Windows InTune- управлением компьютером занимается кто-то другой

Посетителей: 2716 | Просмотров: 3679 (сегодня 0) Шрифт:

Облака пока подходят не всем, но размещение сервисов в облаке совершенно верное направление. Прежде чем начинать спорить о том, что никакой разницы нет, вспомните облачные сервисы, которые вы, скорее всего, уже используете. Ваши обновления антивирусной базы и ежемесячные обновления Windows приходят из внешней среды. Фильтры спама наверняка создаются в месте, находящемся за пределами вашего контроля. Даже электронная почта переносится с вашего корпоративного почтового сервера через внешнего поставщика, прежде чем попадет к получателю.

Айтишники оказали себе медвежью услугу, назвав сервисы, размещенные у кого-то другого, туманным словом «облако». Мы попытались классифицировать интернет-представления решений, которые мы использовали и которым доверяли на протяжении многих лет.

У большинства из нас ссылки поставщиков на «облака» вызывают иррациональный страх перед неизвестным. В реальности облачные сервисы часто представляют собой совершенно отличное (и подчас полезное) от того, чему мы доверяли многие годы. Windows InTune может служить прекрасным примером такой реальности.

Это важный «звоночек». Нужно понять, что сервисы, обслуживаемые кем-то другим, могут прекрасно подойти для управления вашими Windows-компьютерами. Размещение этих сервисов «в облаке» отлично подходит тем, кто не может выделить дополнительные вычислительные ресурсы. Если в вашей в среде есть «блуждающие» ноутбуки, облачные средства управления, такие как Windows InTune, могут отлично подойти для управления этими активами независимо от того, куда они перемещаются.

Даже если ваши компьютеры покидают пределы офиса, такие облачные решения, как Windows InTune, позволят организовать управление, не добавляя дополнительные серверы. Избавление от лишнего сервера означает освобождение времени, которое тратилось бы на его обслуживание, для выполнения других задач. Если вам нравятся возможности автоматизации управления, которые доступны только крупным организациям, вы наверняка оцените решение Windows InTune, так как оно предоставит вам такие возможности.

Мониторинг поведения компьютеров

Windows InTune — один из растущей армии предоставляемых по подписке сервисов компании Microsoft. InTune обеспечивает централизованные инвентаризацию, установку обновления и исправлений, защиту конечных точек, систему уведомления и предупреждений, а также функции удаленного управления в рамках одной веб-консоли. Консоль расположена на мощностях Microsoft. Управление системами начинается с перехода на страницу InTune. Агенты, установленные на каждом компьютере, направляют информацию Microsoft, избавляя вас от необходимости заботиться о еще одном сервере.

Теперь у вас есть внешний набор метаданных о ваших системах. Используя InTune, вы не предоставляете Microsoft информации, которую обычно считают частной или конфиденциальной. Собранные данные относятся к компьютерным конфигурациям, и урон от потери такой информации считается небольшим.

Получение надежного средства управления поведением компьютеров — огромное преимущество для ИТ-отдела. В веб-консоли InTune (рис. 1) вы найдете сводку самых разных типов поведения управляемых компьютеров, которые можно отлеживать, получая уведомления и предупреждения. Они позволяют обнаружить такие сложные в диагностике неполадки, как повреждение диска или сбои памяти. Как и предупреждения более мощного инструмента управления — Microsoft System Center Operations Manager (SCOM), уведомления InTune предоставляют детальный прогноз «здоровья» ваших компьютеров.

Рис. 1. Windows InTune предоставляет самые разные уведомления

Простота — основное преимущество InTune. Эта простота контрастирует с богатством и гибкостью инфраструктуры предупреждений SCOM. SCOM способен предоставлять подробную информацию с помощью мониторов, пакетов управления и переопределения параметров, его инфраструктура часто оказывается слишком громоздкой для базовых задач мониторинга. InTune самостоятельно конфигурирует и настраивает предупреждения. У вас остаются ограниченные возможности по включению или отключению предупреждений, а также их перенаправлению нужным адресатам электронной почты.

Защита клиентов

Самое большое преимущество InTune в защите клиентов. InTune обеспечивает защиту конечных точек за счет специализированной версии клиента Microsoft Forefront Endpoint Protection. Обновления Microsoft можно устанавливать централизованно за счет использования клиента обновления Windows. При управлении этими параметрами из InTune они становятся недоступными для управления локально. Это также обеспечивает соблюдение политик.

