Microsoft Intune — это облачная служба, в которой основное внимание уделяется управлению мобильными устройствами (MDM) и управлению мобильными приложениями (MAM). Microsoft Intune is a cloud-based service that focuses on mobile device management (MDM) and mobile application management (MAM). Intune входит в состав пакета Microsoft Enterprise Mobility + Security (EMS) и позволяет пользователям быть продуктивными, обеспечивая защиту данных организации. Intune is included in Microsoft’s Enterprise Mobility + Security (EMS) suite, and enables users to be productive while keeping your organization data protected. Он интегрируется с другими службами, в том числе Microsoft 365 и Azure Active Directory (Azure AD), чтобы контролировать доступ для пользователей и доступ к продуктам, и Azure Information Protection для защиты данных. It integrates with other services, including Microsoft 365 and Azure Active Directory (Azure AD) to control who has access, and what they have access to, and Azure Information Protection for data protection. При использовании вместе с Microsoft 365 ваши сотрудники могут эффективно работать на всех устройствах с одновременной защитой данных организации. When you use it with Microsoft 365, you can enable your workforce to be productive on all their devices, while keeping your organization’s information protected.
Изучите увеличенное изображение схемы архитектуры Intune. View a larger version of the Intune architecture diagram.
С помощью Intune можно выполнять следующие задачи: With Intune, you can:
- Выбрать значение "100 % облака с Intune" или совместно управляемый с помощью Configuration Manager и Intune. Choose to be 100% cloud with Intune, or be co-managed with Configuration Manager and Intune.
- Задать правила и настроить параметры на персональных и корпоративных устройствах для доступа к данным и сетям. Set rules and configure settings on personal and organization-owned devices to access data and networks.
- Выполнять развертывание и проверку подлинности приложений на устройствах — локальных и мобильных. Deploy and authenticate apps on devices — on-premises and mobile.
- Защитить сведения о компании, контролируя способ доступа к информации и совместного пользования информацией. Protect your company information by controlling the way users access and share information.
- Быть уверенным, что для устройств и приложений обеспечено соответствие требованиям к безопасности. Be sure devices and apps are compliant with your security requirements.
Содержание
Управление устройствами Manage devices
В Intune вы управляете устройствами с помощью подхода, который подходит вам. In Intune, you manage devices using an approach that’s right for you. Для устройств, принадлежащих организации, может потребоваться полный контроль над устройствами, включая параметры, функции и безопасность. For organization-owned devices, you may want full control on the devices, including settings, features, and security. При таком подходе устройства и пользователи этих устройств "регистрируются" в Intune. In this approach, devices and users of these devices "enroll" in Intune. После регистрации они получат правила и параметры с помощью политик, настроенных в Intune. Once enrolled, they receive your rules and settings through policies configured in Intune. Например, можно установить требования к паролю и ПИН-коду, создать VPN-подключение, настроить защиту от угроз и многое другое. For example, you can set password and PIN requirements, create a VPN connection, set up threat protection, and more.
Для персональных или собственных устройств (BYOD) пользователи могут запретить полный доступ для администраторов организации. For personal devices, or bring-your-own devices (BYOD), users may not want their organization administrators to have full control. При использовании такого метода пользователям следует предоставить параметры. In this approach, give users options. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. For example, users enroll their devices if they want full access to your organization resources. Если этим пользователям нужен доступ только к электронной почте или Microsoft Teams, то для использования этих приложений следует использовать политики защиты приложений, для которых требуется многофакторная проверка подлинности (MFA). Or, if these users only want access to email or Microsoft Teams, then use app protection policies that require multi-factor authentication (MFA) to use these apps.
Когда устройства регистрируются и управляются в Intune, администраторы могут: When devices are enrolled and managed in Intune, administrators can:
- просмотреть зарегистрированные устройства и получить сведения об инвентаризации устройств, обращающихся к ресурсам организации; See the devices enrolled, and get an inventory of devices accessing organization resources.
