Настройка Intune Set up Intune

Эти шаги по настройке позволяют включить управление мобильными устройствами (MDM) с помощью Intune. These set-up steps help you enable mobile device management (MDM) by using Intune. Прежде чем предоставить пользователям доступ к корпоративным ресурсам или управлять параметрами этих устройств, необходимо включить управление устройствами. Devices must be managed before you can give users access to company resources or manage settings on those devices.

Некоторые действия, такие как настройка подписки Intune и установка центра управления мобильными устройствами, являются обязательными в большинстве сценариев. Some steps, such as setting up an Intune subscription and setting the MDM authority, are required for most scenarios. Другие действия, такие как настройка личного домена или добавление приложений, являются необязательными в зависимости от потребностей вашей организации. Other steps, such as configuring a custom domain or adding apps, are optional depending upon your company’s needs.

Если в сейчас вы используете Microsoft Endpoint Configuration Manager для управления компьютерами и серверами, можете подключить Configuration Manager к облаку, чтобы использовать совместное управление. If you’re currently using Microsoft Endpoint Configuration Manager to manage computers and servers, you can cloud-attach Configuration Manager with co-management.

При покупке по меньшей мере 150 лицензий для Intune в соответствующем плане можно использовать преимущество Center FastTrack. If you purchase at least 150 licenses for Intune in an eligible plan, you can use the FastTrack Center Benefit. Благодаря этой службе специалисты Майкрософт помогут вам подготовить среду к работе с Intune. With this service, Microsoft specialists work with you to get your environment ready for Intune. См. раздел Преимущество FastTrack Center для Enterprise Mobility + Security (EMS). See FastTrack Center Benefit for Enterprise Mobility + Security (EMS).

Развертывание или переход в Microsoft Intune Deploy or move to Microsoft Intune

Успешное внедрение или миграция в Microsoft Intune начинается с планирования. A successful adoption or migration to Microsoft Intune starts with a plan. Планирование зависит от текущей среды управления мобильными устройствами (MDM), бизнес-целей и технических требований. This plan depends on your current mobile device management (MDM) environment, business goals, and technical requirements. Кроме того, необходимо включить ключевых заинтересованных лиц, которые будут содействовать реализации вашего плана и работать над ним вместе с вами. Additionally, you need to include the key stakeholders who will support and collaborate with your plan.

Мы создали некоторые руководства по планированию и развертыванию, которые помогут спланировать внедрение или переход на Intune. We created some planning and deployment guides to help plan your adoption or move to Intune.

Это пошаговое руководство. This guide is a living thing. Поэтому обязательно добавьте или обновите существующие советы и рекомендации, которые вы нашли полезными. So, be sure to add or update existing tips and guidance you’ve found helpful.

Перед началом Before you begin

Развертывание Intune может отличаться от предыдущего развертывания MDM. Your Intune deployment might be different from a previous MDM deployment. Intune использует управление доступом на основе удостоверений. Intune uses identity-driven access control. Для доступа к данным организации с устройств, находящихся за пределами сети, не требуется сетевой прокси-сервер. It doesn’t require a network proxy to access organization data from devices outside your network.

В этих руководствах подразумевается, что вы уже оценили Intune в среде для подтверждения концепции и решили использовать эту службу в качестве решения по управлению мобильными устройствами в своей организации. These guides assume you’ve evaluated Intune in a proof of concept (PoC) environment, and decided to use it as the MDM solution in your organization. Вы знакомы с Intune и ее функциями. You’re familiar with Intune and its features.

Руководства по планированию и развертыванию Planning and deployment guides

Руководство по планированию . В этом руководстве содержатся рекомендации, советы и инструкции по выполнению различных задач, связанных с решениями MDM. Planning guide : This guide includes recommendations, suggestions, and guidance on the different tasks associated with MDM solutions. Например, рекомендации по следующим вопросам: For example, get guidance on:

• Распространенные цели Common objectives
• Управление личными устройствами и настольными компьютерами Managing personal devices and desktop computers
• Затраты и лицензирование Costs and licensing
• Существующие политики и структуры групп Existing policies and group structures
• Создание плана внедрения Creating a rollout plan
• Предоставление пользователям сведений об изменениях Communicating changes with your users
• Помощь службе технической поддержки Supporting your help desk