Поддержка обновлений и антивирусного ПО абсолютно необходима (рис. 2), поэтому это решение Microsoft оказывается как нельзя более кстати. InTune совершенно неважно, являются ли управляемые клиенты членами домена или нет. Все клиенты — доменные и нет — управляются централизованно одним сервисом. Они могут находиться в локально сети или в Интернете. Это могут быть ваши ресурсы или нет. Таким образом снижаются риски, связанные с использованием сотрудниками собственных компьютеров.

Рис. 2. InTune также предоставляет массу отчетов о работе вредоносного ПО

Разумное решение Microsoft сделать InTune независимым от доменов Windows позволило лучше защитить внутренние ресурсы. Домашние компьютеры ваших пользователей оказываются защищенными так же надежно, как и компьютеры, которые вы готовили лично. Ноутбук, никогда не возвращающийся в офис, остается надежно управляемыми и на нем устанавливаются все необходимые обновления и сигнатуры антивирусных программ. Настоящая мощь — контроль над вредоносным ПО и защита от него вашей сети.

В InTune это реализовано с применением небольшого набора настраиваемых политик. Сейчас есть две политики для управления параметрами агента, относящимся к поведению и настройке брандмауэра. Третья политика позволяет предоставить клиентам контактную информацию, когда они нуждаются в поддержке. Эти политики не заменяют собой групповые политики Windows, а в будущем могут появиться дополнительные политики, если они будут сочтены полезными клиентам.

Будущий каркас управления

Обладая встроенными функциями по управлению оборудованием, ПО и лицензированием, InTune позволяет достаточно тонко управлять компьютерами. Однако это не отменяет того факта, что набор сервисов в InTune пока еще невелик. Для полной автоматизации необходима дополнительная функциональность, такая как возможность развертывания ПО, обновлений сторонних поставщиков, выполнения сценариев и многое другое. Но это отличное начало. Будучи онлайновым сервисом, InTune знаменует правильное направление развития Microsoft. Он также является каркасом, который со временем «обрастет» новыми возможностями по управлению.

Онлайновые сервисы позволяют Microsoft не тесниться в рамках циклов разработки продуктов. Когда данные агентов и инструменты управления размещаются в централизованной инфраструктуре Microsoft, требуются значительно меньшие усилия для разработки новой функциональности. InTune — это отличное начало. Впрочем, вопрос доверия к сервисам управления, расположенным в сторонних организациях, остается открытым.

Microsoft Intune — это поставщик MDM и MAM для устройств Microsoft Intune is an MDM and MAM provider for your devices

Microsoft Intune — это облачная служба, в которой основное внимание уделяется управлению мобильными устройствами (MDM) и управлению мобильными приложениями (MAM). Microsoft Intune is a cloud-based service that focuses on mobile device management (MDM) and mobile application management (MAM). Вы контролируете использование устройств организации, включая мобильные телефоны, планшеты и ноутбуки. You control how your organization’s devices are used, including mobile phones, tablets, and laptops. Вы также можете настроить определенные политики для управления приложениями. You can also configure specific policies to control applications. Например, вы можете запретить отправку электронных писем людям за пределами вашей организации. For example, you can prevent emails from being sent to people outside your organization. Intune также позволяет сотрудникам вашей организации использовать личные устройства для учебы или работы. Intune also allows people in your organization to use their personal devices for school or work. На личных устройствах Intune помогает обеспечить защиту данных вашей организации и может изолировать данные организации от личных данных. On personal devices, Intune helps make sure your organization data stays protected, and can isolate organization data from personal data.

Intune является компонентом решения Microsoft Enterprise Mobility + Security (EMS). Intune is part of Microsoft’s Enterprise Mobility + Security (EMS) suite. Intune интегрируется с Azure Active Directory (Azure AD), чтобы контролировать доступ для пользователей и доступ к продуктам. Intune integrates with Azure Active Directory (Azure AD) to control who has access, and what they can access. Эта служба также интегрируется с Azure Information Protection для защиты данных. It also integrates with Azure Information Protection for data protection. Ее можно использовать с набором продуктов Microsoft 365. It can be used with the Microsoft 365 suite of products. Например, вы можете развернуть на устройствах Microsoft Teams, OneNote и другие приложения Microsoft 365. For example, you can deploy Microsoft Teams, OneNote, and other Microsoft 365 apps to devices. Эта функция позволяет сотрудникам работать на всех устройствах организации, обеспечивая при этом защиту данных организации с помощью создаваемых вами политик. This feature enables people in your organization to be productive on all of their devices, while keeping your organization’s information protected with policies you create.