- настроить устройства таким образом, чтобы они соответствовали стандартам безопасности и работоспособности. Configure devices so they meet your security and health standards. Например, вы вероятно захотите заблокировать устройства со снятой защитой. For example, you probably want to block jailbroken devices.
- Отправьте сертификаты на устройства, чтобы пользователи могли легко получать доступ к сети Wi-Fi или использовать VPN для подключения к сети. Push certificates to devices so users can easily access your Wi-Fi network, or use a VPN to connect to your network.
- Просмотреть отчеты по пользователям и устройствам, которые соответствуют и не соответствуют требованиям. See reports on users and devices that are compliant, and not compliant.
- Удалить данные организации, если устройство потеряно, украдено или больше не используется. Remove organization data if a device is lost, stolen, or not used anymore.
Онлайн-ресурсы: Online resources:
Управление приложениями Manage apps
Управление мобильными приложениями (MAM) в Intune предназначено для защиты данных организации на уровне приложений, включая пользовательские приложения и приложения Магазина. Mobile application management (MAM) in Intune is designed to protect organization data at the application level, including custom apps and store apps. Управление приложениями можно использовать на устройствах, принадлежащих организации, и персональных устройствах. App management can be used on organization-owned devices, and personal devices.
При управлении приложениями в Intune администраторы могут: When apps are managed in Intune, administrators can:
- Добавлять и назначать мобильные приложения группам пользователей и устройствам, включая пользователей в конкретных группах, устройств в конкретных группах и т. д. Add and assign mobile apps to user groups and devices, including users in specific groups, devices in specific groups, and more.
- Настроить приложения для запуска или выполнения с включенными специальными настройками и обновить существующие приложения на устройстве. Configure apps to start or run with specific settings enabled, and update existing apps already on the device.
- Просматривать отчеты, в которых используются приложения, и следить за их использованием. See reports on which apps are used, and track their usage.
- Выполнить выборочную очистку, удалив из приложений только данные организации. Do a selective wipe by removing only organization data from apps.
Одним из способов обеспечения безопасности мобильных приложений в Intune является политика защиты приложений . One way that Intune provides mobile app security is through app protection policies. Политики защиты приложений: App protection policies:
- Использовать удостоверение Azure AD для изоляции данных организации от персональных данных. Use Azure AD identity to isolate organization data from personal data. Так личные сведения хранятся отдельно от сведений организации. So personal information is isolated from organizational IT awareness. Для доступа к данным, использующим учетные данные организации, предоставляется дополнительная защита безопасности. Data accessed using organization credentials are given additional security protection.
- Позволяет защитить доступ к персональным устройствам, запретив действия, которые могут выполнять пользователи, такие как копирование и вставка, сохранение и просмотр. Help secure access on personal devices by restricting actions users can take, such as copy-and-paste, save, and view.
- Можно создавать и развертывать на устройствах, зарегистрированных в Intune, в другой службе MDM или не зарегистрированных в никакой из служб MDM. Can be created and deployed on devices that are enrolled in Intune, enrolled in another MDM service, or not enrolled in any MDM service. На зарегистрированных устройствах политики защиты приложений могут добавить дополнительный уровень защиты. On enrolled devices, app protection policies can add an extra layer of protection.
Например, пользователь входит на устройство с учетными данными организации. For example, a user signs in to a device with their organization credentials. Идентификатор организации позволяет получить доступ к данным, которые запрещены для их личного идентификатора. Their organization identity allows access to data that’s denied to their personal identity. При использовании данных организации политики защиты приложений контролируют их сохранение и совместное использование. As that organization data is used, app protection policies control how the data is saved and shared. Когда пользователи входят с помощью личного идентификатора, эти средства защиты не применяются. When users sign in with their personal identity, those same protections aren’t applied. Таким образом, ИТ-отдел может управлять данными организации, а пользователи сохраняют контроль над своими личными данными, которые остаются конфиденциальными. In this way, IT has control of organization data, while end users maintain control and privacy over their personal data.
