Технологии Microsoft для ориентирования на потребителей

Дата публикации: 19 апреля 2011 г.

Рабочее место меняется. Границы между профессиональной и личной жизнью людей размываются. Работа больше не ограничена офисом. Сотрудники проверяют рабочую почту дома по ночам и посещают социальные сети днем в офисе. Помимо настольных компьютеров они используют портативные, планшетные компьютеры и смартфоны.

Этой тенденции способствует увеличение вычислительной мощи широкого диапазона устройств. Пользовательские устройства, включая смартфоны и мультимедийные планшеты, становятся достаточно мощными для запуска приложений, которые раньше могли работать только на настольных и портативных компьютерах. Для многих сотрудников эти устройства представляют собой будущее вычислений и помогают им более эффективно выполнять свою работу.

В мире, где инфраструктуры информационных технологий (ИТ) с высоким уровнем управления могут казаться неудобными, работники могут предпочитать использовать множество доступных потребительских устройств. Для ИТ проблема заключается в принятии ориентации на потребителя нужным образом, одновременно снижая риски для предприятия и его данных. Многие потребительские устройства изначально не были предназначены для использования в целях бизнеса, поэтому требуется тщательное планирование ИТ для обеспечения необходимого уровня управления и контроля.

Корпорация Microsoft, как лидер в потребительских и бизнес-технологиях, обладает уникальными возможностями для понимания и предоставления руководств по ответственному принятию ориентации на потребителя на предприятиях. В предыдущем документе Стратегии принятия ориентации на потребителей можно ознакомиться с определенными стратегиями принятия последних тенденций ориентации на потребителей. В данной статье рассматриваются определенные технологии, рекомендованные в упомянутом выше документе в различных сценариях.

Содержание статьи

• Windows Optimized Desktop
• Облачные службы Windows
• Microsoft Application Virtualization
• Инфраструктура виртуальных настольных систем
• Выбор правильной технологии
• Поддержка смартфонов и мобильных ОС
• Заключение

Windows Optimized Desktop

Windows Optimized Desktop предоставляет клиентским вычислениям возможность повышения производительности пользователей, обеспечивая соответствие определенным требованиям бизнеса и ИТ. Windows Optimized Desktop, основанный на операционной системе Windows 7 Enterprise, управляемый Microsoft System Center и защищенный Microsoft Forefront Endpoint Protection, включает технологии виртуализации с интегрированным управлением для физических и виртуальных машин (VM), включая инфраструктуры виртуальных рабочих столов. Добавьте Microsoft Office 2010, Windows Internet Explorer 9 и пакет Microsoft Desktop Optimization Pack (MDOP) для повышения производительности, управляемости и безопасности сотрудников.

Этот раздел посвящен определенным технологиям Windows Optimized Desktop, помогающим ИТ перейти к ориентации на потребителей на мультимедийных устройствах под управлением Windows 7. Эти технологии могут решить такие задачи, как управление приложениями и данными пользователей, защита данных, сети и интеллектуальной собственности в сценариях ориентации на потребителей.

Управление приложениями

В сценариях ориентации на потребителей управление приложениями заключается в их предоставлении и управлении приложениями, которые могут запускать пользователи на своих компьютерах. System Center Configuration Manager 2007 и Microsoft Application Virtualization (App-V) — ключевые технологии развертывания. Кроме того, AppLocker — это функция Windows 7 Enterprise, которую можно использовать для управления доступом к приложениям.

Configuration Manager предоставляет богатый набор инструментов и ресурсов, которые можно использовать для управления сложными задачами создания, изменения и распространения пакетов приложений на компьютеры предприятия. Развертывание приложений с использованием существующей инфраструктуры Configuration Manager выполняется очень просто. В статье Рабочие процессы администратора для распространения программного обеспечения в библиотеке TechNet подробно описывается этот процесс:

1. Создание пакета распространения программного обеспечения, содержавшего установочные файлы приложения.
2. Создание программы для включения в пакет. Помимо других возможностей, программа определяет команды, необходимые для установки пакета приложений.
3. Распределение пакета в точки распространения.
4. Разместить объявление о пакете среди компьютеров организации.

Организации, использующие System Center Essentials, также могут использовать его для распространения приложений. Дополнительные сведения о Essentials доступны на веб-сайте System Center Essentials. Техническое руководство по развертыванию приложений доступно в документе Руководство по эксплуатации System Center Essentials 2010.

Для контроля доступа к физическим или виртуальным приложениям Windows 7 Enterprise предоставляет AppLocker. AppLocker — новая функция, заменяющая функцию политики ограниченного использования программ в предыдущих версиях Windows. Она добавляет возможности, позволяющие снизить административные издержки и помочь в управлении доступом пользователей к программным файлам, сценариям и файлам установщика Windows. Использование AppLocker для управления доступом к физическим приложениям позволяет предотвратить выполнение нелицензионных, вредоносных и несанкционированных приложений.

Для использования AppLocker необходимо создать объект групповой политики (GPO), а затем определить в нем правила AppLocker. В правиле можно разрешить или запретить доступ определенного пользователя или группы к файлу программы, сценарию или файлу установщика Windows. Файл определяется на основе атрибутов, — включая издателя, название продукта, имя и версию файла, — из цифровой подписи. Например, можно создать правила на основе атрибутов product-name и file-version, сохраняющиеся при выполнении обновлений, или правила для определенной версии файла. Помимо разрешения или запрета доступа к файлу можно определять исключения. Например, можно создать правило, разрешающее запуск всех программ, входящих в состав Windows 7, за исключением редактора реестра (regedit.exe).

Функция AppLocker невероятно проста в настройке и развертывании. Она предоставляет мастера для простого определения правил для программных файлов, сценариев и файлов установщика Windows. Однако, поскольку AppLocker запрещает пользователям открывать или выполнять файлы, явно не определенные в правиле, развертывание AppLocker следует планировать после изучения инвентаризации приложений, используемых в среде. Дополнительная информация о AppLocker доступна в статье AppLocker на веб-сайте TechNet.

Виртуализация пользовательской среды

Отдельная проблема принятия ориентации на пользователей — сотрудники, работающие на нескольких компьютерах. Этот сценарий может быть непростым как для конечных пользователей, так и для ИТ-специалистов. Файлы и параметры пользователей не следуют за ними при перемещении между компьютерами. Например, при создании пользователем документа на своем рабочем компьютере этот документ не становится сразу доступным, если пользователь переключается на использование планшетного компьютера или виртуальной машины, доступ к которой осуществляется с компьютера под управлением ОС, отличной от Windows. Для ИТ децентрализованное хранилище файлов и параметров приводит к еще большим проблемам. Резервное копирование файлов затруднено. Трудно обеспечить их защиту. А поскольку они хранятся на множестве компьютеров, доступностью важных файлов трудно управлять.

Виртуализация пользовательской среды позволяет решить эти проблемы. Она позволяет централизовать хранилище файлов и параметров для упрощения их защиты и резервного копирования. Можно управлять доступностью важных файлов. Кроме того, виртуализация пользовательской среды позволяет сохранять файлы и параметры пользователей при перемещении между компьютерами и даже виртуальными машинами. В Windows 7 виртуализацию пользовательской среды поддерживают три технологии:

• Перемещаемые профили пользователей позволяют сохранять профили пользователей (то есть файлы, сохраненные в папке C:\Users\Username, включая файл куста реестра) на общем сетевом ресурсе. Windows 7 синхронизирует локальные и перемещаемые профили пользователей при входе и выходе пользователей из систем компьютеров. Дополнительные сведения приведены в статье Новые возможности перенаправления папок и профилей пользователей.
• Функция перенаправления пользователей используется для перенаправления таких папок, как «Документы», «Рисунки» и «Видео» из профиля пользователя в общей сетевой ресурс. Перенаправление папок уменьшает размер перемещаемых профилей пользователей и может повысить производительность входа и выхода из системы. Настройка перенаправления папок осуществляется с помощью групповой политики. Важное различие перемещаемых профилей пользователей и перенаправления папок состоит в том, что перемещаемые профили пользователей используются в основном для параметров, а перенаправление папок — для документов. Дополнительные сведения приведены в статье Новые возможности перенаправления папок и профилей пользователей.
• Автономные файлы, включенная по умолчанию функция Windows 7, позволяет работать с перенаправленными папками и другим общим сетевым содержимым при отключении от сети благодаря локальному кэшированию копий. Функция автономных файлов синхронизирует изменения, когда подключение станет доступным в следующий раз. Дополнительные сведения приведены в статье Новые возможности автономных файлов.

Руководство Планирование и разработка инфраструктуры: Виртуализация пользовательской среды Windows может помочь в реализации виртуализации пользовательской среды.

Защита локальных данных

Шифрование диска BitLocker — встроенная функция защиты Windows 7 Enterprise, помогающая защитить данные, хранящиеся на внутренних дисках и диске операционной системы. BitLocker помогает защититься от автономных атак, осуществляемых путем отключения или обхода установленной операционной системы, или физического извлечения жесткого диска для атаки только данных. BitLocker помогает обеспечить возможность пользователей выполнять чтение и запись данных на жестком диске только при наличии пароля, учетных данных смарт-карты или при использовании диска с данными на компьютере, защищенном средством BitLocker, с верными ключами.

