Тот факт, что компания Microsoft находится на стадии кардинального переосмысления своих продуктов, не должен ни для кого оказаться сюрпризом: компания стремительно движется к тому, чтобы занять доминирующую позицию в роли поставщика «облачных» услуг в дополнение к своим традиционным клиентским и серверным решениям. На сегодня, среди прочих продуктов, компания предлагает оба вида «облачных» технологий: как наиболее популярные серверные системы, например Exchange Server и SharePoint Server, размещенные в «облаке», так и совершенно новые «облачные» платформы, такие как Windows Azure и SQL Azure.
В дополнение к множеству различных продуктов Microsoft предлагает клиентам как традиционные локальные системы и «облачные» механизмы, так и гибридные модели развертывания, в которых и локальные, и «облачные» службы могут быть подобраны и объединены в общую корпоративную среду. Когда «облачные» продукты Microsoft достигли достаточного уровня развития и расширились, компания начала продвигаться в новые сферы рынка. В этом году Microsoft заменит пакет Business Productivity Online Standard Suite (BPOS) и другие смежные продукты на более целостную службу Office 365, тем самым решительно продвигая семейство продуктов под маркой Office в «облачную» среду. А с помощью системы Windows Intune компания приступила к решению грандиозной задачи по внедрению механизмов управления персональными компьютерами, которые на сегодня доступны в локальных сетях через System Center, в публичное «облако».
.
Действительно, уровень открытости, который демонстрирует команда разработчиков Windows Intune, весьма высок, особенно по сравнению с другими группами компании Microsoft, включая те, что работают над Windows Phone и клиентскими системами Windows. Компания Microsoft понимает, что работает на быстрорастущем рынке, и намерена в течение нескольких лет реализовать много новых возможностей, заполнив пробел с помощью System Center и со временем сделав Intune более целостным решением, оптимальным для большего числа клиентов.
На этом мы еще остановимся, но сначала давайте рассмотрим, чем система Windows Intune может похвастаться на данный момент, и какие компании получат наибольшую выгоду от набора возможностей данного продукта.
Что такое Windows Intune?
Windows Intune — это «облачное» решение для управления персональными компьютерами, которое Microsoft планирует предлагать компаниям любого масштаба. Данное решение состоит из простой консоли управления на основе веб-интерфейса, механизма установки клиентской программы (агента), встроенной клиентской системы защиты на основе технологии Microsoft Forefront и подписки на обновление системы Windows 7 Enterprise для каждого управляемого компьютера. Доплатив немного за каждый персональный компьютер, вы можете приобрести подписку на пакет Microsoft Desktop Optimization Pack (MDOP), который предоставляет доступ к богатому набору средств, используемых в процессах управления компьютерами, виртуализации и отладки.
В отличие от устоявшихся продуктов Microsoft System Center, системе Windows Intune для работы не требуется наличие инфраструктуры Active Directory (AD). На самом деле она в принципе не использует (и не поддерживает) никакую «внутреннюю» серверную инфраструктуру. Наоборот, система Intune, как служба в «облаке», физически существует только в центрах обработки данных Microsoft, и доступ к ней возможен только по Интернету.
Конечно, определенная часть кода размещается и в локальной системе, этот код используется при установке системы, а со временем и в процессах управления компьютерами. Для развертывания Windows Intune в организации можно использовать существующие средства Electronic Software Distribution (ESD), созданные компанией Microsoft или сторонними производителями. И хотя сама по себе система Intune не интегрирована со службой AD, она с ней совместима — то есть политики системы Intune, о которых я расскажу ниже, всегда будут применяться с учетом политик Group Policy. При этом политики Group Policy будут иметь приоритет перед всеми политиками системы Intune.
В первую версию системы Intune включено множество функций, в том числе:
- управление персональными компьютерами вне зависимости от их физического местоположения или подключения к общей сети;
- централизованный мониторинг состояния подключенных компьютеров;
- получение подробной информации об установленных (или неустановленных) обновлениях на подключенных компьютерах;
- встроенный клиент Endpoint Protection, основанный на технологии Forefront;
- гибкая система настройки оповещений с возможностью вызова удаленного помощника;
- инвентаризация программного обеспечения клиентских систем;
- управление лицензиями программного обеспечения клиентских систем;
- упрощенное управление политикой клиента;
- эффективные средства работы с отчетами.
Использование Windows Intune
После оформления подписки на систему Intune вы сможете получить доступ к средствам управления системой Windows Intune, перейдя по адресу manage.microsoft.com в своем любимом веб-браузере и авторизовавшись на данном ресурсе. Представителям каждой отдельной компании будет предоставлена консоль администрирования системы Intune, показанная на экране 1. Компания Microsoft также предоставляет разделяемую многопользовательскую консоль (экран 2), предназначенную для партнеров, перед которыми стоит задача управления сразу несколькими клиентскими средами. Эта многопользовательская консоль позволяет сортировать доступные окружения по различным критериям, таким как имя («по умолчанию») или состояние: окружения, включающие проблемные компьютеры, окажутся вверху списка.
