Představení Windows Intune

  • Článek

Pro každého zodpovědného IT správce je bezpečnost firemního prostřední jednou z hlavních priorit. Nedílnou součástí bezpečnostní politiky je péče o klientské stanice, a to zejména z pohledu aplikace opravných balíčků, brány firewall, antivirového a antimalwarového řešení a sledování instalovaných aplikací, které mohou představovat bezpečnostní riziko.

Nejenom tyto, ale i další oblasti správy a zabezpečení klientských počítačů pokrývá nová cloudová služba Microsoftu, Windows Intune.

Služba byla do ostrého provozu spuštěna 23. 3. 2011 a zatím o ní není mezi odbornou IT veřejností k dispozici mnoho informací. Pojďme se tedy v následujících kapitolách podívat, jak Windows Intune funguje a co všechno nabízí.

Cloud jako centrální bod

Cloudové služby z pohledu IT správce bývají zahaleny oblakem tajemna, protože není lehké uchopit něco, co nemáte pod vlastní správou. Služby běží „někde“ na „něčem“ a pro jejich nasazení je potřeba přepisovat aplikace a podobně. Z mého pohledu je Windows Intune cloud službou, která je naopak uchopitelná velice dobře, protože pokrývá stejnou oblast, jakou každý zodpovědný IT správce pokrývá už nyní.

Představte si situaci ve středně velké firmě, kde správu aktualizací má na starosti WSUS, antiviry jsou rovněž dohledovány za pomocí centrálního serveru a rovněž je zde řešení pro management pracovních stanic (sledování zdraví počítačů, pády aplikací apod.), rovněž umístěné na třetím serveru.

Pokud tyto servery odeberete z vaší serverovny a umístíte je do datacentra Microsoftu, dostanete Windows Intune. Bez starostí o serverový hardware, bez nutnosti instalovat, konfigurovat, aktualizovat a celkově se o tyto servery starat. Tohle vše za vás vyřeší Microsoft s garantovanou dostupností 99,9%. Na vás zůstává (stejně jako v případě fyzických serverů) zapojení klientských stanic instalací Intune agenta, správa aktualizací, sledování antiviru a varovných hlášení z pracovních stanic. To vše je doplněno hardwarovými a softwarovými inventurami, reportingem a správou licencí.

Vzhledem k umístění Windows Intune služby v cloudu máte pod správou i počítače, které se momentálně nenacházejí ve vaší firemní síti. Lze tak dohledovat i počítače, které jsou dlouhodobě mimo dosah standardních nástrojů pro správu.

Celé prostředí je ovládáno pomocí centrální webové konzole postavené na Silverlightu, kde provádíte všechny úkony spojené s nastavením a správou.

Obrázek 1: Centrální konzole Windows Intune

Webová konzole je pro správce jediným potřebným nástrojem, není tedy potřeba instalovat specifickou aplikaci na vlastní počítač. Windows Intune tak lze spravovat odkudkoliv.

Pokud nabízíte dohled nad klientskými počítači jiným firmám, potěší vás fakt, že Windows Intune umožňuje pomocí dashboardu sledovat více firem současně. Získáte tak okamžitý přehled o tom, které firemní prostředí je v pořádku a ve které je potřeba váš zásah.

Obrázek 2: Dashboard při správě více účtů

Úvodní instalace a konfigurace

Službu Windows Intune lze aktivovat na stránce https://www.microsoft.com/online/cs-cz/products.aspx (kde lze aktivovat všechny cloud služby dostupné v ČR). K dispozici je jednak plná, placená verze, jednak 30 denní zkušební verze, která je omezena na 25 počítačů. Ze zkušební verze lze přímo přejít na verzi plnou, není nutná reinstalace agentů. Pro aktivaci budete potřebovat svoje Live ID.

Jakmile je služba aktivní, můžete přistoupit k management konzoli na https://manage.microsoft.com . V záložce Administration – Client Software Download si stáhnete instalační soubory pro Windows Intune Agenta. Jedná se o dva soubory, první je samotný instalační .exe soubor, druhý je certifikát určující, ke kterému prostředí v rámci Windows Intune se má daný počítač připojit.