Планы и руководства по развертыванию. Эти руководства охватывают несколько областей: Deployment plans and guides : These guides cover several areas:

Настройка Intune и реализация в системах конечных пользователей за счет условного доступа. Ознакомьтесь с вариантами перехода на Intune или внедрения Intune. Set up Intune and drive end-user adoption with conditional access: See your options when moving to Intune, or adopting Intune. Узнайте подробнее о преимуществах использования условного доступа и ознакомьтесь со списком задач. Learn more about the advantages of using conditional access, and see a task list.

Регистрация устройств: Используйте эти руководства для определения наилучшего метода регистрации для своих устройств. Enroll devices: Use these guides to determine the best enrollment method for your devices. Ознакомьтесь с обзором задач администрирования и задачами для конечных пользователей. Get an overview of the admin tasks, and the end user tasks. Руководства по регистрации в развертывании охватывают следующие области. The deployment enrollment guides cover the following areas:

Управление устройствами и приложениями. Развертывание базового набора конфигураций устройств и политик соответствия требованиям для пользователей и устройств. Device and app management: Deploy a basic set of device configuration and compliance policies for users and devices. Вы также можете развернуть конкретный набор приложений, используемых в организации. You can also deploy a specific set of apps used by your organization.

Защита приложений. Для бизнес-приложений, которым требуется дополнительный уровень защиты, можно использовать политики защиты приложений. App protection: For business line of business (LOB) apps that need an extra layer of protection, you can use app protection policies.

Обучение пользователей . Получите рекомендации по предоставлению пользователям сведений о корпоративном портале, получении приложений и информации, отправляемой Apple и Google в Intune. Educate your users : Get guidance on communicating with users about Company Portal app messages, getting apps, and the information Apple and Google send to Intune.

Дальнейшие действия Next steps

Приступите к планированию внедрения Intune с помощью руководства по планированию. Start planning your Intune adoption using the planning guide.

Выберите подходящий вариант установки Intune для своей организации. Find the right Intune setup for your organization.

Лучшие практики для распространения программного обеспечения Intune на Пк с Windows

Вы можете использовать Microsoft Intune для управления компьютерами Windows в качестве компьютеров с помощью программного клиента Intune. В этой статье данная статья содержит советы и рекомендации по использованию Intune для развертывания программного обеспечения для клиентов Windows PC. Intune развертывает только программное обеспечение, которое можно установить без взаимодействия с пользователем.

Оригинальная версия продукта: Microsoft Intune
Исходный номер КБ: 2583929

Подготовка к распространению программного обеспечения

Перед распространением обновления или другого пакета программного обеспечения соберем необходимые файлы установки или обновления. Эти файлы должны включать один из следующих файлов:

• Файл для установки, например Setup.exe.
• Файл установки Windows, например Application.msi.

Если файл установщика требует выполнения установки другими файлами или папок, поместите все эти файлы в единую и доступную папку. Таким образом, они могут быть добавлены в пакет программного обеспечения мастером публикации программного обеспечения Intune.

Для файлов .exe Intune добавляет /Install переключатель автоматически. Большинство файлов .exe обычно требуют дополнительных аргументов командной строки, чтобы отключить взаимодействие с пользователем по умолчанию и установить пакет молча. Развертывание Microsoft Intune поддерживает только пакеты установщика exe. Если вы хотите развернуть исполняемые файлы во время выполнения, используйте сторонний инструмент для создания пакета установщика.

Для файлов MSI Intune добавляет /quiet переключатель автоматически. Пакеты установщика должны обнаружить, что установка находится под учетной записью SYSTEM, и автоматически установить в режиме тишины. Однако это зависит от того, как издатель программного обеспечения создает пакет. Если для установки приложения требуется пользовательский контекст, его, вероятно, нельзя развернуть с помощью Intune.

Тестирование установки программного обеспечения с помощью учетной записи SYSTEM

Перед развертывание пакета программного обеспечения проверьте, можно ли безмолвно установить пакет под учетной записью SYSTEM, следуя следующим шагам:

Откройте окно командной строки с повышенными привилегиями.