Защита BitLocker на дисках операционной системы поддерживает двухфакторную проверку подлинности с использованием доверенного платформенного модуля (TPM) вместе с персональным идентификационным номером (ПИН) или ключом запуска, а также однофакторную проверку подлинности путем сохранения ключа на USB-устройстве флэш-памяти или простого использования TPM. Использование BitLocker вместе с TPM обеспечивает улучшенную защиту данных и помогает гарантировать целостность компонентов загрузки на ранних этапах. Для этого необходимо, чтобы компьютер был оснащен совместимым микрочипом TPM и BIOS:

• Под совместимым TPM понимается TPM версии 1.2.
• Совместимый BIOS должен поддерживать TPM и статический корень измерения доверия (Static Root of Trust Measurement), определенный в спецификациях TCG. Подробнее о спецификациях TPM см. в разделе «TPM Specifications» на веб-сайте Trusted Computing Group.

TPM взаимодействует с системой защиты диска операционной системы BitLocker для обеспечения защиты при загрузке системы. Эти действия не видны пользователю, и процесс входа пользователя в систему не меняется. Однако при изменении информацию о запуске BitLocker перейдет в режим восстановления, а для восстановления доступа к данным пользователю потребуется пароль восстановления.

В документе Руководство по развертыванию шифрования диска BitLocker для Windows 7 содержатся подробные указания по развертыванию BitLocker. Кроме того, для управления BitLocker доступно множество параметров групповых политик. С ними можно ознакомиться в документе Справка по групповым политикам BitLocker. BitLocker можно предоставить во время развертывания с помощью набора Microsoft Deployment Toolkit (MDT) 2010 или Configuration Manager. Дополнительные сведения см. в документации MDT 2010.

BitLocker не входит в состав Windows 7 Home Premium и Windows 7 Professional. Если ваши сотрудники могут использовать устройства под управлением этих операционных систем, можно использовать файловую систему EFS для защиты корпоративных данных на этих компьютерах. Однако в отличие от BitLocker файловая система EFS не обеспечивает шифрование всего тома. Вместо этого пользователи указывают папки и файлы, которые должны быть зашифрованы. Более подробные сведения о файловой системе EFS в Windows 7 см. в статье Файловая система EFS.

Примечание: Пользователи операционных систем Windows 7 Home Premium и Windows 7 Professional могут использовать программу обновления Windows Anytime Upgrade для обновления на Windows 7 Ultimate за дополнительную плату. При этом будет предоставлено средство BitLocker. Дополнительная информация о программе обновления Windows Anytime Upgrade доступна на странице Программа обновления Windows Anytime Upgrade.

Съемные носители

В операционной системе Windows 7 Enterprise средство BitLocker To Go расширяет BitLocker на портативные устройства, такие как USB-устройства флэш-памяти. Пользователи могут шифровать съемные носители, используя пароль или смарт-карту. Авторизованные пользователи могут просматривать информацию на любом компьютере под управлением Windows 7, Windows Vista или Windows XP с помощью BitLocker To Go Reader. Кроме того, с помощью групповой политики можно установить необходимость защиты данных для записи на любые съемные устройства, но использование незащищенных устройств хранения можно разрешить исключительно в режиме "только для чтения".

В документе Руководство по развертыванию шифрования диска BitLocker для Windows 7 содержатся подробные указания по использованию BitLocker To Go. Кроме того, для управления BitLocker доступно множество параметров групповых политик, которые описаны в документе Справка по групповым политикам BitLocker.

Архивы

Средство резервного копирования и восстановления Windows 7 позволяет создавать безопасные копии наиболее важных личных файлов пользователей. Можно установить автоматический выбор объектов для архивации системой Windows или выбрать отдельные папки, библиотеки и диски для резервного копирования с наилучшим подходящим расписанием. Windows поддерживает резервное копирование на другой диск или носитель DVD. Windows 7 Professional, Windows 7 Ultimate и Windows 7 Enterprise также поддерживают резервное копирование файлов на общий сетевой ресурс.

Несмотря на то, что Windows 7 предоставляет встроенную функцию резервного копирования, которую могут применять пользователи для собственных устройств, System Center Data Protection Manager (DPM) 2010 позволяет организациям создавать двухуровневое решение резервного копирования, сочетающее удобство и надежность диска для краткосрочных архивов, к которому обращено большинство запросов на восстановление, с безопасностью ленты или другого съемного носителя для долгосрочного архивирования. Эта двухуровневая система помогает смягчить проблемы, связанные с решениями резервного копирования на магнитную ленту, одновременно обеспечивая обслуживание долгосрочных внешних архивов.

Что важно для сценариев ориентации на потребителей, DPM 2010 добавляет поддержку защиты клиентских компьютеров, таких как переносные и планшетные компьютеры, не всегда подключенных к сети. Кроме того, пользователи могут восстанавливать свои данные, не дожидаясь администратора резервного копирования. Дополнительные сведения о DPM 2010 доступны в статье System Center Data Protection Manager 2010.

Доступ к сети

Forefront Unified Access Gateway (UAG) 2010 предоставляет удаленным клиентским конечным точкам безопасный доступ к корпоративным приложениям, сетям и внутренним ресурсам через веб-сайт. Клиентские конечные точки — это не только компьютеры под управлением Windows, но и устройства под управлением других ОС. Поддерживаются следующие сценарии:

• Forefront UAG как сервер публикаций. Forefront UAG можно настроить для публикации корпоративных приложений и ресурсов, и контролируемым образом предоставить удаленным пользователям доступ к этим приложениям с различных конечных точек и устройств.
• Forefront UAG как сервер DirectAccess. Forefront UAG можно настроить в качестве сервера DirectAccess, расширяя преимущества DirectAccess на всю инфраструктуру для улучшения масштабируемости и упрощения развертывания и текущего управления. Forefront UAG DirectAccess обеспечивает эффективное подключение к внутренней сети для пользователей с доступом к Интернету. Запросы внутренних ресурсов безопасно перенаправляются во внутреннюю сеть без необходимости VPN-подключения.
• Развертывание одного и нескольких серверов. Можно настроить один сервер как сервер публикаций и сервер Forefront UAG DirectAccess, или выполнить развертывание массива из нескольких серверов для обеспечения масштабируемости и высокой доступности.

В документе Планирование и разработка инфраструктуры: Forefront Unified Access Gateway на веб-сайте TechNet содержатся инструкции по проектированию развертывания Forefront UAG. Подробное техническое руководство содержится в документе Forefront Unified Access Gateway (UAG) на веб-сайте TechNet.

Сетевая безопасность

Защита доступа к сети (NAP) включает клиентские и серверные компоненты, позволяющие создавать и обеспечивать выполнение требований политик работоспособности, определяющих необходимую конфигурацию программного обеспечения и системы для компьютеров, подключенных к сети. NAP обеспечивает выполнение требований к работоспособности, проверяя и оценивая работоспособность клиентских компьютеров, ограничивая доступ для клиентских компьютеров, не соответствующих требованиям, и исправляя несоответствующие требованиям компьютеры для предоставления им неограниченного доступа к сети. NAP обеспечивает выполнение требований к работоспособности на клиентских компьютерах, пытающихся подключиться к сети. NAP также может обеспечивать постоянную проверку соответствия требованиям работоспособности при подключении к сети клиентского компьютера, соответствующего требованиям.

Принудительная защита осуществляется при попытке доступа к сети клиентских компьютеров через серверы сетевого доступа, такие как сервер виртуальной частной сети (VPN) с маршрутизацией и удаленным доступом (RRAS), или при попытке клиентов связаться с другими сетевыми ресурсами. Способ применения защиты доступа к сети зависит от выбранного метода принудительного применения. NAP обеспечивает выполнение требований к работоспособности для следующего.

• Защищенная связь по протоколу IPSec
• Подключения с проверкой подлинности 802.11 Института инженеров по электротехнике и электронике (Institute of Electrical and Electronics Engineers, IEEE)
• VPN-подключения
• Настройка протокола DHCP (Dynamic Host Configuration Protocol)
• Подключения шлюза служб терминалов (Шлюз TS)

Документ Руководство по проектированию защиты доступа к сети может помочь в проектировании развертывания NAP. В документе Руководство по развертыванию защиты доступа к сети содержится подробное техническое руководство для описанных выше сценариев.

В Configuration Manager защита доступа к сети позволяет включать обновления программного обеспечения в требования к работоспособности системы. Политики защиты доступа к сети Configuration Manager определяют обновления программного обеспечения для включения, а средство проверки работоспособности системы Configuration Manager передает соответствующее или несоответствующее требованиям состояние клиентского компьютера серверу сетевых политик (NPS). Затем сервер NPS определяет наличие у клиента полного или ограниченного доступа к сети, и решает, будут ли исправляться несоответствующие требованиям клиенты. Дополнительные сведения о защите доступа к сети в Configuration Manager см. в документе Защита доступа к сети в Configuration Manager.

