.png "Windows Intune – wprowadzenie"){kind=icon}
.png "Windows Intune – zarządzanie prosto z chmury")
.png "Zarządzanie administratorami usługi Windows Intune"){kind=icon}
Rejestrowanie komputerów w usłudze Windows Intune
.png "Udostępnij na: Facebook")
Autor: Marek Krupa
Opublikowano: 2011-04-14
W poprzednich artykułach omówiliśmy usługę Windows Intune, poznaliśmy jej funkcjonalność oraz architekturę, dowiedzieliśmy się, jak zalogować się do panelu administracyjnego. Teraz zajmiemy się rejestrowaniem komputerów w usłudze oraz zmianami zachodzącymi w systemie po ich zarejestrowaniu.
Rejestrowanie komputerów w systemie Windows Intune
Zarejestrowanie komputerów, którymi chcemy zarządzać, polega na uruchomieniu na nich programu instalacyjnego klienta Windows Intune. Aplikację pobiera się bezpośrednio z witryny Windows Intune. Należy przejść do Administration -> Client Software Download (rys. 1) i kliknąć łącze Download Client Software.
.jpg "Pobieranie aplikacji klienckiej.")
**Rys. 1. Pobieranie aplikacji klienckiej.
Na dzień dzisiejszy Windows Intune pozwala na zarządzanie następującymi systemami operacyjnymi:
- Windows XP SP2 i SP3 – zalecany zainstalowany SP3.
- Windows Vista Business, Enterprise i Ultimate.
- Windows 7 Professional, Enterprise I Ultimate.
W przypadku systemu Windows XP z SP2 zaleca się zainstalowanie dwóch aktualizacji:
- Forefront Client Security Filter Manager QFE dla Windows XP SP2 oraz
- MSXML 6.0 (zaleca się również zainstalowanie Service Pack 2 do MSXML 6.0).
Aplikacja kliencka jest spersonalizowana dla każdego zarejestrowanego klienta – jest to tak naprawdę spakowane programem zip archiwum. Archiwum zawiera program instalacyjny oraz certyfikat uwierzytelniania klienta (rys. 2). Tego samego programu używamy do rejestrowania systemów 32- i 64-bitowych.
.jpg "Zawartość archiwum Windows_Intune_Setup.zip")
**Rys. 2. Zawartość archiwum Windows_Intune_Setup.zip.
Elementem powodującym personalizację programu instalacyjnego dla każdego klienta usługi jest certyfikat klienta, który jest wystawiony przez usługę Windows Intune dla zarejestrowanej firmy (rys. 3).
.jpg "Certyfikat wystawiony dla klienta usługi")
**Rys. 3. Certyfikat wystawiony dla klienta usługi.
Certyfikat, przedstawiony na rysunku 3, służy do uwierzytelniania komputera podczas procesu rejestrowania w usłudze Windows Intune. Posiadanie prawidłowego certyfikatu jest gwarancją, że rejestrowany komputer zostanie skojarzony z właściwym kontem w Windows Intune.
Ze względów bezpieczeństwa należy chronić program instalacyjny oraz certyfikat przed dostępem osób niepowołanych.
Proces instalacji programu Windows Intune Setup
Proces instalacji programu jest bardzo szybki i nie wymaga żadnych dodatkowych ustawień konfiguracyjnych. Program może być jednak prawidłowo zainstalowany jedynie przez użytkownika posiadającego uprawnienia administratora danego komputera.
Proces instalacji można oczywiście przeprowadzić ręcznie. W wypadku większej liczby komputerów zaleca się, aby instalację programu przeprowadzić za pomocą mechanizmów GPO lub SCCM.
W przypadku gdy próbujemy instalować program w systemie, który nie jest wspierany, pojawi się stosowny komunikat informujący o braku możliwości zainstalowania programu (rys. 4). Proces instalacji zostanie w takim wypadku przerwany.
.jpg "Komunikat o błędzie wersji systemu operacyjnego")
**Rys. 4. Komunikat o błędzie wersji systemu operacyjnego.
Windows Intune a programy antywirusowe
Windows Intune do zabezpieczania komputerów używa oprogramowania Windows Intune Endpoint Protection. Jeżeli na komputerze używany jest inny program ochronny, to należy zdecydować, którego będziemy używać – jeśli zdecydujemy, że będzie to Windows IntuneEndpointProtection, to przed rozpoczęciem instalacji należy wyłączyć lub odinstalować dotychczasowe oprogramowanie antywirusowe. Jeżeli jednak zechcemy pozostać przy swoim oprogramowaniu, to należy przygotować odpowiednią polisę w Panelu administracyjnym Windows Intune. O zarządzaniu komputerami za pomocą polis będzie mowa w kolejnych artykułach o Windows Intune.
Zmiany dokonane w systemie
Proces instalacji aplikacji to:
- zainstalowanie podstawowych plików binarnych,
- ściągnięcie wszystkich wymaganych komponentów,
- zainstalowanie wszystkich komponentów,
- zainstalowanie certyfikatu,
- zainstalowanie i uruchomienie wymaganych usług.
Aplikacja zarządzająca instalowana jest w folderze %ProgramFiles%\Microsoft\OnlineManagement. Dodatkowo w systemie w folderze %ProgramFiles% instalowane są następujące komponenty:
- Windows Intune Center
- Windows Intune Monitoring Agent
- Microsoft Online Management Policy Agent
- Windows Firewall Configuration Provider
- Windows IntuneEndpointProtection
- Windows IntuneEndpointProtection Agent
- Microsoft EasyAssist
- Microsoft Policy Platform
- System Center Operations Manager 2007 R2 Agent
Po zainstalowaniu aplikacji należy zrestartować komputer.