Перейдите к расположению PsExec, введите следующую команду и нажмите кнопку Ввод:

Оно открывает новое окно Командная подсказка в качестве системного контекста. Введите whoami в новой командной подсказке. Вы должны увидеть следующий результат:

Перейдите к расположению развертываемого пакета, а затем запустите его с помощью правильных переключатель для тихой установки.

Наиболее распространенные переключатели для развертывания программного обеспечения:

• Lync 2010 (EXE): /silent
• Skype (EXE): /verysilent
• Skype (MSI): /passive /qn
• Internet Explorer 10 (EXE): /quiet /passive /norestart
• Internet Explorer 11 (EXE): /quiet /norestart
• Блокнот ++ (EXE): /s
• Firefox (EXE): -ms
• Adobe Reader (EXE): /sAll /rs /msi EULA_ACCEPT=YES

Если вы не знаете, какие переключатели использовать для бесшумной установки, запустите команду, добавив /? или /help переключатель.

Вот пример Skype MSI:

Помимо переключателя, добавленного Intune, необходимо добавить переключатели и включить /quiet /passive /qn бесшумную установку.

В случае сбой установки определите, какие переключатели принудить пакет к установке через учетную запись SYSTEM. Для получения справки обратитесь к издателю программного обеспечения или поиску сведений в Интернете.

Тестирование развертывания программного обеспечения

Перед развертыванием программного обеспечения на всех ПК с Windows рекомендуется назначить его доступным. Затем вручную установите его https://portal.manage.microsoft.com на по крайней мере один компьютер. Если установка не происходит, проверьте следующий журнал, чтобы проверить, пытался ли пакет установить:

Если пакет начинает установку и журнал показывает, что он не прогрессирует в течение нескольких часов, процесс, скорее всего, застрял и ждет взаимодействия с пользователем.

Неподтверченный сценарий: развертывание скриптов или пакетных файлов

Служба Intune используется для развертывания файлов .msi или .exe. Корпорация Майкрософт не поддерживает использование Intune для развертывания пользовательских скриптов или пакетных файлов.

Windows Intune: «облака» на службе сисадмина

Microsoft последовательно переводит в «облако» свои наиболее важные и популярные продукты. Читатели iXBT.com уже имели возможность познакомиться с одним из таких сервисов — Office 365, который позволяет компаниям любых размеров быстро и без больших начальных вложений воспользоваться возможностями серьезных корпоративных продуктов, таких как Exchange, Lync, SharePoint. Сегодняшний пример — из несколько иной области. Windows Intune представляет собой готовое решение по защите и управлению ПК (естественно, только под управлением Windows), многие функции которого известны специалистам по продуктам из состава System Center.

Intune была запущена Microsoft весной 2011 г., а спустя полгода уже обновилась до версии 2.0. Впрочем, в «облаке» всякая нумерация достаточно условна, ведь веб-приложения могут изменяться на лету — в этом как раз заключается одно из их преимуществ. Тем не менее, обновление свидетельствует в пользу серьезного отношения со стороны Microsoft.

Общее представление

Основные характеристики Intune проистекают из ее облачного характера. Служба представляет собой готовое решение (т. е. не требует развертывания и обслуживания), автоматически масштабируется, оплачивается в форме подписки. Стандартная цена в 11 долларов за один обслуживаемый ПК в месяц кроме собственно возможности централизованного управления включает лицензию на антивирус Windows Intune Endpoint Protection, а также право на модернизацию имеющихся ОС до Windows 7 Enterprise Edition и даже (в течение действия подписки) до будущих версий. По заказу Microsoft компания IDC оценила экономический эффект от использования Intune — конкретные цифры не так важны, поскольку они базируются на западных реалиях, но источники экономии достаточно очевидны: сокращение трудозатрат ИТ-персонала, исключение потребности в ряде дополнительных инструментов, повышение продуктивности конечных пользователей (за счет предупреждения сбоев и простоев ПК).