Защита информации

Помимо защиты локальных данных и доступа к сети другим важным моментом при принятии ориентации на потребителя является защита доступа к деловой информации, такой как интеллектуальная собственность. Для защиты этой информации доступно две технологии.

• Службы управления правами. Использование служб управления правами Active Directory (AD RMS) и клиента AD RMS позволяет расширить принятую в организации стратегию безопасности, предлагая механизм защиты информации с помощью постоянных политик использования, которые сопровождают информацию на всем пути ее следования. AD RMS можно использовать для предотвращения случайного или намеренного попадания конфиденциальной информации, такой как финансовые отчеты, спецификации продуктов, данные клиентов и конфиденциальная электронная почта, в руки посторонних лиц. Примеры приложений с интеграцией с AD RMS — Microsoft Exchange Server 2010 и Microsoft Office SharePoint Server 2010. Дополнительные сведения о AD RMS доступны в статье Службы управления правами Active Directory.
• Инфраструктура классификации файлов. Для снижения затрат и рисков, связанных с этим типом управления данными, инфраструктура классификации файлов в Windows Server 2008 R2 предоставляет платформу, позволяющую классифицировать файлы и применять политики на основе этой классификации. На схему хранения не влияют требования к управлению данными, и можно легко адаптироваться к меняющейся правовой и бизнес-среде. Файлы могут быть классифицированы различными способами. Кроме того, можно указать политики управления файлами на основе классификации файлов и автоматически применить корпоративные требования к управлению данными на основе бизнес-ценности. Можно просто изменять политики и использовать инструменты с поддержкой классификации для управления файлами. Например, можно автоматически управлять правами на файлы, содержащие слово конфиденциально. Дополнительную информацию об инфраструктуре классификации файлов см. в статье Работа с классификацией файлов.

Облачные службы Windows

Для организаций, у которых отсутствуют ресурсы или инфраструктура для поддержки Windows Optimized Desktop, служба Windows Intune может предоставить основные возможности управления и обеспечения безопасности. Организации, внедрившие Windows Optimized Desktop, могут управлять группами неуправляемых компьютеров (домашние и рабочие компьютеры, а также потребительские устройства под управлением Windows, которые пользователи приносят на работу), используя Windows Intune (рис. 1).

Рис. 1. Windows Intune

Windows Intune помогает в управлении и защите компьютеров в вашей среде благодаря сочетанию облачных служб Windows и лицензированию обновлений. Windows Intune предоставляет возможности управления и обеспечения безопасности на основе облака с использованием одной веб-консоли управления. Windows Intune позволяет управлять компьютерами практически из любых мест, требуется только подключение к Интернету и клиент Windows Intune, установленный на всех управляемых компьютерах. Кроме того, активная подписка Windows Intune предоставляет право на обновление на будущие версии Windows с преимуществами программы Microsoft Software Assurance для Windows.

Консоль управления Windows Intune систематизирует следующие задачи управления в следующие рабочие области, которыми можно управлять практически из любого обозревателя с поддержкой Microsoft Silverlight:

• System Overview (Обзор системы). Рабочая область «System Overview» (Обзор системы) — это отправная точка для оценки общего состояния работоспособности компьютеров в организации, обнаружения проблем и выполнения основных задач управления, таких как создание групп компьютеров и просмотр отчетов.
• Computers (Компьютеры). Рабочая область «Computers» (Компьютеры) предназначена для создания и управления группами компьютеров для обеспечения простого и гибкого управления. Можно организовывать группы в соответствие с потребностями организации (например, по географическому местоположению, отделу или характеристикам оборудования) и перемещать компьютеры между группами.
• Updates (Обновления). Рабочая область «Updates» (Обновления) используется для администрирования эффективности процесса обновления программного обеспечения для всех управляемых компьютеров в организации. Консоль администрирования Windows Intune поддерживает и поощряет применение рекомендаций по управлению обновлениями, а также позволяет сосредоточиться на среде и выполняемых задачах.
• Endpoint Protection. Windows Intune Endpoint Protection помогает усилить безопасность управляемых компьютеров в организации, предоставляя защиту в реальном времени от потенциальных угроз, обеспечивая актуальность определений вредоносных программ и автоматически выполняя проверки. Консоль администрирования Windows Intune предоставляет сводки состояния Endpoint Protection, что позволяет в случае обнаружения вредоносного программного обеспечения на управляемом компьютере, или если компьютер не защищен, быстро выявить затронутый компьютер и предпринять соответствующие действия.
• Alerts (Предупреждения). Рабочая область «Alerts» (Предупреждения) используется для быстрого доступа к общему состоянию работоспособности управляемых компьютеров в организации. Область «Alerts» (Предупреждения) позволяет выявлять возможные или текущие проблемы и предпринимать действия для предотвращения или минимизации негативного воздействия на бизнес-операции. Например, можно просмотреть все последние предупреждения для получения полной картины работоспособности компьютера. Или может потребоваться исследовать определенные проблемы членов определенных групп компьютеров или конкретных рабочих областей, например, Endpoint Protection. При помощи фильтров можно просматривать все предупреждения определенного уровня серьезности и отображать активные или закрытые предупреждения.
• Software (Программное обеспечение). В рабочей области «Software» (Программное обеспечение) содержится список программ, установленных на всех клиентских компьютерах под управлением Windows Intune; область также позволяет сортировать инвентаризацию по издателю программного обеспечения, имени, числу установок и категории. Каждому уникальному названию программного обеспечения соответствует запись в списке. Существует возможность поиска конкретного программного обеспечения.
• Licenses (Лицензии). Рабочая область «Licenses» (Лицензии) позволяет загрузить информацию лицензионного соглашения Microsoft на веб-сайт служб Microsoft Volume Licensing Services (MVLS) и определить лицензионные права, соответствующее набору соглашений с Microsoft о корпоративном лицензировании.
• Policy (Политика). Рабочая область «Policy» (Политика) используется для настройки политик Windows Intune для управления параметрами обновлений, Endpoint Protection, брандмауэром Windows и Windows Intune Center на компьютерах. Можно создавать политики на основе шаблонов, настраивать параметры политик, а затем выполнять развертывание политик в группах компьютеров. Шаблоны политик включают описания параметров и рекомендованные значения. Кроме того, можно выполнить поиск политик по имени или описанию.
• Reports (Отчеты). Хотя другие рабочие области консоли администрирования Windows Intune также предоставляют возможности поиска и фильтрации, рабочую область «Reports» (Отчеты) можно использовать для получения более подробных отчетов, а также печати и экспорта информации. Рабочая область «Reports» (Отчеты) предоставляет отчеты для обновлений, программного обеспечения и лицензирования. Например, отчет «License Reconciliation» (Сверка лицензий) предоставляет подробный список программного обеспечения, сравненного с лицензиями.
• Administration (Администрирование). Рабочая область «Administration» (Администрирование) позволяет загружать последнюю версию клиентского программного обеспечения, просматривать данные учетной записи Windows Intune (такие как имя учетной записи, состояние и число активных пользователей) и добавлять к учетной записи администраторов. Инструменты в рабочей области «Administration» (Администрирование) также позволяют настраивать типы обновлений для развертывания на управляемых компьютерах в организации и отправлять уведомления по электронной почте другим сотрудникам организации при создании определенных предупреждений. Кроме того, можно включить или отключить предупреждения определенного типа, чтобы сосредоточиться на наиболее важных предупреждениях в среде.

Предупреждения удаленной помощи предоставляют ключевое средство устранения неполадок на управляемых компьютерах. Пользователь управляемого компьютера может инициировать запрос удаленной помощи, который создает предупреждение. При просмотре предупреждения в консоли администрирования Windows Intune можно принять запрос. При принятии запроса открывается сеанс Microsoft Easy Assist, что позволяет выполнить удаленное устранение неполадок на компьютере пользователя.

Windows Intune также предоставляет права на обновление Windows 7 Enterprise по программе Software Assurance. Права на обновление, предоставленные Windows Intune, позволяют обновить любой компьютер, управляемый Windows Intune и соответствующий минимальным системным требованиям Windows 7 для Windows 7 Enterprise. Windows Intune также предоставляет все преимущества программы Microsoft Software Assurance для Windows, включая следующие.

• Права на новые версии
• Преимущества для подписчиков TechNet по программе Software Assurance
• Поддержка продуктов в продленной фазе
• Круглосуточная техническая поддержка
• Программа Employee Purchase Program
• Электронное обучение
• Ваучеры на обучение

Дополнительные сведения о Windows Intune доступны на веб-сайте Windows Intune. Техническая информация о Windows Intune также доступна в техническом центре Windows Intune.

Виртуализация приложений

Виртуальные приложения передаются на компьютеры как сетевые службы. Они не оставляют следов в системах и просты в обновлении. Они также самодостаточны, что помогает предотвратить конфликты между пользовательскими и бизнес-приложениями, которые могут привести к простою и требуют вмешательства службы поддержки.