Proces instalacji obejmuje również pobranie oraz zainstalowanie certyfikatu wystawionego na komputer, który rejestrujemy w usłudze Windows Intune (rys. 5). Certyfikat ten będzie służył do uwierzytelniania komputera w usłudze Windows Intune.
.jpg "Certyfikat wystawiony na komputer zarejestrowany w usłudze Windows Intune")
**Rys. 5. Certyfikat wystawiony na komputer zarejestrowany w usłudze Windows Intune.
W systemie, który będzie zarządzany przez Windows Intune, instaluje się również kilka usług:
- Microsoft Antimalware Service
- Microsoft Online Management Update Service
- Microsoft Policy Platform Local Authority
- Microsoft Policy Platform Processor
- System Center Manager
Wszystkie usługi są uruchomione na wbudowanym lokalnym koncie systemowym (rys. 6):
.jpg "Usługi instalowane w systemie przez program Windows Intune Setup")
**Rys. 6. Usługi instalowane w systemie przez program Windows Intune Setup.
Automatycznie uruchamiane są tylko trzy usługi, natomiast dwie pozostałe –odpowiedzialne za przetwarzanie polis – są skonfigurowane na ręczny tryb uruchamiania.
Zmiany w Windows Intune
Po kilku minutach od zainstalowania aplikacji klienckiej na stronie administracyjnej Windows Intune w ścieżce Computers ->AllComputers ->UnassignedComputers pojawi się konto komputera (rys. 7). Ogólny „stan” komputera będzie „niedostępny”. Po około 30 minutach komputer zaraportuje swój „stan”. Po zaraportowaniu stanu komputera administrator będzie mógł uzyskać wiele informacje na jego temat. Między innymi, jakie programy są zainstalowane w systemie oraz w jaki sprzęt wyposażony jest komputer.
.jpg "Konto komputera zarejestrowanego w usłudze Windows Intune")
**Rys. 7. Konto komputera zarejestrowanego w usłudze Windows Intune.
Po zarejestrowaniu komputera w Windows Intune można przystąpić do kolejnych zadań administracyjnych, które zostaną omówione w kolejnych artykułach.
Wyrejestrowanie komputera z Windows Intune
Wyrejestrowanie komputera z usługi Windows Intune składa się z dwóch etapów.
Etap pierwszy to usunięcie konta komputera z usługi Windows Intune. Aby to zrobić, należy przejść do Computers ->AllComputers (rys. 8):
.jpg "Lista wszystkich zarejestrowanych komputerów")
**Rys. 8. Lista wszystkich zarejestrowanych komputerów.
Następnie należy wybrać komputer, który chcemy wyrejestrować, i w oknie właściwości tego komputera (rys. 9) kliknąć łącze Retire:
.jpg "Wycofanie konta komputera z usługi Windows Intune")
**Rys. 9. Wycofanie konta komputera z usługi Windows Intune.
Usunięcie konta komputera z Windows Intune spowoduje, że komputer nie będzie już pod kontrolą usługi. Nie znaczy to jednak, że wszystko wróciło do stanu sprzed zarejestrowania. Na komputerze klienckim nadal istnieją zainstalowane programy i usługi. Konsekwencją takiego stanu będzie chociażby brak możliwości pobierania aktualizacji z witryny Windows Update. Aby proces wyrejestrowania został zakończony, należy na komputerze klienckim odinstalować oprogramowanie.
Na dzień dzisiejszy Windows Intune nie posiada wbudowanego narzędzia do automatycznego odinstalowywania oprogramowania klienckiego. Aby skorzystać z automatyzacji wycofywania oprogramowania, to wcześniej w podobny sposób powinno być ono wdrażane, np. za pomocą SCCM. Innym sposobem zautomatyzowania tego procesu jest utworzenie odpowiedniego skryptu.
Jeżeli oprogramowanie klienckie Windows Intune było wdrażane ręcznie i nie mamy ochoty lub zdolności pisania odpowiedniego skryptu, oprogramowanie należy odinstalować ręcznie. W systemach Windows XP robimy to za pomocą Panelu sterowania, zaś w systemach Windows Vista i Windows 7 za pomocą konsoli Programy i funkcje (rys. 10). Ręcznie należy odinstalować następujące programy:
- Windows Firewall Configuration Provider
- Windows Intune Monitoring Agent
- Microsoft Online Management Update Manager
- Microsoft Online Management Policy Agent
- Windows Intune Center
- Microsoft Easy Assist v2
- Microsoft Policy Platform
- Windows Intune Endpoint Protection Agent
- Windows Intune Endpoint Protection
- System Center Operations Manager 2007 R2 Agent
- Microsoft Online Management Client
- Windows Intune
.jpg "Lista programów do odinstalowania")
**Rys. 10. Lista programów do odinstalowania.
Podsumowanie
W artykule omówiono proces rejestrowania komputerów w usłudze Windows Intune. Dowiedziałeś się, z czego składa się pakiet instalacyjny oraz jak zainstalować oprogramowanie klienckie w systemie. Dowiedziałeś się również, jakie zmiany zachodzą w systemie po zainstalowaniu programu klienckiego, w tym usługi, jakie zostają zainstalowane.
W artykule omówiono również szczegółowo proces wyrejestrowania komputera z usługi Windows Intune.
Z kolejnego artykułu dowiesz się, jakie typy administratorów przewidzieli twórcy systemu Windows Intune oraz jak nimi zarządzać.