci programu EA/EAS, $2 v rámci programu EES

Ještě doplňme, že si Microsoft Intune můžete vyzkoušet zcela zdarma. K dispozici je 30-ti denní zkušební verze, která obsahuje veškeré funkcionality jako verze placená. V trial verzi platí jediné omezení a to omezení počtu uživatelských licencí na 100.

Podpora zařízení

Na poli mobilních zařízení podporuje dnes Microsoft Intune téměř všechny platformy. Novinkou v posledních verzí je podpora Android zařízeních. Naopak podporu pro BlackBerry zařízení Microsoft Intune nenabízí. Podporované platformy tedy jsou:

  • iOS 6.0 a vyšší;
  • Android 2.3.4 a vyšší;
  • Windows Phone 8 a vyšší;
  • Windows RT;

Při správě počítačů pak můžete počítat s podporou všech firemních edic operačních systému Microsoft počínaje Windows Vista až k nejaktuálnější verzi Windows 8.1.

Na závěr

Služba Microsoft Intune se hodí všude tam, kde k firemním datům a aplikacím přistupují uživatele ze zařízení, která nejsou v doméně a tudíž nemohou být centrálně spravovány. V nejnovějších verzích nabízí Microsoft Intune bezpočet nových bezpečnostních nastavení, vylepšenou správu aplikací na mobilní platformě, vylepšený monitoring, podporu Android zařízení a mnohá další vylepšení. Vyzkoušejte si Microsoft Intune po dobu 30ti dnů zcela zdarma a uvidíte, co vše dokáže. https://www.microsoft.com/en-us/server-cloud/products/microsoft-intune/features.aspx

- Lukáš Keicher, KPCS CZ

KPCS CZ je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.