App-V — это часть MDOP, поддерживающая упаковку, развертывание и управление виртуальными приложениями. App-V может сделать приложения доступными для компьютеров конечных пользователей без необходимости установки приложений непосредственно на этих компьютерах. Это возможно благодаря процессу под названием виртуализация приложения, который позволяет запускать каждое приложение в собственной изолированное виртуальной среде на клиентском компьютере. Виртуализированные приложения изолированы друг от друга. Этот сценарий устраняет конфликты приложений, но приложения могут по-прежнему взаимодействовать с клиентским компьютером.

Клиент App-V — это функция, позволяющая конечным пользователям взаимодействовать с приложениями после их публикации на компьютере. Клиент управляет виртуальной средой, в которой выполняется виртуализованное приложение, на каждом компьютере. После установки клиента на компьютере приложения должны быть предоставлены компьютеру с помощью процесса под названием публикация, который позволяет конечным пользователям запускать виртуальные приложения. В процессе публикации выполняется копирование значков и ярлыков виртуальных приложений на компьютер, обычно на рабочий стол Windows или в меню «Пуск», вместе с определением пакета и информацией о связи с типами файлов. Публикация также обеспечивает доступность содержимого пакета приложения для компьютеров конечных пользователей.

Содержимое пакета виртуального приложения может быть реплицировано на один или несколько серверов App-V, чтобы они могли быть переданы клиентам по запросу и кэшированы локально. Также можно использовать файловые и веб-серверы в качестве серверов потоковой передачи, или копировать содержимое непосредственно на компьютеры конечных пользователей. При реализации нескольких серверов для поддержки содержимого пакета и обеспечения его актуальности на всех серверах потоковой передачи требуется комплексное решение управления пакетами. В зависимости от размера организации может требоваться множество виртуальных приложений, доступных конечным пользователям по всему миру. Поэтому управление пакетами для обеспечения доступности соответствующих приложений всем пользователям в любое время и в любом месте, когда они им потребуются, является важным требованием.

Компоненты

Как показано на рис. 2, основными компонентами App-V являются следующие:

• Клиент. Клиент предоставляет и управляет виртуальной средой на клиентских компьютерах. Он управляет кэшем, обновлением публикаций, транспортом и всем взаимодействием с серверами App-V.
• Хранилище данных. Хранилище данных — это база данных Microsoft SQL Server для хранения всей информации, относящейся к инфраструктуре App-V. Эта информация включает все записи приложений, назначения приложений и группы, отвечающие за управление средой App-V.
• Консоль управления. Консоль управления — это оснастка консоли управления Microsoft (MMC) 3.0, используемая для администрирования инфраструктуры App-V. Этот инструмент можно установить на сервере App-V или на отдельном компьютере.
• Сервер управления. Сервер управления отвечает за потоковую передачу содержимого пакета и публикацию ярлыков и связей с типами файлов на клиенте. Он поддерживает активное обновление, управление лицензиями и базу данных, которые могут использоваться для отчетности.
• Веб-служба управления. Веб-служба управления пересылает запросы чтения и записи хранилищу данных. Веб-службу управления можно установить на сервере управления или на отдельном компьютере с установленными службами Microsoft IIS.
• Sequencer. Sequencer используется для наблюдения и сохранения установки приложений с целью создания пакетов виртуальных приложений. Вывод содержит значки приложения, OSD-файл, содержащий информацию определения пакета, файл манифеста пакета и SFT-файл, включающий файлы содержимого приложения.
• Потоковый сервер. Потоковый сервер отвечает за размещение пакетов App-V для потоковой передачи клиентам в филиалах с медленной скоростью связи с сервером управления. Этот сервер содержит только функции потоковой передачи и не предоставляет ни консоль управления, ни веб-службу управления.
• Папка содержимого. В папке содержимого размещаются пакеты App-V, доступные для потоковой передачи. Эта папка размещается на ресурсе сервера управления или вне его.

Рис. 2. Виртуализация приложений

Последняя версия продукта — App-V 4.6. App-V 4.6 позволяет виртуализировать и запускать 32- и 64-разрядные приложения в 64-разрядной версии Windows 7. Эта версия поддерживает новые функции Windows 7, такие как панель задач, списки переходов, AppLocker, BranchCache и BitLocker To Go. В App-V 4.6 добавлена поддержка 12 дополнительных языков. Для поддержки инфраструктуры виртуальных настольных систем Microsoft (VDI) App-V 4.6 предоставляет возможность использования общего кэша только для чтения для оптимизации дискового пространства сервера. Наконец, App-V 4.6 улучшает процесс виртуализации и предоставляет поддержку виртуализации 32- и 64-разрядных приложений. Дополнительные сведения об App-V доступны на веб-сайте пакета оптимизации настольных систем Microsoft. Более подробная техническая информация доступна в статье Виртуализация приложений в библиотеке TechNet.

Примечание: Citrix XenApp — это решение партнера Microsoft, расширяющее поддержку традиционных и виртуальных приложений App-V для широкого диапазона устройств, включая смартфоны и другие устройства под управлением ОС, отличных от Windows. Оно обеспечивает предоставление приложений по запросу с возможностью виртуализации, централизации и управления практически всеми приложениями в центре обработки данных. При помощи решения XenApp можно централизовать приложения в центре обработки данных, контролировать и шифровать доступ к данным и приложениям, а также мгновенно предоставлять приложения пользователям практически в любых местах. Дополнительные сведения о Citrix XenApp см. на веб-сайте Citrix XenApp. Кроме того, в статье «Как опубликовать приложение с поддержкой App-V в Citrix XenApp» описывается использование XenApp для публикации приложений App-V.

System Center Configuration Manager 2007

Configuration Manager предоставляет ИТ-специалистам возможность развертывания, обновления и отслеживания использования физических и виртуальных приложений, используя единое средство управления. Благодаря эффективной интеграции форматов виртуальных приложений с функцией распространения ПО Configuration Manager ИТ-специалисты могут использовать знакомые процессы и рабочие потоки для предоставления виртуальных приложений конечным пользователям. Это позволяет ИТ-службе более оперативно предоставлять приложения, одновременно изолируя потенциально конфликтующие приложения друг от друга. Интеграция Configuration Manager с App-V обеспечивает дополнительную гибкость, позволяя использовать существующие точки распространения для потоковой передачи виртуальных приложений, избавляя от необходимости в отдельной инфраструктуре App-V. Configuration Manager позволяет доставлять виртуальные приложения как компьютерам, так и пользователям. Администраторы могут инвентаризировать виртуальные приложения и доставлять как часть последовательности задач развертывания операционной системы.

Configuration Manager заменяет компоненты публикации и потоковой передачи в типичной полной инфраструктуре App-V благодаря интеграции с существующей инфраструктурой Configuration Manager, уже использующейся для предоставления традиционных приложений, обновлений и многого другого. На рис. 3 показаны минимальные процессы и компоненты Configuration Manager и App-V, необходимые для управления виртуальными приложениями с помощью Configuration Manager. App-V Sequencer создает пакеты, которые можно распространить через инфраструктуру Configuration Manager клиентам Configuration Manager. Это устраняет необходимость в наличии двух отдельных инфраструктур для поддержки развертывания приложений, позволяя выполнять развертывание традиционных и виртуальных приложений из одной консоли.

Рис. 3. Инфраструктура Configuration Manager и App-V

Использование Configuration Manager для публикации виртуальных приложений требует соблюдения простого процесса. В общих чертах, для управления виртуальными приложениями с помощью Configuration Manager необходима виртуализация приложений, их публикация с помощью объявлений Configuration Manager и предоставление конечным клиентам. Следующий минимальный процесс требуется для поддержки App-V в инфраструктуре Configuration Manager:

1. Виртуализация. Подобно традиционной App-V, управление виртуальным приложением в Configuration Manager начинается с переноса приложения в виртуализированный формат. Чтобы пакет Configuration Manager смог создать необходимые файлы (файл Manifest.xml) для публикации и предоставления, требуется виртуализация приложений с помощью секвенсера App-V 4.5 или более поздней версии.
2. Публикация. Публикация — это процесс предоставления виртуальных приложений пользователям или компьютерам в Configuration Manager. Configuration Manager использует точки распространения для доставки приложений в потоковом формате или формате «загрузить и выполнить».
3. Доставка. Доставка — это процесс переноса ресурсов виртуальных приложений на клиентские компьютеры. В полной инфраструктуре App-V этот процесс обычно называется потоковой передачей. Configuration Manager предусматривает два способа доставки виртуальных приложений (потоковая передача и загрузить и выполнить). Формат доставки по умолчанию — «загрузить и выполнить», позволяющий избежать зависимостей подключений.

Для управления виртуальными приложениями с помощью Configuration Manger требуется секвенсер App-V для создания пакетов, сервер сайта Configuration Manager, точки распространения Configuration Manager для доставки пакетов и клиентские компьютеры Configuration Manager с установленным клиентом App-V. Следующие минимальные компоненты требуются для поддержки App-V в инфраструктуре Configuration Manager.

