Windows Apportals

Dopřejte uživatelům rychlý a pohodlný přístup k firemním aplikacím přímo jim na míru.

Možná jste někdy řešili problém, jak uživatelům doručit všechny aplikace potřebné pro jejich práci tak, aby je měli k dispozici rychle a i v moderní formě na dotykových a mobilních zařízeních. Asi jste řešili, jaké skupiny uživatelů se u vás ve firmě vyskytují a jaké typy instalačních obrazů si musíte připravit. A možná jste řešili i otázku umístění počítačů do veřejného prostoru ve formě kiosku. Možnou a elegantní odpovědí na tyto problémy a otázky jsou právě Windows Apportals.

Jak Apportals pracují

Jak název napovídá, jedná se o portál aplikací. Apportals umožňují propojit dynamicky odkazy na běžné a plné Win32 aplikace, moderní Windows Store aplikace a odkazy na běžné webové portály do jednoho přehledného rozcestníku, který může být graficky vyveden do firemních barev a identity a přitom plně podporuje možnosti dotykového rozhraní.

Jedinečnou výhodou zprostředkovávající onu dynamičnost je načítání obsahu a rozložení jednotlivých dlaždic aplikací dle přihlášeného uživatele. Můžete tedy využít jednu aplikaci a přitom nabídnout jiný set aplikací a zástupců vašemu managementu, jiný běžným zaměstnancům a opět jiný obchodníkům na cestách. Nebo učitelům, žákům či návštěvníkům školy.

Apportalsje v zásadě běžná Windows Store aplikace, kterou si můžete nainstalovat z obchodu s aplikacemi, doručit pomocí centrální instalace vašich zařízení, nebo pomocí PowerShellu. Můžete si ji tedy připnout na nabídku Start, nebo ji spustit automaticky po startu zařízení.

Upozorním, že Apportals jsou dostupné pouze pro edice Windows Enterprise. Samotné Apportals pak nejsou nijak zpoplatněny a jejich možnosti jsou vám k dispozici zcela zdarma. A jelikož mluvíme o Windows Store, podporovány jsou zařízení jen s Windows 8.1 nebo novějším.

1

Co tedy Apportals umožňují:

  • Seskupit jednotlivé aplikace do skupin
  • Zobrazovat jednotlivé skupiny na základě přihlášeného uživatele, jeho roli a náplni práce, organizace či umístění
  • Zobrazovat živé dlaždice ostatních aplikací zobrazující aktuální data ve zvolené velikosti
  • Poskytnout zástupce na moderní Windows Store aplikace
  • Poskytnout zástupce na klasické Win32 aplikace jako například součásti sady Office
  • Poskytnout zástupce na webové stránky
  • Integrovat určité specifické korporátní aplikace přímo do portálu
  • Uživatel nemůže měnit velikost a rozložení jednotlivých zástupců
  • Zobrazit informaci o přihlášeném uživateli
  • Zobrazit informaci na lokální IT či jiné kontaktní údaje

Příkladem může být například portál firemního prodejce.

2

Obdobně mohou Apportals fungovat ve škole, nemocnici, prodejních stáncích, katalozích produktů, kioscích, recepcích, zasedacích místnostech a tak podobně kdekoliv, kde je potřeba na základě rolí nabídnout jiné aplikace uživatelům. Apportals se přizpůsobují jako jiné moderní aplikace velikosti ovládací plochy či obrazovky a tak i na mobilních zařízeních získají uživatelé graficky příjemný a přitom snadně ovladatelný portál podobně jako na plnohodnotném počítači.

A jaké identity Apportals podporují? Primárně umí pracovat s přihlášením oproti lokální AD nebo Office 365 a tedy Azure AD. Pokud se vydáte cestou popsanou níže, můžete ale integrovat i jiné systémy identit. Uživatelé mohou zástupce aplikací z portálu také připnout na svojí Start nabídku, aby měli k oblíbeným aplikacím ještě rychlejší přístup.

3

Tvoříme vlastní portál

A jak lze takový Apportals pro vaši společnost získat? Na stránkách společnosti Microsoft je k dispozici možnost registrace, po které získáte přístup ke generátoru portálů, aplikaci pro jejich prohlížení a příručku, která vás celým procesem provede. Druhou variantou je kontaktování partnera společnosti Microsoft, který s vámi celý proces projde a pomůže s výběrem aplikací a vhodným nasazením takového portálu na koncová zařízení.