Соответственно, есть два основных сценария применения Intune:

• в крупных организациях с развитой инфраструктурой служба может использоваться наравне с другими средствами для управления компьютерами мобильных и надомных сотрудников. Это особенно пригодится в тех случаях, когда невозможно воспользоваться VPN или такой вид доступа не предусмотрен. Intune масштабируется до 20 тыс. рабочих мест, хотя основная ее аудитория относится к категории до 500;
• малому и среднему бизнесу Intune позволяет быстро и без больших затрат перейти к использованию современных методов обслуживания и поддержки ПК, унифицировать программную среду, обеспечить централизованную защиту.

Второй сценарий кажется наиболее оправданным, тем более что цены на Intune достаточно гуманны даже по нашим меркам. К сожалению, на момент написания статьи на территории СНГ Intune была недоступна. Более того, даже ее тестирование в наших странах формально невозможно, хотя обойти это ограничение довольно просто — достаточно всего лишь завести учетную запись Windows Live, указав «правильную» страну. Вряд ли здесь стоит усматривать какой-то злой умысел, скорее всего дело в необходимости согласования юридических деталей (как было и в случае с Office 365). Во всяком случае, интерфейс Intune и значительная часть документации уже переведены на русский язык.

Приступая к работе

Итак, подписавшись на тестирование Intune с помощью «специального» Live ID, вы через некоторое время получите письмо с приглашением (на языке выбранной страны) в свой раздел службы — впрочем, попасть туда можно и напрямую, по адресу manage.microsoft.com. Для работы с веб-консолью потребуется браузер с поддержкой Silverlight и немного терпения, пока загрузятся локальные компоненты приложения. Владелец службы автоматически становится ее администратором, он также может делегировать права управления (или разрешить только доступ к консоли, но не внесение изменений) другим Live ID.

Настройка и подключение ПК (в режиме тестирования — не более 25) выполняются также несложно. Слева в веб-консоли имеется список разделов, последний из них — Администрирование. Здесь находится ссылка на клиентское ПО, которое комплектуется специальным сертификатом, осуществляющим привязку к вашей учетной записи в Intune. Его доставку на конкретные компьютеры можно выполнить любым доступным способом — в общем случае от управляемых ПК не требуется ни вхождения в домен, ни даже подключения к локальной сети. Сразу после установки клиентское ПО обратится к Intune за обновлениями и дополнительными программными агентами. Загрузка необходимых модулей может занять некоторое время, но, как правило, в течение получаса управляемый компьютер появляется в соответствующем списке в консоли Intune (раздел Компьютеры). Параллельно выполняется первичный сбор информации и вносятся необходимые коррективы в локальную конфигурацию (например, Windows Update перенаправляется на Intune). В конечном итоге, на управляемом ПК появляются несколько фоновых агентов для поддержки соответствующих функциональных возможностей Intune, антивирус Windows Intune Endpoint Protection (про сути, аналог Windows Security Essentials) и служебная программа Windows Intune Center. Изначально все ПК помещаются в категорию «Неназначенные компьютеры», затем их можно объединять в группы для более простого управления.

Интерфейс административной консоли Intune достаточно прозрачен. Слева находится список разделов, при заходе в каждый появляется панель с подразделами: стандартный Обзор представляет краткую информационную сводку и обеспечивает доступ к основным задачам, остальные отображают списки соответствующих объектов. Применение Silverlight сделало веб-консоль практически неотличимой от обычного приложения: используются контекстные меню, можно корректировать табличное представление данных и т. д. Общее управление функционированием Intune осуществляется в разделе Администрирование.

Основные возможности

Всего в Intune можно выделить шесть основных функциональных блоков, каждый из которых представлен собственным информационным разделом. Некоторые из них не являются независимыми — к примеру, политики используются для управления обновлениями и антивирусной защитой, — но в целом деление выглядит логичным и удобным.

Обновления

Этот блок наверняка покажется знакомым многим практикующим администраторам. Действительно, он фактически полностью дублирует возможности WSUS, с той лишь разницей, что локальное хранилище обновлений по понятным причинам не предусмотрено. Похожим образом осуществляется и управление процессом обновления: можно выбирать категории и конкретные продукты Microsoft, типы заплаток, формировать правила их автоматического утверждения, централизованно контролировать состояние программной среды на управляемых компьютерах. Все это делается в соответствующем подразделе раздела Администрирование.