• Microsoft App-V Sequencer. Подобно инфраструктуре App-V, App-V sequencer используется для упаковки виртуальных приложений для развертывания с помощью Configuration Manager.
• Сервер сайта Configuration Manager. Сервер сайта Configuration Manager, входящий в иерархию сайтов Configuration Manager, используется для управления распространением виртуальных приложений через точки распространения Configuration Manager на целевые системы, как служба потоковой передачи или как пакет локального распространения.
• Точка распространения Configuration Manager. Роли сайта точки распространения Configuration Manager предоставляют такие службы управления, как инвентаризация оборудования и ПО, развертывание операционной системы и обновления ПО, а также распространение физических и виртуальных приложений, для целевых систем Configuration Manager.
• Клиенты Configuration Manager/App-V. Клиентские устройства включают настольные и переносные компьютеры, а также серверы терминалов и клиенты VDI. На клиентах Configuration Manager, получающих виртуальные приложения от инфраструктуры Configuration Manager, должно быть установлено и настроено клиентское ПО Configuration Manager и App-V. Клиентское ПО Configuration Manager и App-V работает совместно для доставки, интерпретации и запуска пакетов виртуальных приложений. Клиент Configuration Manager управляет доставкой пакетов виртуальных приложений клиенту App-V. Клиент App-V выполняет виртуальное приложение на клиентском компьютере.

System Center Configuration Manager 2012

Configuration Manager 2012, теперь бета-версии 2, помогает ИТ-отделу предоставить пользователям устройства и приложения, необходимые для обеспечения производительности, одновременно сохраняя необходимый контроль для защиты корпоративных активов. Он предоставляет единую инфраструктуру для управления мобильными, физическими и виртуальными средами, позволяющую обеспечивать и контролировать работу пользователей на основе удостоверений, подключений и особенностей функционирования устройств. Помимо инвентаризации, развертывания операционной системы, управления обновлениями, оценки и настройки, которых вы ожидаетет от Configuration Manager, в новом выпуске появятся следующие возможности:

• Интегрированное мобильное, физическое и виртуальное управление. Предоставление единого инструмента для управления всеми клиентскими настольными системами, тонкими клиентами, мобильными устройствами и виртуальными рабочими столами.
• Персонализированная работа с приложениями. Оценка отличительных черт организации, типа устройства и возможностей сетевого подключения для предоставления приложений наиболее оптимальным для пользователя способом, через локальную установку, потоковую передачу с использованием App-V или через сервер презентаций. Интеграция с решением Citrix XenApp для предоставления пользователям доступа к любым бизнес-приложениям с широкого ряда мобильных платформ.
• Самообслуживание приложений. Позволяет пользователям безопасно и самостоятельно предоставлять приложения из любых мест с помощью простого в использовании веб-каталога.
• Интегрированная безопасность и соответствие. Интеграция с Forefront Endpoint Protection для предоставления единого решения для защиты от вредоносных программ, обнаружения и устранения уязвимостей и получения представления о несоответствующих требованиям безопасности системах.
• Непрерывное применение параметров. Автоматическое обнаружение и исправление несоответствующих требованиям физических или виртуальных личных рабочих столов.

Дополнительные сведения о новых обновленных возможностях, включая развертывание виртуальных приложений, в бета-версии 2 System Center Configuration Manager 2012 доступны в статье Введение в управление приложениями в Configuration Manager 2012.

Инфраструктура виртуальных настольных систем

Из-за ориентирования на потребителя пользователи помимо персональных компьютеров под управлением ОС Windows начинают работать со все большим количеством других устройств. Переносные и планшетные компьютеры работают под управлением различных ОС, отличных от Windows, таких как Apple iOS, Google Android, Linux и т.д. Эти устройства предоставляют различные пользовательские интерфейсы, уровни защиты и возможности управления. Потребительские устройства работают под управлением множества операционных систем, поэтому важно применять системный подход к управлению и безопасности.

Корпорация Microsoft предлагает технологии для осуществления управления и обеспечения безопасности на этих типах различных потребительских устройств. Для устройств, которые не могут предоставить все возможности работы и обеспечения безопасности Windows 7, можно использовать стратегию на основе VDI для предоставления безопасного доступа к настольным системам под управлением Windows с размещением на сервере. Этот подход является наиболее эффективным для портативных и планшетных компьютеров под управлением ОС, отличных от Windows. Однако стратегия на основе VDI также может быть полезна, если пользователи приносят на рабочие места собственные портативные компьютеры под управлением Windows. В этом случае VDI используется для предоставления доступа к защищенным настольным компьютерам предприятия, сохраняя все личные данные и программное обеспечение вне корпоративной сети.

VDI — это централизованное решение предоставления доступа к настольным системам. Как показано на рис. 4, концепция VDI заключается в сохранении и запуске рабочих процессов на настольных системах, включая клиентскую операционную систему Windows, приложения и данные, на серверной виртуальной машине в центре обработки данных, а также в предоставлении пользователям возможности взаимодействия с настольными системами на пользовательском устройстве с использованием протокола удаленного рабочего стола (RDP) и RemoteFX. VDI — это часть целостной и комплексной стратегии виртуализации предприятия, охватывающей ИТ-инфраструктуру, соответствующей представлению Microsoft о динамических ИТ. VDI это не изолированная архитектура, а одна из множества доступных технологий оптимизации настольных систем предприятия.

Для устройств, которые не могут предоставить все возможности среды Windows 7, VDI может обеспечить безопасный доступ к серверной настольной системе Windows 7. Для настольных и планшетных компьютеров не под управлением Windows (то есть, Apple Mac, Apple iPad и нетбуков под управлением Linux) VDI может быть самым эффективным решением. Однако VDI также может быть полезна, если пользователи приносят на рабочие места собственные портативные компьютеры под управлением Windows. Она помогает обеспечить безопасность настольных компьютеров предприятия, сохраняя все личные данные и программное обеспечение вне корпоративной сети.

Рис. 4. Инфраструктура виртуальных рабочих столов

Дополнительные сведения о VDI см. на странице Продукты и технологии виртуализации.

Использование

Службы удаленных рабочих столов (RDS), входящие в состав Windows Server 2008 R2, предоставляют посредник подключений к удаленному рабочему столу. Посредник подключений к удаленному рабочему столу — это собственный посредник подключений VDI, предоставляющий единый интерфейс для доступа к VDI, а также к удаленным рабочим столам на основе сеансов. Посредник подключений к удаленному рабочему столу предоставляет виртуальные рабочие столы аналогично RemoteApp. Например, прошедший проверку пользователь перейдет по адресу http://rds-all.contoso.corp/rdweb, чтобы просмотреть веб-страницу со списком разрешенных приложений и настольных систем.

На рис. 5 показаны приложения Office 2007, опубликованные с использованием RemoteApp. В Windows Server 2008 R2 программы RemoteApp, показанные по URL-адресу, могут происходить из нескольких источников. Они не обязательно должны быть установлены на одном узле сеансов удаленных рабочих столов или сервере служб терминалов. Они могут размещаться на различных узлах сеансов удаленных рабочих столов и серверах служб терминалов, хотя они объединены и представлены с помощью одного URL-адреса. Кроме того, присутствие программы RemoteApp основано на списке управления доступом (ACL) опубликованного приложения на узле сеансов удаленных рабочих столов. По умолчанию все прошедшие проверку пользователи будут иметь доступ к опубликованным программам RemoteApp.

Рис. 5. Посредник подключений к удаленному рабочему столу

Значок «My Desktop» (Мой рабочий стол) отображается только для пользователей, для которых назначены личные виртуальные рабочие столы. Назначение может быть выполнено в посреднике подключений к удаленному рабочему столу или в другом объекте AD DS. При щелчке прошедшим проверку подлинности пользователем значка «My Desktop» (Мой рабочий стол) виртуальный рабочий стол будет доставлен на устройство пользователя.

Значок «Contoso Desktop» предназначен для доступа к виртуальному рабочему столу, запущенному на виртуальной машине, динамически выбранной в пуле виртуальных машин, как определено в посреднике подключений к удаленному рабочему столу. После определения пула виртуальных машин значок доступа к виртуальной машине в пуле будет отображаться на веб-странице RDS для всех прошедших проверку пользователей независимо от того, имеют ли они доступ к пулу. Отображаемые имена страницы и значка для доступа к пулу виртуальных машин можно легко настроить в посреднике подключений к удаленному рабочему столу; в данном примере «Contoso Wonder LAN» и «Contoso Desktop» — настроенные отображаемые имена. Более подробные сведения об архитектуре RDS и о том, почему посредник подключений к удаленному рабочему столу играет центральную роль в решении VDI, доступны в записи блога Объяснение архитектуры служб удаленных рабочих столов.

Новая функция Windows Server 2008 R2, Подключения к удаленным рабочим столам и приложениям RemoteApp, предоставляет доступ к программам RemoteApp, удаленным и виртуальным рабочим столам из меню «Пуск» на компьютерах под управлением Windows 7. Подключения к удаленным рабочим столам и приложениям RemoteApp можно настроить следующими способами.