Кроме того, Intune можно использовать с другими службами EMS. And, you can use Intune with the other services in EMS. Эта функция обеспечивает безопасность ваших мобильных приложений организации за пределами операционной системы и любых других приложений. This feature provides your organization mobile app security beyond what’s included with the operating system and any apps. Приложения, управляемые с помощью EMS, имеют доступ к более широкому набору мобильных приложений и функций защиты данных. Apps managed with EMS have access to a broader set of mobile app and data protection features.
Соответствие требованиям и условный доступ Compliance and conditional access
Intune интегрируется с Azure AD, чтобы поддерживать широкий набор сценариев контроля доступа. Intune integrates with Azure AD to enable a broad set of access control scenarios. Например, требуйте, чтобы перед доступом к сетевым ресурсам мобильные устройства соответствовали стандартам организации, определенным в Intune, таким как электронная почта или SharePoint. For example, require mobile devices be compliant with organization standards defined in Intune before accessing network resources, such as email or SharePoint. Аналогичным образом, вы можете заблокировать доступ к сервисам, чтобы они были доступны только для определенного набора мобильных приложений. Likewise, you can lock down services so they’re only available to a specific set of mobile apps. Например, можно разрешить доступ к Exchange Online только из Outlook или Outlook Mobile. For example, you can lock down Exchange Online so it’s only accessed by Outlook or Outlook Mobile.
Онлайн-ресурсы: Online resources:
Сведения о получении Intune How to get Intune
Intune доступна: Intune is available:
Intune используется во многих секторах, включая государственные организации, образование, киоск или специальное устройство для производства и розничной торговли и многое другое. Intune is used in many sectors, including government, education, kiosk or dedicated device for manufacturing and retail, and more.
Microsoft последовательно переводит в «облако» свои наиболее важные и популярные продукты. Читатели iXBT.com уже имели возможность познакомиться с одним из таких сервисов — Office 365, который позволяет компаниям любых размеров быстро и без больших начальных вложений воспользоваться возможностями серьезных корпоративных продуктов, таких как Exchange, Lync, SharePoint. Сегодняшний пример — из несколько иной области. Windows Intune представляет собой готовое решение по защите и управлению ПК (естественно, только под управлением Windows), многие функции которого известны специалистам по продуктам из состава System Center.
Intune была запущена Microsoft весной 2011 г., а спустя полгода уже обновилась до версии 2.0. Впрочем, в «облаке» всякая нумерация достаточно условна, ведь веб-приложения могут изменяться на лету — в этом как раз заключается одно из их преимуществ. Тем не менее, обновление свидетельствует в пользу серьезного отношения со стороны Microsoft.
Общее представление
Основные характеристики Intune проистекают из ее облачного характера. Служба представляет собой готовое решение (т. е. не требует развертывания и обслуживания), автоматически масштабируется, оплачивается в форме подписки. Стандартная цена в 11 долларов за один обслуживаемый ПК в месяц кроме собственно возможности централизованного управления включает лицензию на антивирус Windows Intune Endpoint Protection, а также право на модернизацию имеющихся ОС до Windows 7 Enterprise Edition и даже (в течение действия подписки) до будущих версий. По заказу Microsoft компания IDC оценила экономический эффект от использования Intune — конкретные цифры не так важны, поскольку они базируются на западных реалиях, но источники экономии достаточно очевидны: сокращение трудозатрат ИТ-персонала, исключение потребности в ряде дополнительных инструментов, повышение продуктивности конечных пользователей (за счет предупреждения сбоев и простоев ПК).
Соответственно, есть два основных сценария применения Intune:
- в крупных организациях с развитой инфраструктурой служба может использоваться наравне с другими средствами для управления компьютерами мобильных и надомных сотрудников. Это особенно пригодится в тех случаях, когда невозможно воспользоваться VPN или такой вид доступа не предусмотрен. Intune масштабируется до 20 тыс. рабочих мест, хотя основная ее аудитория относится к категории до 500;
- малому и среднему бизнесу Intune позволяет быстро и без больших затрат перейти к использованию современных методов обслуживания и поддержки ПК, унифицировать программную среду, обеспечить централизованную защиту.