Также имеется возможность обновления стороннего ПО. Для этого администратор с помощью специального мастера должен сформировать программный пакет и загрузить его в хранилище Intune. Для EXE-модулей этот процесс может оказаться достаточно трудоемким, так как нужно четко описать принципы проверки наличия ПО, его версии и пр., а для MSI и MSP — все гораздо проще, так как часть нужной информации зашита прямо в сами модули. В любом случае надо иметь в виду, что обновления устанавливаются только в «тихом» (не интерактивном) режиме, то есть необходимо сразу указывать все ключи, опции и пр.

Endpoint Protection

Как уже упоминалось, подписка на Intune включает в себя лицензии на антивирусную поддержку Endpoint Protection. В данном случае она носит имя Intune, а не Forefront, но понятно, что это то же самое решение. Клиентское ПО должно быть предварительно развернуто — оно устанавливается вместе с агентами собственно Intune, в дальнейшем обновление осуществляется стандартно через Windows Update. Интерфейс Intune позволяет контролировать состояние защиты на управляемых компьютерах, централизованно назначать проверки и конфигурировать привычные параметры — это выполняется в разделе Политика. Как только политики вступают в силу, изменять настройки Intune Endpoint Protection локально становится невозможно. В итоге имеем более-менее типичный корпоративный антивирус.

Оповещения

Функционирование ПК зависит не только от обновления ОС и основных приложений, но также от множества других факторов, поэтому Intune поддерживает механизм оповещения о различных событиях, происходящих на управляемых компьютерах — похожую функциональность обеспечивает Microsoft SCOM. Всего таких оповещений насчитывается порядка двухсот: о сбоях в работе различных системных служб и приложений (только самой Microsoft), о критическом заполнении дисков, высокой загрузке процессора и пр. — они поделены на несколько очевидных категорий и могут включаться/отключаться как индивидуально, так и группами. Некоторые допускают настройку соответствующих параметров, в том числе можно реагировать не на одиночные, а на повторяющиеся явления. Оповещения не только фиксируются в системе, но и могут пересылаться одному или нескольким администраторам — к примеру, каждый может отвечать за определенную категорию событий (всё это, естественно, настраивается). Правда, выбор последующих действий не слишком широк: в Intune 2.0 появилась поддержка некоторых удаленных задач (обновление антивируса, выполнение проверки, перезагрузка ПК), но, к примеру, даже заметив приближение проблемы, администратор не имеет явной возможности предложить пользователю установить сеанс дистанционной помощи (подробнее ниже).

Программное обеспечение

Соответствующий блок включает инструменты для инвентаризации ПО на клиентских ПК и централизованного развертывания приложений. Функция инвентаризации достаточно очевидна — клиентские агенты собирают информацию об установленном ПО, извлекают, насколько это возможно, информацию о нем и передают в службу, где все данные систематизируются и представляются администратору. По мере унификации процедур установки ПО в Windows собранная таким образом информация становится все более полной и адекватной. В большинстве случаев совершенно корректно определяется название, издатель, номер версии и т. д. Исключением является, конечно, лицензия (см. ниже), так как все разработчики применяют собственные методы ее привязки к конкретному экземпляру.

Функция удаленного развертывания ПО позволяет унифицировать программную среду управляемых компьютеров с помощью онлайновой библиотеки. На тестовый период для этих целей выделяется 2 ГБ в облачном хранилище Microsoft; при оформлении подписки — 20 ГБ, и при необходимости можно приобрести дополнительное пространство (заполнение библиотеки контролируется в интерфейсе Intune). Инсталляционные пакеты для дистанционного развертывания требуют подготовки, упростить которую призван еще один специальный мастер: в частности, необходимо указать целевые платформы, а при необходимости — дополнительные параметры командной строки и признаки присутствия данного ПО в системе (это могут быть программные идентификаторы, конкретные файлы или записи в реестре). Развертываться такие пакеты могут исключительно по расписанию, и к сожалению, нет возможности делегировать конечным пользователям право их загрузки из библиотеки по требованию. Дополнительную степень свободы при централизованном управлении ПО может обеспечить технология виртуализации приложений (точнее, среды их исполнения) App-V из состава MDOP. Хотя изначально данный пакет ориентирован на корпоративных лицензиатов Microsoft, он также доступен подписчикам Intune, причем по очень умеренной цене — дополнительный доллар на рабочее место.