С помощью Intune можно выполнять следующие задачи: With Intune, you can:

• Выбрать значение «100 % облака с Intune» или совместно управляемый с помощью Configuration Manager и Intune. Choose to be 100% cloud with Intune, or be co-managed with Configuration Manager and Intune.
• Задать правила и настроить параметры на персональных и корпоративных устройствах для доступа к данным и сетям. Set rules and configure settings on personal and organization-owned devices to access data and networks.
• Выполнять развертывание и проверку подлинности приложений на устройствах — локальных и мобильных. Deploy and authenticate apps on devices — on-premises and mobile.
• Защитить сведения о компании, контролируя способ доступа к информации и совместного пользования информацией. Protect your company information by controlling the way users access and share information.
• Быть уверенным, что для устройств и приложений обеспечено соответствие требованиям к безопасности. Be sure devices and apps are compliant with your security requirements.

Управление устройствами Manage devices

В Intune вы управляете устройствами с помощью подхода, который подходит вам. In Intune, you manage devices using an approach that’s right for you. Для устройств, принадлежащих организации, может потребоваться полный контроль над устройствами, включая параметры, функции и безопасность. For organization-owned devices, you may want full control on the devices, including settings, features, and security. При таком подходе устройства и пользователи этих устройств «регистрируются» в Intune. In this approach, devices and users of these devices «enroll» in Intune. После регистрации они получат правила и параметры с помощью политик, настроенных в Intune. Once enrolled, they receive your rules and settings through policies configured in Intune. Например, можно установить требования к паролю и ПИН-коду, создать VPN-подключение, настроить защиту от угроз и многое другое. For example, you can set password and PIN requirements, create a VPN connection, set up threat protection, and more.

Для персональных или собственных устройств (BYOD) пользователи могут запретить полный доступ для администраторов организации. For personal devices, or bring-your-own devices (BYOD), users may not want their organization administrators to have full control. При использовании такого метода пользователям следует предоставить параметры. In this approach, give users options. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. For example, users enroll their devices if they want full access to your organization resources. Если этим пользователям нужен доступ только к электронной почте или Microsoft Teams, то для использования этих приложений следует использовать политики защиты приложений, для которых требуется многофакторная проверка подлинности (MFA). Or, if these users only want access to email or Microsoft Teams, then use app protection policies that require multi-factor authentication (MFA) to use these apps.

Когда устройства регистрируются и управляются в Intune, администраторы могут: When devices are enrolled and managed in Intune, administrators can:

• просмотреть зарегистрированные устройства и получить сведения об инвентаризации устройств, обращающихся к ресурсам организации; See the devices enrolled, and get an inventory of devices accessing organization resources.
• настроить устройства таким образом, чтобы они соответствовали стандартам безопасности и работоспособности. Configure devices so they meet your security and health standards. Например, вы вероятно захотите заблокировать устройства со снятой защитой. For example, you probably want to block jailbroken devices.
• Отправьте сертификаты на устройства, чтобы пользователи могли легко получать доступ к сети Wi-Fi или использовать VPN для подключения к сети. Push certificates to devices so users can easily access your Wi-Fi network, or use a VPN to connect to your network.
• Просмотреть отчеты по пользователям и устройствам, которые соответствуют и не соответствуют требованиям. See reports on users and devices that are compliant, and not compliant.
• Удалить данные организации, если устройство потеряно, украдено или больше не используется. Remove organization data if a device is lost, stolen, or not used anymore.

Онлайн-ресурсы: Online resources:

Попробуйте интерактивное руководство Try the interactive guide

Интерактивное руководство Управление устройствами с помощью Microsoft Endpoint Manager описывает, как в центре администрирования Microsoft Endpoint Manager можно управлять мобильными и настольными приложениями и защищать их. The Manage devices with Microsoft Endpoint Manager interactive guide steps you through the Microsoft Endpoint Manager admin center to show you how to manage and protect mobile and desktop applications.

Управление приложениями Manage apps

Управление мобильными приложениями (MAM) в Intune предназначено для защиты данных организации на уровне приложений, включая пользовательские приложения и приложения Магазина. Mobile application management (MAM) in Intune is designed to protect organization data at the application level, including custom apps and store apps. Управление приложениями можно использовать на устройствах, принадлежащих организации, и персональных устройствах. App management can be used on organization-owned devices, and personal devices.