Při stavbě samotného portálu pomocí generátoru můžete volit z předpřipraveného setu typických organizací dle zaměření. Dle něj se připraví zástupci a rozložení typické pro daný sektor. Můžete jej ale zahodit a případně začít budovat zcela od zelené louky. Vyberete firemní logo, název společnosti, a vzhled portálu. Následně vytvoříte role, které bude portál podporovat, a přidáte aplikace a odkazy na webové portály, které chcete uživatelům zpřístupnit. Při výběru aplikací máte možnost vybrat klasické instalované aplikace jako Word, Excel nebo moderní aplikace jako EverNote či OneDrive. V posledním kroku pak vytvoříte soubor s portálem pro jeho publikaci a instalaci.

Toť jednoduchá cesta průvodcem. Pro odvážnější z vašich řad je zde možnost pomocí Visual Studia editovat vygenerovaný soubor s XML definicí portálu a generovat si portál mnohem více přizpůsobený vašim firemním potřebám. Tento postup ovšem již vyžaduje vývojářskou licenci pro odemknutí některých vlastností systému Windows. Touto metodou je možné portál rozšířit například o přímé napojení na další interní systémy, které mohou rovnou v portálu zobrazovat svoje data. Tato data mohou být opět dynamicky filtrována na základě přihlášeného uživatele. Obchodníci z Prahy uvidí jen zákazníky pražské a naopak kolegové z Brna jen zákazníky brněnské, vedoucí obchodního oddělení pak všechny. Pokud aplikace využívá online data z interních systémů a samotné aplikace nemají off-line možnosti, můžete touto metodou aktivovat a dopsat vlastní systém pro dočasné ukládání takovýchto dat. Příručka napovídá doporučené technologie a obsahuje i příklady zdrojového kódu i doporučení pro vzhled a sestavení portálu podporující flexibilně různá zobrazení i koncová zařízení změnou rozvržení zobrazení svého obsahu.

Kiosek efektivnější a bezpečnější

Režim, kdy je počítač umístěn ve veřejně přístupném prostoru a jeho uživatelem se může stát v podstatě kterýkoliv kolemjdoucí, býval dříve v dobách Windows XP a starších systémů postrachem většiny administrátorů. Ano, existovaly nástroje třetích stran umožňující si práci trochu zjednodušit, ale většinou jste se dlouhému testování systémových a doménových politik nevyhnuli. A uživatelská zkušenost nebyla vpravdě nejlepší.

Právě u Windows XP se situace začala obracet a možná pamatujete nástroj Shared Computer Toolkit. Ten umožňoval pomocí průvodce nastavit a nasadit sdílený uživatelský profil bez možnosti měnit nastavení počítače a bez možnosti zapisovat na pevné disky počítače. A pokud jste potřebovali i něco dalšího, stále jste mohli využít běžné systémové politiky.

4

S příchodem Windows Vista přišla i vylepšená verze v podobě nástroje Windows SteadyState. Ten zpětně podporoval nastavení i Windows XP a v základu umožňoval vypnout i další funkce operačního systému, které by mohly zákeřným či nešikovným uživatelům umožnit kiosek rozložit na elementární částice a s ním i další systémy.

5

SteadyState byl ve své poslední verzi kompatibilní i s Windows 7, nicméně jeho vývoj a podpora byly po čase pozastaveny. Společnost Microsoft místo něj vydala podrobnou příručku, jak docílit všech jeho vlastností pomocí nativních funkcí systému Windows 7 a systémových politik. Práce administrátora byla tedy opět těžší, ale variabilita scénářů a možností se mnohonásobně rozšířila pro nové funkce v systému obsažené, především s novým Internet Explorerem. Velmi podobná situace byla u Windows 8, ačkoliv jinak znamenaly převrat v mnohém.

Windows 8.1

Nyní se dostáváme již do doby nedávné, tedy vylepšených Windows 8.1 a kráse Apportals. I zde jste stále samozřejmě měli možnost využít systémových politik pro nastavení nejen esenciálních vlastností systému, ale novinka v podobě funkce Assigned Access, česky Přiřazený přístup, mnohé usnadnila.

Pomocí vytvoření speciálního účtu pro tuto funkci bylo možné automaticky nastavit jeho přihlášení a spuštění moderní aplikace z Windows Store, tedy obchodu s aplikacemi. Tedy nikoliv klasické a běžné Win32 aplikace. Aplikaci nebylo možné ukončit, minimalizovat, použít dalších běžných klávesových zkratek či funkcí systému. Tedy ideální scénář pro počítače v režimu kiosku. Při využití internetového prohlížeče byla situace lehce specifická a bylo doporučeno použití systémových politikpro omezení dodatečného přístupu, neboť prohlížeče mohou mít vyšší oprávnění, než běžné aplikace.