• Вручную на панели управления. Для выполнения этого процесса требуется URL-адрес веб-страницы RDS и учетные данные пользователя. При доступе компонента подключений к удаленным рабочим столам и приложениям RemoteApp к веб-странице RDS от имени пользователя появится запрос на ввод учетных данных.
• Вручную с использованием файла конфигурации клиента (.wcx). Можно создать и распространить пользователям файл конфигурации клиента (.wcx), предназначенный для настройки подключений к удаленным рабочим столам и приложениям RemoteApp.
• Автоматически с использованием сценария. Можно распространить сценарий для автоматического запуска файла конфигурации клиента, чтобы подключения к удаленным рабочим столам и приложениям RemoteApp автоматически настраивались при входе пользователей в систему на компьютерах под управлением Windows 7. Автоматизация очень проста, минимизирует вмешательство оператора и обеспечивает удобную работу пользователя.

Подключения к удаленным рабочим столам и приложениям RemoteApp предоставляют пользователям возможность доступа к программам RemoteApp и виртуальным рабочим столам прямо из меню «Пуск» без указания URL-адреса RDS. Эта возможность минимизирует обучение пользователей и обеспечивает единообразную работу в приложениях Windows.

Компоненты DaRT

При использовании VDI виртуальный рабочий стол изолирован от клиентского устройства и работает на виртуальной машине, обслуживаемой в центре обработки данных. Устройство может быть настольным, переносным, планшетным или тонким клиентским компьютером под управлением Windows или другой операционной системы. Пользователи взаимодействуют со своими виртуальными рабочими столами, используя RDP и RemoteFX, что обеспечивает богатые возможности работы. Подобно удаленным рабочим столам на основе сеансов (то есть, службам терминалов), VDI предоставляет сеанс сервера с полноценной настольной средой, виртуализированной в серверном гипервизоре. Назначение VDI в том, что все пользователи запускают виртуальные рабочие столы на виртуальных машинах. Ключевые технические компоненты реализации VDI включают следующие.

• Windows Server 2008 R2 с Hyper-V. Это узел виртуализации, на котором выполняются виртуальные машины, и, по существу, сетка в инфраструктуре решения виртуализации. Это репозиторий ресурсов виртуализации, таких как виртуальные машины, виртуальные жесткие диски (VHD), профили оборудования и ПО и т.д.
• Microsoft App-V. App-V — это динамическое средство развертывания приложений на основе профилей пользователей, прозрачное для локальной операционной системы. Более подробные сведения о App-V см. в разделе «Виртуализация приложений» в данном документе.
• Microsoft RDS. RDS предоставляет один постоянный URL-адрес для доступа к ресурсам, опубликованным на нескольких узлах сеансов удаленных рабочих столов и серверах терминалов.
• Microsoft RemoteFX. RemoteFX, входящий в состав Windows 7 и Windows Server 2008 R2 с пакетом обновления 1 (SP1), обеспечивает предоставление всех функциональных возможностей Windows для ряда клиентских устройств, включая потребительские. RemoteFX обеспечивает VDI широкие возможности, предоставляя трехмерный виртуальный адаптер, интеллектуальные кодеки и возможность перенаправления устройств USB на виртуальных машинах. Эта технология интегрирована с RDP, что обеспечивает общее шифрование, проверку подлинности, управление и поддержку устройств.
• System Center Management Suite. Пакет предоставляет комплексное решение управления жизненным циклом ИТ-инфраструктуры предприятия. Он позволяет упростить развертывание, предоставление и управление узлами виртуализации и виртуальными машинами. Пакет предоставляет следующие возможности.
  • Управление приложениями и виртуальными рабочими столами. Configuration Manager обеспечивает управление активами, приложениями, использованием и необходимой конфигурацией для личных физических и виртуальных рабочих столов.
  • Полное управление инфраструктурой VDI. System Center Operations Manager отслеживает состояние, работоспособность и производительность для обеспечения бесперебойной работы и снижения общих затрат на управление.
  • Управление VDI сторонних поставщиков. Для организаций, использующих решения VDI Citrix, System Center Virtual Machine Manager обеспечивает управление виртуальными машинами и использованием серверов в центре обработки данных. Virtual Machine Manager интегрируется с Operations Manager для предоставления улучшенного управления для сценариев VDI, обеспечивая большую производительность и выделение виртуальных машин на основе ресурсов.
  • Понимание соответствия требованиям. System Center Service Manager и пакет IT GRC Process Management Pack используют информацию, полученную от Configuration Manager, Operations Manager и Active Directory, для обеспечения единой отчетности и прозрачности соответствия требованиям в средах VDI.

Модели

Существует две модели развертывания VDI.

• Статический или постоянный виртуальный рабочий стол. В статической архитектуре используется взаимно однозначное сопоставление виртуальных машин и пользователей. Каждому пользователю назначается определенная виртуальная машина. Поскольку виртуальные машины обычно хранятся в сети хранения данных (SAN), а выполняются на сервере, большое число пользователей скорей всего приведет к высоким требованиям к SAN.
• Динамический или непостоянный виртуальный рабочий стол. В динамической архитектуре сохраняется только один главный образ настольного стола. Все личные настройки пользователей, профили, приложения и т.д. сохраняются отдельно от рабочего стола Когда пользователь запрашивает рабочий стол, виртуальная машина, клонированная из главного образа, объединяется с личными данными пользователя, а приложения динамически предоставляются на устройство пользователя в соответствие с перемещаемыми профилями и App-V. Таким образом обеспечивается персонализированный рабочий стол путем динамического предоставления базового образа. Это упрощает общее управление виртуальными машинами благодаря меньшему числу обслуживаемых образов рабочих столов.

Лицензирование

По существу, VDI по требованию предоставляет рабочий стол пользовательскому устройству, используя сетевое подключение. Это отличается от работы с традиционным настольным компьютером, для которого лицензия OEM привязана к оборудованию и не может назначаться динамически в отличие от VDI. Традиционное лицензирование не может верно отражать число лицензий, используемых при развертывании рабочего стола, предоставленного с помощью VDI.

Специально для новых сценариев развертывания Microsoft представила два новых предложения для VDI:

• Microsoft Virtual Desktop Infrastructure Standard Suite (VDI Standard Suite)
• Microsoft Virtual Desktop Infrastructure Premium Suite (VDI Premium Suite)

Оба предложения, VDI Standard Suite и VDI Premium Suite, лицензируются по числу клиентских устройств с доступом к среде VDI, что обеспечивает гибкость проектирования и роста инфраструктуры сервера. Дополнительные сведения о лицензировании пакета VDI доступны на странице Службы удаленных рабочих столов. Дополнительные сведения о лицензировании служб удаленных рабочих столов доступны на странице Лицензирование служб удаленных рабочих столов в Windows Server 2008 R2.

Анализ ситуации

RDS и VDI являются основными компонентами виртуализацию настольных систем, и они соответствуют определенным требованиям к вычислениям и сценариям благодаря гибкости и готовности к развертыванию. Для работника, выполняющего удаленные задания, и которому необходим доступ к определенному приложению для выполнения четко определенной задачи, например, ввод данных или сообщение состояния для оценки времени, обновление инвентаризации или сообщение о происшествии, RemoteApp может быть вполне достаточным. Однако для информационного работника, выполняющего сложные или неструктурированные процедуры, такие как анализ данных, проектирование архитектуры решения, разработка продукта, написание кода или устранение неполадок систем, скорее всего потребуется полный доступ к настольной системе для обеспечения производительности, и развертывание виртуального рабочего стола — одно из решений.

Хотя VDI обладает достаточной гибкостью, для нее требуется больше аппаратных ресурсов сервера, чем для традиционного подхода с использованием удаленного рабочего стола на основе сеансов. В таблице 1 приведено сравнение виртуализации на основе сеансов и VDI. Как правило, для VDI требуются предварительные вложения в серверы и устройства хранения для хранения и запуска всех необходимых виртуальных машин. Для обеспечения возможности доступа пользователей к виртуальным рабочим столам сеть, поддерживающая VDI, должна быть высокодоступной. В сущности, поддержка VDI предъявляет большие требования к пропускной способности сети, чем поддержка служб терминалов. Для управления виртуальными рабочими столами предприятия также требуется ПО для управления виртуальными машинами.

Таблица 1. Виртуализация на основе сеансов и VDI

Кроме того, пользователям не следует ждать от удаленного или виртуального рабочего стола такой же производительности, как у локальной настольной системы. Производительность аудио, видео и USB на удаленном рабочем столе может быть ниже производительности настольной системы или подключенного устройства пользователя. Клиент с расширенными возможностями всегда будет иметь большие функциональные возможности, чем VDI. В общем-то, при планировании использования решения VDI необходимо учитывать, помимо прочего, следующие факторы.