Лицензии

Инвентаризация ПО позволяет не только унифицировать программную среду управляемых ПК, но и корректно учитывать использование лицензий. К сожалению, в полной мере эта функциональность предоставляется только для приложений самой Microsoft — в этом случае удается корректно различать и автоматически учитывать как персональные, так и корпоративные (пакетные) лицензии. В остальных случаях их придется описывать и контролировать фактически вручную (просто по количеству инсталляций), но, тем не менее, значительную часть черновой работы Intune все-таки берет на себя. В целом этот блок функциональности сильно напоминает другую службу Microsoft — Asset Inventory Service, которая предлагается в составе MDOP и может использоваться независимо.

Политика

Политики Intune представляют собой средство управления функционированием самой системы — в частности, клиентскими агентами и антивирусами. Их не следует путать со стандартными групповыми политиками, которые они ни в коем случае не подменяют. Тем не менее, некоторые параметры все-таки могут пересекаются — в частности, те, что управляют работой Windows Firewall, — и в этом случае приоритет отдается именно групповым политикам. В остальном все достаточно стандартно, политики создаются на основе немногочисленных предопределенных шаблонов, в которых визуализируются и изменяются все актуальные параметры.

На управляемые ПК политики загружаются при очередном этапе проверки обновлений, применить их принудительно невозможно. Период проверки можно регулировать, но допустимое минимальное значение составляет 8 часов. Вероятно, это сделано с целью ограничения трафика Intune.

Дополнительно

В Intune имеется еще целый ряд вспомогательных инструментов, список которых постоянно расширяется. Так, в версии 2.0 появились дистанционные задачи: антивирусные проверки, обновление баз с сигнатурами, перезагрузка. Кроме инвентаризации ПО также выполняется инвентаризация аппаратного обеспечения, имеется возможность строить различные отчеты (для чего предназначен соответствующий раздел консоли) и т. д. Впрочем, один дополнительный инструмент заслуживает подробного рассмотрения.

Удаленная помощь

На каждый управляемый ПК устанавливается программа Windows Intune Center, в которой присутствует инструмент Microsoft Easy Assist. С его помощью пользователь может отправить администратору запрос на организацию сеанса удаленной помощи. Такие заявки фиксируется в Intune в качестве оповещений специального типа — администратор всегда о них уведомляется, после чего может принять их и тут же установить сеанс.

Вообще-то похожая функция имеется в самой Windows, однако она работает только в локальной сети и, соответственно, для мобильных пользователей далеко не всегда доступна (к примеру, при невозможности установления VPN-соединения). Поэтому в Intune применяется более универсальный метод: на лету создается специальное мероприятие в онлайновом Microsoft LiveMeeting, и обе стороны приглашаются к участию в нем (при необходимости загружается клиентское ПО). Дальнейшая работа происходит в режиме разделения рабочего стола, администратор видит происходящее на пользовательском компьютере и может запросить управление им, чтобы самостоятельно выполнить необходимые действия. В сеансе также работает текстовый чат, так что можно просто передать пользователю необходимые инструкции.

Резюме

Итак, Intune представляет собой подборку наиболее востребованных функций из продуктов семейства System Center (и некоторых других), которые могут применяться к ПК вне (и даже вовсе без) какой бы то ни было инфраструктуры. Средой в этом случае выступает интернет (естественно, все коммуникации шифруются), который позволяет добраться до любого компьютера, практически независимо от его местонахождения — в этом как раз и заключается одно из преимуществ облачного подхода.

Intune, конечно, нельзя напрямую сравнивать с System Center. Однако эта служба прежде всего ориентирована на нужды небольших компаний, для которых полный спектр возможностей System Center явно избыточен. Кроме того, в нынешнем виде Intune представляет собой прекрасный «каркас» для дальнейшего расширения функциональности, и, как видим, оно действительно происходит.