Второй сценарий кажется наиболее оправданным, тем более что цены на Intune достаточно гуманны даже по нашим меркам. К сожалению, на момент написания статьи на территории СНГ Intune была недоступна. Более того, даже ее тестирование в наших странах формально невозможно, хотя обойти это ограничение довольно просто — достаточно всего лишь завести учетную запись Windows Live, указав «правильную» страну. Вряд ли здесь стоит усматривать какой-то злой умысел, скорее всего дело в необходимости согласования юридических деталей (как было и в случае с Office 365). Во всяком случае, интерфейс Intune и значительная часть документации уже переведены на русский язык.
Приступая к работе
Итак, подписавшись на тестирование Intune с помощью «специального» Live >
Настройка и подключение ПК (в режиме тестирования — не более 25) выполняются также несложно. Слева в веб-консоли имеется список разделов, последний из них — Администрирование. Здесь находится ссылка на клиентское ПО, которое комплектуется специальным сертификатом, осуществляющим привязку к вашей учетной записи в Intune. Его доставку на конкретные компьютеры можно выполнить любым доступным способом — в общем случае от управляемых ПК не требуется ни вхождения в домен, ни даже подключения к локальной сети. Сразу после установки клиентское ПО обратится к Intune за обновлениями и дополнительными программными агентами. Загрузка необходимых модулей может занять некоторое время, но, как правило, в течение получаса управляемый компьютер появляется в соответствующем списке в консоли Intune (раздел Компьютеры). Параллельно выполняется первичный сбор информации и вносятся необходимые коррективы в локальную конфигурацию (например, Windows Update перенаправляется на Intune). В конечном итоге, на управляемом ПК появляются несколько фоновых агентов для поддержки соответствующих функциональных возможностей Intune, антивирус Windows Intune Endpoint Protection (про сути, аналог Windows Security Essentials) и служебная программа Windows Intune Center. Изначально все ПК помещаются в категорию «Неназначенные компьютеры», затем их можно объединять в группы для более простого управления.
Интерфейс административной консоли Intune достаточно прозрачен. Слева находится список разделов, при заходе в каждый появляется панель с подразделами: стандартный Обзор представляет краткую информационную сводку и обеспечивает доступ к основным задачам, остальные отображают списки соответствующих объектов. Применение Silverlight сделало веб-консоль практически неотличимой от обычного приложения: используются контекстные меню, можно корректировать табличное представление данных и т. д. Общее управление функционированием Intune осуществляется в разделе Администрирование.
Основные возможности
Всего в Intune можно выделить шесть основных функциональных блоков, каждый из которых представлен собственным информационным разделом. Некоторые из них не являются независимыми — к примеру, политики используются для управления обновлениями и антивирусной защитой, — но в целом деление выглядит логичным и удобным.
Обновления
Этот блок наверняка покажется знакомым многим практикующим администраторам. Действительно, он фактически полностью дублирует возможности WSUS, с той лишь разницей, что локальное хранилище обновлений по понятным причинам не предусмотрено. Похожим образом осуществляется и управление процессом обновления: можно выбирать категории и конкретные продукты Microsoft, типы заплаток, формировать правила их автоматического утверждения, централизованно контролировать состояние программной среды на управляемых компьютерах. Все это делается в соответствующем подразделе раздела Администрирование.
Также имеется возможность обновления стороннего ПО. Для этого администратор с помощью специального мастера должен сформировать программный пакет и загрузить его в хранилище Intune. Для EXE-модулей этот процесс может оказаться достаточно трудоемким, так как нужно четко описать принципы проверки наличия ПО, его версии и пр., а для MSI и MSP — все гораздо проще, так как часть нужной информации зашита прямо в сами модули. В любом случае надо иметь в виду, что обновления устанавливаются только в «тихом» (не интерактивном) режиме, то есть необходимо сразу указывать все ключи, опции и пр.