• Подготовка приложений
• Управление подключениями
• Мощность центров обработки данных
• Управление образами
• Инфраструктура с узлами гипервизора
• Лицензирование
• Управление виртуальными машинами

Примечание: Citrix XenDesktop — это решение партнера Microsoft для предоставления по требованию виртуальных рабочих столов и приложений пользователям любых устройств в любом месте. Дополнительные сведения о Citrix XenDesktop см. на веб-сайте Citrix XenDesktop. Кроме того, в записи блога Инфраструктура виртуальных настольных систем Microsoft (VDI) с использованием Citrix Xendesktop в качестве посредника подробно описывается использование XenDesktop в архитектуре VDI и ее улучшение.

Выбор правильных технологий

В данной статье описываются четыре технологии, которые могут помочь организации в принятии идеи ориентации на потребителей. Эти технологии —Windows Optimized Desktop, Windows Intune, виртуализация приложений и VDI. В следующем списке описано использование этих технологий в конкретных сценариях ориентации на потребителей.

• Управляемые компьютеры под управлением Windows. Windows Optimized Desktop может предоставить ИТ-специалистам необходимые возможности управления конфигурациями компьютеров, одновременно обеспечивая пользователям гибкость, требующуюся для выполнения работы. Подробные сведения см. в разделе «Windows Optimized Desktop» выше.
• Неуправляемые компьютеры под управлением Windows. Технология Windows Intune проста в развертывании, и ее можно использовать для управления неуправляемыми компьютерами с Windows, которые приносят пользователи на свои рабочие места. Подробные сведения Windows Intune см. в разделе «Облачные службы Windows» выше.
• Устройства под управлением ОС, отличных от Windows. Для устройств под управлением ОС, отличных от Windows, с помощью VDI можно предоставить полнофункциональную среду Windows. Подробные сведения см. о VDI см. в разделе «Инфраструктура виртуальных рабочих столов» выше.

В целом, виртуализация приложений может предоставить пользователям доступ к необходимым приложениям. Подробные сведения см. в разделе «Виртуализация приложений» выше.

Поддержка смартфонов и мобильных ОС

Доступны инструменты для управления смартфонами на предприятии. Например, можно воспользоваться Exchange ActiveSync для управления множеством смартфонов Microsoft и сторонних производителей. Exchange ActiveSync — это протокол синхронизации Microsoft Exchange Server, оптимизированный для работы в сетях с высоким уровнем задержки и низкой пропускной способностью. Протокол на основе HTTP и XML позволяет устройствам получать доступ к такой информации, как электронная почта, календари и контакты в системе Exchange Server.

Exchange ActiveSync также предоставляет инструменты управления, используя политики почтовых ящиков Exchange ActiveSync и связанные инструменты. Например, Windows Phone 7 поддерживает политики управления, устанавливающие необходимость использования паролей и применение уровня надежности паролей. Также предоставляется возможность удаленного стирания памяти устройства и восстановления исходных параметров мобильного телефона после нескольких неудачных попыток его разблокировки.

Управление на основе Exchange ActiveSync — это отраслевой стандарт для смартфонов и других компактных устройств. Такие платформы, как Apple iPhone и iPad, Google Android, Nokia Symbian и Palm в разной степени поддерживают Exchange ActiveSync и политики почтовых ящиков. В записи блога Обновлено — сравнение клиентов Exchange ActiveSync (Windows phone, Windows Mobile, Android, Nokia, Apple, Palm) сравнивается поддержка Exchange ActiveSync на множестве различных платформ.

В этом разделе описываются некоторые политики почтовых ящиков и инструменты Exchange ActiveSync, которые можно использовать для управления смартфонами. Дополнительные сведения о Exchange ActiveSync см. в статье Управление устройствами Exchange ActiveSync на веб-сайте TechNet.

Дистанционное стирание памяти устройства

На мобильных телефонах могут храниться важные корпоративные данные, и они могут предоставлять доступ ко множеству корпоративных ресурсов. В случае кражи или потери устройства данные могут быть раскрыты. С помощью политик Exchange ActiveSync можно устанавливать на мобильных телефонах обязательность ввода пароля для доступа к телефонам. Microsoft рекомендует помимо необходимости пароля устройства настраивать мобильные телефоны на автоматический запрос пароля после периода бездействия. Сочетание пароля устройства и блокирования при бездействии повышает безопасность корпоративных данных. Дополнительные сведения см. далее в разделе «Управление устройствами» далее.

Помимо этих функций Microsoft Exchange Server 2010 предоставляет функцию дистанционного стирания памяти устройства. Команды на дистанционное стирание памяти устройства можно выдать из консоли управления Exchange (EMC). Пользователи могут выпускать собственные команды на дистанционное стирание памяти устройства из пользовательского интерфейса Microsoft Office Outlook Web App. Функция дистанционного стирания памяти устройства также включает функцию подтверждения, которая записывает метку времени в данные состояния синхронизации почтового ящика пользователя. Эта метка времени отображается в Outlook Web App и в диалоговом окне свойств мобильного телефона пользователя в EMC. Помимо сброса мобильного телефона в фабричное состояние, при дистанционном стирании также удаляются все данные со всех карт памяти мобильного телефона.

Важное замечание. После выполнения дистанционного стирания памяти устройства восстановить данные очень трудно. Однако ни один процесс удаления данных не гарантирует полного отсутствия на устройстве остаточных данных. Восстановление данных устройства может быть возможным с использованием сложных инструментов.

Можно выполнить дистанционное стирание памяти устройства, используя один из трех способов.

• Использование EMC для выполнения дистанционного стирания памяти мобильного телефона.
• Использование Outlook Web App для выполнения дистанционного стирания памяти мобильного телефона.
• Использование командной консоли Exchange для выполнения дистанционного стирания памяти мобильного телефона.

Дополнительные сведения о функции дистанционного стирания памяти устройства в 2010 см. в статье Выполнение удаленной очистки на мобильном телефоне на веб-сайте TechNet.

Управление устройствами

Можно создать политику почтовых ящиков Exchange ActiveSync для настройки различных параметров безопасности пользователей и их устройств. Помимо параметров и требований к паролю можно использовать вкладку «General» (Общие) политики для указания типов мобильных телефонов, которые могут подключаться к системе Exchange Server, также можно настроить синхронизацию вложений. Ниже приведены возможные политики.