6

Windows 10

Samozřejmě je funkce Assigned Access přítomná i v nových Windows 10. Ovšem přibyly nám další možnosti jejího nastavení mimo ovládací panely a systémové politiky. Nově můžete využít MDM (Mobile Device Management) politiky cílené na konkrétní počítače spravované v rámci Microsoft Intune nebo v jiném řešení. Využít můžete taktéž PowerShell, nebo vytvořit takzvaný Provisioning Package, ve kterém si připravíte potřebné nastavení předem. Následně jej na stanici spustíte a vše bude nastaveno automaticky.

Výhodou poslední metody je budoucí podpora jak nastavení tradičních Windows 10 pro počítače a tablety, ale i Windows 10 Mobile, neboli dnešních zařízení s Windows Phone. I těm nyní můžeme pomocí MDM aktivovat podobný režim, kdy jsou dovoleny pouze určitá nastavení či aplikace. Na rozdíl od MDM ovšem balíček nepotřebuje internetovou konektivitu, vůbec samotné MDM řešení a může být použit na zařízení rychle dle potřeby. Při využití Microsoft Intune ovšem můžeme takovýto balíček doručit uživateli v podobě politik jen díky jeho přihlášení do firemního profilu jeho firemním účtem.

Pomocí konfiguračního balíčku můžete ovšem také do zařízení doručit další aplikace, použít nastavení počítače, instalovat potřebné certifikáty či profily připojení, konfigurovat zabezpečení zařízení, nastavit nabídku Start, připojit počítač do domény, nahrát pozadí a mnohé další. A co je nejpříjemnější, můžete bez velké instalace povýšit i OEM instalaci systému na edici Enterprise. Pokud tedy nepotřebujete obyčejný terminálový počítač s přístupem do Internetu, ale zařízení pro mobilní pracovníky ve výrobní hale, brigádníky, či ukázková zařízení pro prezentaci produktů, je konfigurační balíček nejlepší volbou.

Takový balíček vytvoříte pomocí Windows Imaging and Configuration Designer (ICD), který lze získat po stažení Windows Assessment and Deployment Kit (WADK). V něm se nabídne volba vytvoření nového balíčku, nebo editace stávajícího. Na výběr máte v úvodní obrazovce volbu cílového operačního systému:

  • All Windows
  • Windows Desktop
  • Windows Mobile
  • Windows IoT Core

Dle této volby se načtou pravidla, která je pro zvolenou edici možno nastavit. Pokud vyberete univerzální All Windows je možné, že některé volby nebudou k dispozici. Nastavení ale zafunguje i na ostatních typech systému. Po provedení všech nastavení musíte zadat informace o balíčku v podobě jeho názvu a tvůrce (Microsoft, OEM, System Integrator, IT Admin) a zda chcete obsah balíčku chránit šifrováním s heslem nebo digitálním podpisem. Na zařízeních následně můžete politiko vynutit, aby bylo možné spouštět například jen balíčky vaší společnosti.

7

Další novinkou, která ve Windows 10 lépe ochrání nejen sdílené a veřejně přístupné počítače, je Device Guard. Pomocí virtualizace a definice povolených aplikací nebo důvěryhodných vydavatelů můžete omezit spouštění aplikací pouze na povolené podobně jako u technologie AppLocker. Ovšem s tím rozdílem, že Device Guard právě s pomocí virtualizace chrání samotný operační systém a logiku kontroly povolených aplikací před útočnými aplikacemi a virovou nákazou. Využití této funkce vyžaduje podporu ze strany hardware počítače a vlastnit certifikát pro podepisování zdrojového kódu. Nicméně v opravdu zabezpečených provozech přijde právě tato technologie vhod.

Pomocí výše uvedených funkcí Windows 8.1 a Windows 10 můžete nejen Apportals portál nasadit a používat na koncových zařízeních ještě s mnohem větší mírou bezpečnosti.

Potřebujete centrálně nasadit počítače v režimu omezeného přístupu a chcete využít výhod Apportals? Zvyšte zabezpečení firemních dat bez nutnosti vykoupit ji sníženou uživatelskou zkušeností. Zeptejte se profesionálů, obraťte se na KPCS CZ , držitele ocenění Microsoft Awards.

- Petr Vlk ( KPCS CZ , WUG CZ )