Endpoint Protection
Как уже упоминалось, подписка на Intune включает в себя лицензии на антивирусную поддержку Endpoint Protection. В данном случае она носит имя Intune, а не Forefront, но понятно, что это то же самое решение. Клиентское ПО должно быть предварительно развернуто — оно устанавливается вместе с агентами собственно Intune, в дальнейшем обновление осуществляется стандартно через Windows Update. Интерфейс Intune позволяет контролировать состояние защиты на управляемых компьютерах, централизованно назначать проверки и конфигурировать привычные параметры — это выполняется в разделе Политика. Как только политики вступают в силу, изменять настройки Intune Endpoint Protection локально становится невозможно. В итоге имеем более-менее типичный корпоративный антивирус.
Оповещения
Функционирование ПК зависит не только от обновления ОС и основных приложений, но также от множества других факторов, поэтому Intune поддерживает механизм оповещения о различных событиях, происходящих на управляемых компьютерах — похожую функциональность обеспечивает Microsoft SCOM. Всего таких оповещений насчитывается порядка двухсот: о сбоях в работе различных системных служб и приложений (только самой Microsoft), о критическом заполнении дисков, высокой загрузке процессора и пр. — они поделены на несколько очевидных категорий и могут включаться/отключаться как индивидуально, так и группами. Некоторые допускают настройку соответствующих параметров, в том числе можно реагировать не на одиночные, а на повторяющиеся явления. Оповещения не только фиксируются в системе, но и могут пересылаться одному или нескольким администраторам — к примеру, каждый может отвечать за определенную категорию событий (всё это, естественно, настраивается). Правда, выбор последующих действий не слишком широк: в Intune 2.0 появилась поддержка некоторых удаленных задач (обновление антивируса, выполнение проверки, перезагрузка ПК), но, к примеру, даже заметив приближение проблемы, администратор не имеет явной возможности предложить пользователю установить сеанс дистанционной помощи (подробнее ниже).
Программное обеспечение
Соответствующий блок включает инструменты для инвентаризации ПО на клиентских ПК и централизованного развертывания приложений. Функция инвентаризации достаточно очевидна — клиентские агенты собирают информацию об установленном ПО, извлекают, насколько это возможно, информацию о нем и передают в службу, где все данные систематизируются и представляются администратору. По мере унификации процедур установки ПО в Windows собранная таким образом информация становится все более полной и адекватной. В большинстве случаев совершенно корректно определяется название, издатель, номер версии и т. д. Исключением является, конечно, лицензия (см. ниже), так как все разработчики применяют собственные методы ее привязки к конкретному экземпляру.
Функция удаленного развертывания ПО позволяет унифицировать программную среду управляемых компьютеров с помощью онлайновой библиотеки. На тестовый период для этих целей выделяется 2 ГБ в облачном хранилище Microsoft; при оформлении подписки — 20 ГБ, и при необходимости можно приобрести дополнительное пространство (заполнение библиотеки контролируется в интерфейсе Intune). Инсталляционные пакеты для дистанционного развертывания требуют подготовки, упростить которую призван еще один специальный мастер: в частности, необходимо указать целевые платформы, а при необходимости — дополнительные параметры командной строки и признаки присутствия данного ПО в системе (это могут быть программные идентификаторы, конкретные файлы или записи в реестре). Развертываться такие пакеты могут исключительно по расписанию, и к сожалению, нет возможности делегировать конечным пользователям право их загрузки из библиотеки по требованию. Дополнительную степень свободы при централизованном управлении ПО может обеспечить технология виртуализации приложений (точнее, среды их исполнения) App-V из состава MDOP. Хотя изначально данный пакет ориентирован на корпоративных лицензиатов Microsoft, он также доступен подписчикам Intune, причем по очень умеренной цене — дополнительный доллар на рабочее место.