• Общие политики указывают типы мобильных телефонов, которые могут подключаться к системе Exchange Server, также можно настроить синхронизацию вложений.
  • Разрешить неинициализируемые устройства. Разрешение мобильных телефонов, которые не могут быть автоматически подготовлены. Для этих мобильных телефонов может быть невозможным применение всех параметров политики Exchange ActiveSync. При установке этой политики разрешается синхронизация этих мобильных телефонов, даже если некоторые параметры политики не могут быть применены.
  • Интервал обновления. Установка повторной отправки сервером политики клиентам с фиксированным интервалом, определенным в часах между событиями обновления политики.
• Требования к паролю для клиентов Exchange ActiveSync.
  • Требовать пароль. Необходимость пароля для мобильного телефона. Если требуются пароли, становятся доступными следующие политики.
  • Требовать ввода алфавитно-цифрового пароля. Указание того, что пароль мобильного телефона должен включать алфавитно-цифровые символы. Требование нецифровых символов в паролях повышает уровень надежности пароля.
  • Минимальное число наборов символов. Указание сложности алфавитно-цифрового пароля; пользователям необходимо использовать ряд различных наборов символов: строчные буквы, прописные буквы, символы и цифры.
  • Включить восстановление пароля. Включение восстановления пароля для мобильного телефона. Пользователи могут использовать Outlook Web App, чтобы узнать пароль восстановления и разблокировать мобильный телефон. Администраторы могут использовать EMC для просмотра пароля восстановления пользователя.
  • Требовать шифрование на устройстве. Это повышает безопасность благодаря шифрованию всей информации на мобильном телефоне.
  • Требовать шифрование на картах памяти. Необходимость шифрования съемной карты памяти мобильного телефона. Это повышает безопасность благодаря шифрованию всей информации картах памяти мобильного телефона.
  • Разрешить использовать простой пароль. Разрешение пользователям блокировать мобильные телефоны с помощью простых паролей, таких как 1111 или 1234. Если этот флажок не установлен, пользователям необходимо использовать более защищенные пароли.
  • Количество разрешенных неудачных попыток. Ограничение числа неудачных попыток ввода пароля на мобильном телефоне, после чего вся информация на мобильном телефоне удаляется, и восстанавливаются исходные параметры мобильного телефона. Это уменьшает риск доступа неавторизованного пользователя к информации на потерянном или украденном мобильном телефоне, требующем пароля.
  • Минимальная длина пароля. Указание минимальной длины пароля мобильного телефона. Длинные пароли могут повысить безопасность. Однако длинные пароли могут снизить удобство использования мобильного телефона. Средняя рекомендованная длина пароля — от четырех до шести символов.
  • Время бездействия пользователя, по прошествии которого необходимо повторно ввести пароль (в минутах). Если требуется пароль мобильного телефона, появляется запрос на ввод пароля после бездействия мобильного телефона в течение указанного периода времени. Например, если для параметра установлено значение 15 минут, пользователь должен ввести пароль мобильного телефона в случае его бездействия в течение 15 минут. При бездействии мобильного телефона в течение 10 минут ввод пароля не требуется.
  • Срок действия пароля (дней). Необходимость смены пароля мобильного телефона по истечении определенного интервала времени. Интервал устанавливается в днях.
  • Вести журнал паролей. Запрет повторного использования предыдущих паролей телефона. Установленное число определяет количество ранее устанавливавшихся паролей, которые запрещено использовать.
• Политика «Параметры синхронизации» определяет различные параметры синхронизации.
  • Включить старые элементы календаря. Выберите диапазон дат элементов календаря для синхронизации на мобильном телефоне. Доступны следующие пароли: Все, Две недели, Один месяц, Три месяца и Шесть месяцев. Если требуется указать другие параметры, используйте консоль для установки этого параметры.
  • Включить старые сообщения электронной почты. Выберите диапазон дат элементов электронной почты для синхронизации на мобильном телефоне. Доступны следующие пароли: Все, Один день, Три дня, Одна неделя, Две недели и Один месяц. Если требуется указать другие параметры, используйте консоль для установки этого параметры.
  • Ограничить размер электронной почты (КБ). Ограничение размера сообщения, которое может быть загружено на мобильный телефон. После включения этой политики укажите максимальный размер сообщения в килобайтах (КБ).
  • Разрешить технологию Direct Push при роуминге. Разрешение синхронизации мобильного телефона при поступлении новых элементов при роуминге. Роуминг это нахождение вне обычной зоны обслуживания. Для получения сведений об обычной зоне обслуживания обращайтесь к поставщику услуг. При отключении этой политики необходимо запускать синхронизацию вручную, когда вы находитесь в роуминге; обычно в роуминге используются более высокие тарифы на передачу данных.
  • Разрешить электронную почту в формате HTML. Разрешение синхронизации сообщений электронной почты в формате HTML на мобильном телефоне. Если эта политика не включена, перед синхронизацией все сообщения электронной почты будут преобразованы в обычный текст. Эта политика не влияет на получение сообщений на мобильном телефоне.
  • Разрешить загрузку вложений на устройство. Разрешение загрузки вложений на мобильный телефон. Если эта политика отключена, название вложения отображается в сообщении электронной почты, но оно не может быть загружено на мобильном телефоне.
  • Максимальный размер вложения (КБ). Указание максимального размера вложений, загружаемых на мобильный телефон. При включении этой политики необходимо ввести максимальный размер вложений в КБ. Если эта политика включена, вложения больше указанного размера не могут быть загружены на устройство.
• Политики устройства определяют различные параметры устройства.
  • Разрешить съемные носители. Разрешение доступа к картам памяти с мобильного телефона. Если эта политика не включена, карты памяти недоступны с мобильного телефона.
  • Разрешить камеру. Разрешение использования камеры мобильного телефона.
  • Разрешить беспроводную сеть. Разрешение использования подключений Wi-Fi на мобильном телефоне для доступа к Интернету. Подключения Wi-Fi не поддерживают Direct Push.
  • Разрешить инфракрасную связь. Разрешение установки инфракрасного соединения мобильного телефона с другими устройствами или компьютерами.
  • Разрешить общий доступ в Интернет с устройства. Разрешить другому устройству общий доступ в Интернет через мобильный телефон. Общий доступ в Интернет часто используется при работе устройства в качестве модема для переносных или настольных компьютеров.
  • Разрешить подключение к удаленному рабочему столу с устройства. Разрешение устанавливать мобильному телефону удаленному подключение к другому компьютеру.
  • Разрешить синхронизацию рабочего стола. Разрешение синхронизации мобильного телефона с настольным компьютером с помощью ActiveSync для настольных компьютеров или центра устройств Microsoft Windows Mobile.
  • Разрешить Bluetooth. Управление функцией Bluetooth мобильного телефона. Можно выбрать «Allow» (Разрешить), «Disable» (Отключить) или «Bluetooth Hands-Free only» (Только гарнитура Bluetooth).
• Политики «Приложения для устройства» используются для включения или отключения определенных функций мобильного телефона:
  • Разрешить обозреватель. Разрешение использования Pocket Internet Explorer на мобильных телефонах. Эта политика не управляет доступом к обозревателям для мобильных телефонов сторонних поставщиков.
  • Разрешить пользовательскую почту. Разрешение доступа мобильного телефона к учетным записям электронной почты, отличным от учетных записей Exchange Server. Пользовательские учетные записи электронной почты включают учетные записи с доступом по протоколам POP3 и IMAP4. Эта политика не управляет доступом к почтовым программам для мобильных телефонов сторонних поставщиков.
  • Разрешить неподписанные приложения. Разрешение установки неподписанных приложений на мобильном телефоне.
  • Разрешить неподписанные установочные пакеты. Разрешение запуска неподписанных установочных пакетов на мобильном телефоне.
• Другие политики указывают разрешенные или заблокированные приложения.
  • Разрешенные приложения. Добавление и удаление приложений из списка «Разрешенные приложения». Разрешенные приложения могут устанавливаться и запускаться на мобильном телефоне. Щелкните «Добавить», чтобы добавить приложение, или «Удалить», чтобы удалить приложение.
  • Заблокированные приложения. Добавление и удаление приложений из списка «Заблокированные приложения». Запуск заблокированных приложений на мобильном телефоне запрещен. Щелкните «Добавить», чтобы добавить приложение, или «Удалить», чтобы удалить приложение.

В статье Управление Exchange ActiveSync с помощью политик в библиотеке TechNet содержится полный список политик почтовых ящиков, и описывается их настройка с помощью EMC и консоли. Возможность управления устройствами через Exchange Active Synch также будет основной функцией предстоящего выпуска System Center Configuration Manager 2012, который сейчас находится во второй бета-версии.

Время ожидания простоя

Технология Direct Push использует Exchange ActiveSync для синхронизации данных смартфона с данными на сервере Exchange Server. Для брандмауэров время ожидания бездействующего подключения определяет, сколько времени может существовать подключение без трафика после установки TCP-соединения. Необходимо установить правильное значение времени ожидания, которое позволило бы системе работать с указанными интервалами подтверждения и длительностью сеанса Exchange ActiveSync. Если брандмауэр закроет сеанс, почта не будет доставлена до следующего подключения клиента, а пользователь не сможет выполнить синхронизацию в течение долгого времени. Корпорация Microsoft рекомендует организациям устанавливать время ожидания входящих брандмауэров, равное 30 минутам. Дополнительные сведения см. в статье Понимание Direct Push и Exchange Server 2010.

Параметры автообнаружения

Exchange Server включает функцию автообнаружения, которая упрощает подготовку мобильных телефонов благодаря возврату необходимых системных параметров после ввода пользователем адреса электронной почты и пароля. Служба автообнаружения в Exchange Server 2010 включена по умолчанию (рис. 6).

Рис. 6. Автообнаружение с Exchange ActiveSync

На рис. 6 описывается следующий процесс:

1. Пользователь вводит на мобильном телефоне свой адрес электронной почты и пароль.
2. Мобильный телефон подключается к корневому DNS-серверу для получения URL-адреса для службы автообнаружения и IP-адреса для домена пользователя.
3. Мобильный телефон использует соединение SSL для подключения к виртуальному каталогу службы автообнаружения через брандмауэр. Служба автообнаружения собирает ответ XML на основе параметров синхронизации сервера.
4. Служба автообнаружения отправляет ответ XML через брандмауэр, используя SSL. Этот ответ XML интерпретируется мобильным телефоном, после чего параметры синхронизации автоматически настраиваются на мобильном телефоне.

Возможность использования автообнаружения зависит от операционной системы мобильного телефона. Не все операционные системы для мобильных телефонов с поддержкой синхронизации через Exchange Server поддерживают автообнаружение. Дополнительные сведения об операционных системах, поддерживающих автообнаружение, см. в записи блога Обновлено — сравнение клиентов Exchange ActiveSync (Windows phone, Windows Mobile, Android, Nokia, Apple, Palm).

Инструкции по настройке автообнаружения в Exchange Server доступны в статье Настройка параметров автообнаружения Exchange ActiveSync.

Заключение.

ИТ должны принять идею ориентации на потребителей, где это уместно, одновременно снижая риски для предприятия и его данных. Оценка и понимание пользователей, помимо устройств, которые они хотят использовать, помогает обеспечить выгоду ориентации на потребителей для вашего бизнеса, и эти преимущества могут быть измерены и оценены.

Принятие идеи ориентации на потребителя позволяет бизнесу обеспечить увеличение продуктивности и конкурентные преимущества. Ориентация на потребителей становится главной возможностью, если бизнес следует стратегиям, описанным в данной статье, обеспечивая защиту корпоративным ресурсам и устанавливая новые роли для уполномоченных сотрудников и ИТ в качестве партнеров. Корпорация Microsoft предлагает ряд решений корпоративного класса, которые помогут решить проблемы пользователей, связанные с ориентацией на потребителей, от развертывания Window Optimized Desktop до управления на основе облака с использованием Windows Intune и смартфонов под управлением Windows и других ОС.