Podporovány jsou tyto operační systémy:

  • Windows XP Professional SP3 (32bit i 64bit)
  • Windows Vista Business/Enterprise/Ultimate (32bit i 64bit)
  • Windows 7 Professional/Enterprise/Ultimate (32bit i 64bit)

Následně je třeba Windows Intune agenta nainstalovat na spravované počítače. Způsob instalace závisí na vás, instalaci lze spustit z USB klíčenky, CD, síťového umístění, případně lze .exe soubor rozbalit na .msi balíček a ten pak instalovat pomocí skupinových politik.

Obrázek 3: Windows Intune agent na klientském počítači

Do třiceti minut po instalaci by se počítače měly objevit v seznamu management konzole, odkud je lze dále spravovat. Počítače lze následně třídit do logických skupin, například podle umístění či oddělení.

Správa aktualizací

Ve Windows Intune nadefinujete, o jaké produktové skupiny máte zájem (například Windows XP a Windows 7, Office 2007 a Office 2010 apod.). Intune agent na počítači zjistí, zda jsou nějaké aktualizace pro počítač platné, a následně požádá o jejich distribuci.

Správce musí každou aktualizaci schválit k distribuci, ať už na celou firmu nebo na jednotlivé skupiny počítačů. Toto schvalování lze i automatizovat pomocí samo schvalovacích pravidel (například pro kritické a bezpečnostní opravy lze nastavit automatické schválení, pro ostatní až po schválení).

Po schválení  Intune předá zprávu počítačům, které danou aktualizaci vyžadují, a tyto následně stáhnout aktualizace z Microsoft Update a provedou instalaci.

Samotný proces instalace a konfigurace aktualizací (kdy instalovat, kdy restartovat atd.) je řízen pomocí Windows Intune politik popsaných níže.

Antimalware

Součástí Windows Intune agenta je i antivirové a antimalwarové řešení založené na Microsoft Malware Protection Engine, využité i v produktech Forefront Endpoint Protection a Microsoft Security Essentials.

Tato komponenta se však instaluje pouze v případě, že na počítači neběží jiné antivirové řešení. Toho lze s výhodou využít například při testování Windows Intune služby, kde z počítačů nemusíte odinstalovat existující antivirus.

Pokud se jedná o počítač bez antiviru, antimalwarová část je nainstalována a okamžitě chrání počítač. Distribuce virových definic probíhá automaticky, opět pomocí Microsoft Update.

Obrázek 4: Intune Endpoint Protection na klientském počítači

Stejně jako u aktualizací, i v tomto případě lze nastavit nejrůznější parametry (kdy provádět plnou kontrolu, co dělat se zachycenou hrozbou atd.) pomocí Windows Intune politik.

Vzdálená pomoc

Windows Intune agent pomáhá i ve chvíli, kdy uživatel potřebuje pomoci s konkrétním problémem a vyžádá si pomoc IT správce. Součástí agenta je i Microsoft Easy Assist. Ve chvíli, kdy uživatel prostřednictvím Easy Assist požádá o pomoc, objeví se jednak hlášení pro správce v Management konzoli (toto hlášení lze rovněž zasílat e-mailem), jednak se z klienta naváže spojení na Microsoft Live Meeting service. Jde o odchozí připojení na portu 443, neměl by tedy být problém s NATem, firewallem a dalšími síťovými prvky.

Správce po obdržení hlášení rovněž naváže spojení s Live Meeting službou (opět na portu 443, „firewall friendly“) a Live Meeting následně propojí obě spojení dohromady.

Uživatel poté může IT správci nasdílet celou pracovní plochu, případně pouze jednu aplikaci. Uživatel a správce mohou rovněž chatovat, vyměňovat si soubory, a pokud je potřeba, do stejné relace se může připojit i další IT správce (například v případě, že je potřeba jeho znalostí s řešením specifického problému).

Bezpečnostní politiky

Bezpečnostní politiky – Windows Intune obsahuje připravenou šablonu bezpečnostní politiky, kterou lze dále upravovat podle potřeb a následně aplikovat na skupinu počítačů, případně na celou organizaci.

Granularitu politik nelze srovnávat se skupinovými politikami Active Directory (mimochodem při konfliktu Intune policy a ADGP vyhrávají doménové politiky), jde o základní, nejpodstatnější nastavení jednotlivých komponent Windows Intune.