Лицензии
Инвентаризация ПО позволяет не только унифицировать программную среду управляемых ПК, но и корректно учитывать использование лицензий. К сожалению, в полной мере эта функциональность предоставляется только для приложений самой Microsoft — в этом случае удается корректно различать и автоматически учитывать как персональные, так и корпоративные (пакетные) лицензии. В остальных случаях их придется описывать и контролировать фактически вручную (просто по количеству инсталляций), но, тем не менее, значительную часть черновой работы Intune все-таки берет на себя. В целом этот блок функциональности сильно напоминает другую службу Microsoft — Asset Inventory Service, которая предлагается в составе MDOP и может использоваться независимо.
Политика
Политики Intune представляют собой средство управления функционированием самой системы — в частности, клиентскими агентами и антивирусами. Их не следует путать со стандартными групповыми политиками, которые они ни в коем случае не подменяют. Тем не менее, некоторые параметры все-таки могут пересекаются — в частности, те, что управляют работой Windows Firewall, — и в этом случае приоритет отдается именно групповым политикам. В остальном все достаточно стандартно, политики создаются на основе немногочисленных предопределенных шаблонов, в которых визуализируются и изменяются все актуальные параметры.
На управляемые ПК политики загружаются при очередном этапе проверки обновлений, применить их принудительно невозможно. Период проверки можно регулировать, но допустимое минимальное значение составляет 8 часов. Вероятно, это сделано с целью ограничения трафика Intune.
Дополнительно
В Intune имеется еще целый ряд вспомогательных инструментов, список которых постоянно расширяется. Так, в версии 2.0 появились дистанционные задачи: антивирусные проверки, обновление баз с сигнатурами, перезагрузка. Кроме инвентаризации ПО также выполняется инвентаризация аппаратного обеспечения, имеется возможность строить различные отчеты (для чего предназначен соответствующий раздел консоли) и т. д. Впрочем, один дополнительный инструмент заслуживает подробного рассмотрения.
Удаленная помощь
На каждый управляемый ПК устанавливается программа Windows Intune Center, в которой присутствует инструмент Microsoft Easy Assist. С его помощью пользователь может отправить администратору запрос на организацию сеанса удаленной помощи. Такие заявки фиксируется в Intune в качестве оповещений специального типа — администратор всегда о них уведомляется, после чего может принять их и тут же установить сеанс.
Вообще-то похожая функция имеется в самой Windows, однако она работает только в локальной сети и, соответственно, для мобильных пользователей далеко не всегда доступна (к примеру, при невозможности установления VPN-соединения). Поэтому в Intune применяется более универсальный метод: на лету создается специальное мероприятие в онлайновом Microsoft LiveMeeting, и обе стороны приглашаются к участию в нем (при необходимости загружается клиентское ПО). Дальнейшая работа происходит в режиме разделения рабочего стола, администратор видит происходящее на пользовательском компьютере и может запросить управление им, чтобы самостоятельно выполнить необходимые действия. В сеансе также работает текстовый чат, так что можно просто передать пользователю необходимые инструкции.
Резюме
Итак, Intune представляет собой подборку наиболее востребованных функций из продуктов семейства System Center (и некоторых других), которые могут применяться к ПК вне (и даже вовсе без) какой бы то ни было инфраструктуры. Средой в этом случае выступает интернет (естественно, все коммуникации шифруются), который позволяет добраться до любого компьютера, практически независимо от его местонахождения — в этом как раз и заключается одно из преимуществ облачного подхода.
Intune, конечно, нельзя напрямую сравнивать с System Center. Однако эта служба прежде всего ориентирована на нужды небольших компаний, для которых полный спектр возможностей System Center явно избыточен. Кроме того, в нынешнем виде Intune представляет собой прекрасный «каркас» для дальнейшего расширения функциональности, и, как видим, оно действительно происходит.