При управлении приложениями в Intune администраторы могут: When apps are managed in Intune, administrators can:

• Добавлять и назначать мобильные приложения группам пользователей и устройствам, включая пользователей в конкретных группах, устройств в конкретных группах и т. д. Add and assign mobile apps to user groups and devices, including users in specific groups, devices in specific groups, and more.
• Настроить приложения для запуска или выполнения с включенными специальными настройками и обновить существующие приложения на устройстве. Configure apps to start or run with specific settings enabled, and update existing apps already on the device.
• Просматривать отчеты, в которых используются приложения, и следить за их использованием. See reports on which apps are used, and track their usage.
• Выполнить выборочную очистку, удалив из приложений только данные организации. Do a selective wipe by removing only organization data from apps.

Одним из способов обеспечения безопасности мобильных приложений в Intune является политика защиты приложений . One way that Intune provides mobile app security is through app protection policies. Политики защиты приложений: App protection policies:

• Использовать удостоверение Azure AD для изоляции данных организации от персональных данных. Use Azure AD identity to isolate organization data from personal data. Так личные сведения хранятся отдельно от сведений организации. So personal information is isolated from organizational IT awareness. Для доступа к данным, использующим учетные данные организации, предоставляется дополнительная защита безопасности. Data accessed using organization credentials are given additional security protection.
• Позволяет защитить доступ к персональным устройствам, запретив действия, которые могут выполнять пользователи, такие как копирование и вставка, сохранение и просмотр. Help secure access on personal devices by restricting actions users can take, such as copy-and-paste, save, and view.
• Можно создавать и развертывать на устройствах, зарегистрированных в Intune, в другой службе MDM или не зарегистрированных в никакой из служб MDM. Can be created and deployed on devices that are enrolled in Intune, enrolled in another MDM service, or not enrolled in any MDM service. На зарегистрированных устройствах политики защиты приложений могут добавить дополнительный уровень защиты. On enrolled devices, app protection policies can add an extra layer of protection.

Например, пользователь входит на устройство с учетными данными организации. For example, a user signs in to a device with their organization credentials. Идентификатор организации позволяет получить доступ к данным, которые запрещены для их личного идентификатора. Their organization identity allows access to data that’s denied to their personal identity. При использовании данных организации политики защиты приложений контролируют их сохранение и совместное использование. As that organization data is used, app protection policies control how the data is saved and shared. Когда пользователи входят с помощью личного идентификатора, эти средства защиты не применяются. When users sign in with their personal identity, those same protections aren’t applied. Таким образом, ИТ-отдел может управлять данными организации, а пользователи сохраняют контроль над своими личными данными, которые остаются конфиденциальными. In this way, IT has control of organization data, while end users maintain control and privacy over their personal data.

Кроме того, Intune можно использовать с другими службами EMS. And, you can use Intune with the other services in EMS. Эта функция обеспечивает безопасность ваших мобильных приложений организации за пределами операционной системы и любых других приложений. This feature provides your organization mobile app security beyond what’s included with the operating system and any apps. Приложения, управляемые с помощью EMS, имеют доступ к более широкому набору мобильных приложений и функций защиты данных. Apps managed with EMS have access to a broader set of mobile app and data protection features.

Соответствие требованиям и условный доступ Compliance and conditional access

Intune интегрируется с Azure AD, чтобы поддерживать широкий набор сценариев контроля доступа. Intune integrates with Azure AD to enable a broad set of access control scenarios. Например, требуйте, чтобы перед доступом к сетевым ресурсам мобильные устройства соответствовали стандартам организации, определенным в Intune, таким как электронная почта или SharePoint. For example, require mobile devices be compliant with organization standards defined in Intune before accessing network resources, such as email or SharePoint. Аналогичным образом, вы можете заблокировать доступ к сервисам, чтобы они были доступны только для определенного набора мобильных приложений. Likewise, you can lock down services so they’re only available to a specific set of mobile apps. Например, можно разрешить доступ к Exchange Online только из Outlook или Outlook Mobile. For example, you can lock down Exchange Online so it’s only accessed by Outlook or Outlook Mobile.

Онлайн-ресурсы: Online resources:

Сведения о получении Intune How to get Intune

Intune доступна: Intune is available:

Intune используется во многих секторах, включая государственные организации, образование, киоск или специальное устройство для производства и розничной торговли и многое другое. Intune is used in many sectors, including government, education, kiosk or dedicated device for manufacturing and retail, and more.