K dispozici jsou tři šablony:

  • Windows Intune Agent: nastavuje instalace aktualizací a chování Antimalware. U aktualizací lze definovat, jak často se kontrolují aktualizace, kdy probíhá instalace, zda a na jak dlouho může uživatel odložit případný restart. Antimalware umožňuje nastavit, zda je Endpoint Protection aktivní, zda je aktivní real-time ochrana, kdy a za jakých podmínek se spustí rychlý, případně úplný test počítače a další parametry.
  • Windows Intune Center: můžete definovat kontaktní informace, které se uživateli zobrazí při žádosti o vzdálenou pomoc.
  • Windows firewall – Windows Intune nemá vlastní firewall řešení, využívá systémový firewall, jehož chování lze pomocí politiky nastavit. V závislosti na sítovém profilu (domácí síť, pracovní síť, veřejná síť) lze firewall zapnout, blokovat všechna příchozí spojení, varovat uživatele při pokusu aplikace o přístup k síti a spravovat povolené výjimky.

Inventury, reporting, licencování

Windows Intune shromažďuje kompletní informace o hardware počítačů a pomocí Microsoft Asset Inventory Service sleduje i instalovaný software (stejný přehled jako v Ovládacích panelech). Tyto údaje pak můžete sledovat jednotlivě po počítačích, nebo si je zobrazíte hromadně nad skupinou počítačů, případně nad celou firmou.

Z veškerých údajů (nejen hw a sw inventury, ale i stav aktualizací, antimalware, alertů atd.) lze jednoduše vyrobit reporty. Buďto se použije předdefinovaná šablona, nebo lze přímo v aktuálním okně management konzole použít tlačítko Export List, které nabídne vytvoření reportu ve formátu .csv nebo html.

Pokud používáte některý z Volume licenčních programů, můžete informace o licencích zahrnout do Windows Intune a následně jednoduše porovnat stav licencí se skutečným počtem reálných instalací. Pro zahrnutí licenčních informací potřebujete pouze znát Agreement Number a Customer Number, samotné informace o produktech a počtu licencí si Windows Intune automaticky stáhne z Microsoft Volume Licensing služby.

Obrázek 5: Zadání Volume Licensing Agreementu

Monitoring stavu počítačů

Součástí Windows Intune je rovněž sledování stavu klientských počítačů pomocí alertů. Tyto aletry sledují specifické události na klientských počítačích a pokud daná událost, je vygenerováno hlášení, viditelné v Intune management konzoli.

V rámci Intune je k dispozici 380 alertů, nicméně kromě povolení či zakázání daného alertu nelze měnit žádná nastavení či přidávat alerty nové. Pro potřeby detailnějšího monitoringu je pak nutné využít nástroje rodiny Systém Center.

Jednotlivé alerty jsou klasifikovány jako kritické, výstražné či informativní. Můžete si nastavit zasílání informací o alertech mailem na jednoho či více IT správců, zasílat lze všechny alerty, případně jen kritické, varovné nebo informativní. Zvláštní skupinu tvoří žádosti o vzdálenou pomoc, kterou lze nastavit separátně a získat tak okamžitě informaci o žádosti.

Upgrade licence na Windows 7 Enterprise

Windows Intune Agent může být instalován na Windows XP Professional SP3, Windows Vista Business a vyšší, či Windows 7 Professional a vyšší (jak 32bit tak 64bit edice). Obrovskou výhodou Windows Intune je ale fakt, že každý počítač s licencí Windows Intune má licenční právo na upgrade na Windows 7 Enterprise. Tímto lze velice jednoduše, bez vysokých finančních nároků, sjednotit celé firemní prostředí na nejnovější verzi Windows operačního systému, a využít tak dalších benefitů týkajících se bezpečnosti a uživatelského komfortu: intuitivní uživatelské rozhraní, pokročilé vyhledávání, šifrování BitLocker a další.

V rámci Windows Intune můžete v případě potřeby využít i právo na downgrade a sjednotit své firemní počítače na nižší verzi podporovaného operačního systému.

Microsoft Desktop Optimization Pack

Volitelnou součástí Windows Intune je Microsoft Desktop Optimization Pack (MDOP), který dále rozšiřuje možnosti správy klientských stanic pomocí následujících nástrojů:

  • Diagnostics and Recovery Toolset (DaRT) – umožňuje efektivní a rychlou diagnostiku a obnovu poškozených instalací klientských operačních systémů. Umožňuje vytvořit bootovatelné DVD s diagnostickými a opravnými nástroji, které dokáží obnovit i PC instalaci poškozenou natolik, že nedokáže nastartovat operační systém.
  • Advanced Group Policy Management (AGMP) – nadstavba nad Group Policy v rámci Active Directory. Umožňuje delegovat role nad jednotlivými politikami, verzování, návrat k předchozímu stavu a offline editace Group Policy
  • Microsoft Application Virtualization – firemní aplikace lze nasadit centrálně v rámci virtuálního prostředí a odtud je poskytovat uživatelům. Podstatně se tím ulehčuje správa, dohled a přechod na nové verze aplikací.
  • Microsoft Enterprise Desktop Virtualization – řešení pro starší aplikace, nekompatibilní s novým operačním systémem. Umožňuje spouštět starší operační systém včetně dané aplikace v rámci virtuálního prostředí.
  • Microsoft System Center Desktop Error Monitoring – pokud používáte řešení Systém Center pro dohled nad svými servery, SCDEM rozšiřuje možnosti dohledu i na klientské stanice

Microsoft Desktop Optimization Pack dále prochází inovací, při vydání nové verze MDOP mají uživatelé Windows Intune automaticky nárok na nejnovější verzi.

Dostupnost a cena

Služba byla spuštěna 23. 3. 2011 a je k dispozici v ČR jako třicetidenní zkušební verze (omezená na 25 počítačů) a jako placená služba. U placené služby není stanoven žádný limit týkající se maximálního počtu spravovaných počítačů, nicméně z technického hlediska není doporučeno Windows Intune nasazovat v organizacích, které spravují víc jak deset tisíc počítačů.

Cena služby je 11 EUR na počítač na měsíc, přičemž v rámci licence jsou k dispozici všechny výše popsané technologie a možnosti s výjimkou MDOP, který je dostupný jako volitelný doplněk za cenu 1 EUR na počítač na měsíc.

Závazek u Windows Intune je na prvních dvanáct měsíců, poté můžete službu kdykoliv zrušit. Pro použití Windows Intune je nutné mít licence ke klientským operačním systémům Windows XP Professional, Windows Vista Business/Enterprise/Ultimate či Windows 7 Professional/Enterprise/Ultimate.

Při pořízení služby pro více než 250 počítačů jsou k dispozici množstevní slevy, totéž platí při pořízení v rámci Enterprise Agreement smlouvy. Nižší ceny mají rovněž školy, které využívají CASA nebo EES agreement.

Zajímavý je rovněž partnerský program. Microsoft Cloud Partner program (další informace a registrace zde:  http://www.microsoftcloudpartner.com/ ) umožňuje registrovaným firmám jednak využít Microsoft Cloud Essentials Pack (mimo jiné obsahuje 250 licencí BPOS, 250 licencí Dynamics CRM Online, 10 licencí Windows Intune, speciální nabídku pro bezplatné využití Windows Azure atd.), jednak získávat rabaty za prodej Windows Intune licencí zákazníkům.

Pokud partner prodá Windows Intune svému zákazníkovi a tato skutečnost je zaznamenána při objednávce, získává partner 6% z ceny služby po celou dobu trvání. Jako bonus je během prvního roku přidáno dalších 12%, celkem tedy partner první rok obdrží 18% z ceny služby, další roky potom 6%.

Možné použití

Pokud má firma již nasazené a funkční řešení pro aktualizace, antimalware a správu klientských počítačů, není zásadní důvod provádět okamžitě migraci na Windows Intune.

Pokud se však jedná o nové prostředí, pak Windows Intune stojí za zvážení. Cena za používání služby se může na první pohled jevit jako vysoká, ale při propočtení nákladů na pořízení serverů, serverových licencí, licencí pro antimalware a dalších nákladů je minimálně srovnatelná s tradičním řešením.

Windows Intune má rovněž své opodstatnění ve chvíli, kdy je potřeba pokrýt počítače externích spolupracovníků, nové firemní oddělení, sjednocení dohledu při sloučení firem a v dalších případech, kdy je potřeba rychle a jednoduše zabezpečit a spravovat klientské počítače.

Pádným argumentem je rychlost nasazení, bez nutnosti vybudování serverového řešení je možno pokrýt počítače během třiceti minut.

Díky umístění Windows Intune v cloudu je služba k dispozici kdykoliv odkudkoliv, stačí běžné připojení k internetu. U firem s více pobočkami tak není nutné řešit serverovou topologii (v každé pobočce lokální WSUS).

Umístění v cloudu znamená velkou výhodu i ve chvíli, kdy velké množství firemních pracovníků tráví hodně času mimo interní firemní síť, protože i pak je správa a dohled zajištěna.

Autor: Tomáš Kantůrek