门门精通: Windows InTune - 第三方负责的 PC 管理
当需要监控和管理计算机时,使用云服务是您的不二选择。
Greg Shields
云可能尚不适合所有人使用,但云中托管的服务却绝对适合。 在您坚持认为云和云服务之间没有差别之前,请想一想您可能正在使用的云服务。 您的防病毒签名和每月 Windows 更新来自别处。 反垃圾邮件筛选器一定是从不属于您的控制范围的其他位置收集。 即便是电子邮件本身最终也是通过外部提供商从您的内部服务器发送给预定的收件人。
我们的行业用“云”这个含糊不清的术语指代第三方托管的服务,这样做不但无益,反而会带来危害。我们尝试对多年来我们使用并信任的解决方案的 Internet 表现形式进行分类。
对于大多数人而言,如果供应商声称服务“位于云中”,人们便会由于对未知事物的某种不确定性而产生非理性的恐惧。 实际上,与我们多年来所信任的服务相比,云服务通常略有不同,有时要比前者更有用。 Windows InTune 就是证明这一事实的典型例子。
这是一个重要提示。 您需要意识到,由第三方托管的服务可能会非常适合管理您的 Windows PC。 由于存在于“云中”,因此这些非现场服务非常适合于无法锁定计算机资产的 IT 专业人员。 如果您拥有正在漫游的便携式计算机,则类似 Windows InTune 这样的基于云的管理工具可能会非常适合于控制这些资产,无论其位于何处。
即使您的计算机从不离开办公室,类似 Windows InTune 这样的基于云的解决方案也可以增强管理控制,而不必添加服务器。 减少一台服务器便意味着少了一项管理工作,从而可以将更多的时间用于其他任务。 如果您非常渴望实现只有大型企业才享有的管理自动化,那么 Windows InTune 提供的功能可能会让您赞不绝口。
监视这些 PC 行为
Windows InTune 是 Microsoft 的另一个不断扩展的基于订阅的在线服务套件。 InTune 将清单、修补、端点保护、警报通知和远程控制功能集中到一个基于 Web 的控制台中。 控制台本身由 Microsoft 托管。 要管理您的系统,请首先导航至 InTune。 每台 PC 上安装的代理将信息发送给 Microsoft,使您无需考虑并提供另一台服务器。
现在,您将拥有关于您系统的元数据的外部集合。 有了 InTune,Microsoft 将不再像以往那样密切关注如何存储您认为机密或专有的数据。 收集的数据特定于计算机配置 - 一种大多数人认为风险相对较低的数据类别。
掌控 PC 行为是所有 IT 企业需要但却很少享有的巨大好处。 从基于 Web 的 InTune 控制台(参见图 1)中,您会看到有关受管理计算机的可报警活动和行为的整合视图。 这些活动和行为可以揭示难于发现的问题,例如磁盘损坏和内存故障。 正如其同类产品 Microsoft System Center Operations Manager (SCOM) 提供的警报一样,InTune 380 警报类型提供了有关 PC 运行状况的详细诊断信息。
.jpg)
图 1 Windows InTune 为您提供各种警报。
简易性是 InTune 核心价值主张之一。 这种简易性与 SCOM 丰富并且具有无限可扩展性的警报基础结构形成了鲜明的对比。 尽管 SCOM 可能提供了一套全面并且彼此相关的监视器、管理包和调整覆盖,但其基础结构通常过于繁琐,不适合基本的监视需求。 InTune 可为您配置和调整警报, 并为您提供了有限的选项来启用或禁用警报以及将警报转发给正确的电子邮件收件人。
保护这些客户端
InTune 的最重要功能是保护客户端。 InTune 可以通过 Microsoft Forefront Endpoint Protection 客户端的定制版本保护端点。 它还可以通过集中管理的 Windows Update 客户端部署 Microsoft 更新。 使用 InTune 管理这些设置时将从本地控制中将其删除。 此外,还可以确保您的策略得到遵守。
尽管反恶意软件和更新支持是绝对必要的(参见图 2),但显得尤为明智的却是 Microsoft 的某个设计决策。 InTune 并不关注托管客户端的域成员身份。 无论客户端的域成员身份如何,您都可以通过一个中心服务管理这些客户端。 它们可以存在于您的 LAN 或 Internet 上。 它们可以是归您所有或不归您所有的资产。 与员工家用 PC 相关的风险立即降低。
.jpg)
图 2 InTune 还为您提供了很多恶意软件报告。
通过做出让 InTune 脱离 Windows 域这一大胆决策,Microsoft 已为您提供更好地内部资产保护。 员工的家用计算机现在可以享受到与您提供的便携式计算机相同的保护。 此便携式计算机即使从不回到办公室,也可以受到管理控制,从而获取更新和反恶意软件签名。 控制恶意软件并将其阻隔在网络之外 - 这就是 InTune 的强大之处。
InTune 通过少数几个可配置策略实现此目的。 如今,有两个策略可用于控制代理行为以及防火墙设置。 第三个策略用于在用户需要支持时提供联系人信息。 这些策略不会取代 Windows 组策略,并且将来可能会添加一些对互连客户端有用的策略。
未来的管理框架
凭借内置的硬件、软件和许可清单功能,InTune 为您提供了可满足基本需求的详细信息来管理 PC。 也就是说,您不能忽略这样一个事实:如今的 InTune 服务仍处于起步阶段。 实现完全的管理自动化需要额外的功能,例如部署软件、第三方更新和执行脚本以及他活动。 但不管怎么说,这却是一个良好的开始。 作为一项在线服务,InTune 体现了 Microsoft 朝着正确的方向迈进了一步。 此外,InTune 也是一个供将来添加管理功能的框架。
有了在线服务,Microsoft 不再受到产品发布周期的束缚。 开发新功能的工作也变得更加简单,原因是代理数据以及用于管理这些数据的工具集中在 Microsoft 基础结构内部。 InTune 是一个了不起的开始。 IT 是否会信任由第三方托管的 PC 管理服务?让我们拭目以待。
.jpg)
**Greg Shields**是一位 MVP,也是 Concentrated Technology 的合伙人。 若要了解 Shields 这位百事通的更多提示和技巧,请访问 ConcentratedTech.com。