Экран 1. Консоль администрирования Windows Intune |
Экран 2. Многопользовательская консоль Windows Intune |
Неважно, являетесь вы представителем одной компании или партнером, обслуживающим несколько офисов, в любом случае вам придется управлять отдельным окружением — и вот здесь на сцене появляется консоль администрирования Windows Intune. Данная консоль проста, как и все семейство интерфейсов, содержащих навигационную панель, разделенную на рабочие области, главную информационную панель и панель с контекстно-зависимым набором задач. Если вы пользовались любой другой консолью Microsoft, у вас не возникнет проблем и с этой. На самом деле система Intune ориентирована и на малые предприятия, в которых отсутствует отдел ИТ, поэтому интерфейс консоли интуитивно понятен.
Обзор системы. Рабочие области в Windows Intune точно отражают возможности системы. Рабочая область System Overview позволяет выполнить общую оценку состояния сетевого окружения, предоставляя возможность в одном окне проверить статус безопасности, состояние агента и просмотреть ожидающие установки обновления для каждого подключенного компьютера, а также любые оповещения. В этой рабочей области также можно быстро формировать группы компьютеров, используемые для логического разделения подключенных компьютеров и выборочного применения политик, либо просматривать отчеты.
Управление компьютерами. Для просмотра и управления компьютерами можно использовать рабочую область Computers. Также можно создавать группы компьютеров, копируя отдельные компьютеры или ряд устройств в группу (только в одну группу — используется не иерархическая, а одноуровневая система) и решать другие задачи, относящиеся к управляемым компьютерам. Основное предназначение данной области — управление группами компьютеров. По умолчанию каждый компьютер, на который вы загрузили и установили агент системы Intune, попадает в группу Unassigned Computers. Хотя вы можете (а чаще всего должны) назначить политики для компьютеров в этой группе, даже в малой сети процесс управления будет эффективнее, если разделить компьютеры на более мелкие группы. В демонстрационном окружении я создавал группы по географическому положению, но принцип группировки может быть любым и зависит от нужд компании.
При просмотре компьютеров, входящих в группу, вам доступен широкий набор данных, таких как операционная система компьютера, имя компьютера, членство в группе, а также состояния оповещений, обновлений и безопасности. При работе с системами, которым необходимо вмешательство администратора (например, требуется подтвердить установку обновления), можно щелкнуть мышью по ссылке, чтобы уяснить проблему и предпринять необходимые шаги для ее решения. Например, можно выбрать несколько новых или уже ожидающих подтверждения обновлений и нажать кнопку Approve на панели инструментов, чтобы изменения вступили в силу.
Также можно просмотреть подробную информацию о каждом компьютере, включая обнаруженные вредоносные программы, оповещения, полный профиль оборудования и полный перечень программного обеспечения. Каждый из этих объектов может выступать в роли значения, по которому выполняется сортировка. Например, если вы обнаружили определенную версию пакета Adobe Reader на одном из компьютеров, то, выбрав его в списке программ, вы увидите, на каких еще компьютерах в вашем окружении установлена данная версия.
Обновление программного обеспечения. В соответствии с основной задачей системы, Windows Intune можно использовать для просмотра ожидающих подтверждения на установку пакетов обновлений, срочных исправлений и других модулей коррекции на подключенных компьютерах, а также для выполнения связанных задач. Рабочая область Updates содержит текущие данные о количестве обновлений в вашем окружении, ожидающих подтверждения установки, позволяя подтвердить (или отклонить) сразу некоторые из них или просмотреть каждое, подтверждая установку только необходимых пакетов.
Рабочая область Updates также предоставляет гибкие инструменты для определения тех типов программ, обновлениями которых вы будете управлять. Вы можете взвалить все на себя (выбрав все категории) или подойти к вопросу более обдуманно, выбрав классы обновлений (пакеты обновлений, инструменты и т. д.) и создав правила автоматического подтверждения определенных типов обновлений (основанные на выбранных категориях и классах).
Защита клиента. В составе подписки на систему Intune вы получаете право на установку специальной версии клиентской программы Forefront Endpoint Protection (FEP), названной Windows Intune Endpoint Protection, на каждый подключенный компьютер. Принимая решение о том, устанавливать данный клиент или нет, можно рассуждать по-разному, в частности подумать о том, что средства Endpoint Protection стоит устанавливать лишь в случаях, когда на целевом компьютере отсутствуют альтернативные механизмы защиты. С другой стороны, можно просто отключить имеющиеся на компьютере средства защиты и заменить их службами Endpoint Protection.
В рабочей области Endpoint Protection система Intune позволяет быстро просматривать состояние компьютеров и реагировать на любые проблемы, связанные с безопасностью. Во время тестирования я не столкнулся с существенными проблемами, но обнаружил, что при необходимости можно отдельно просмотреть список зараженных и вызывающих подозрение систем. Система Intune содержит список самых новых вредоносных программ, независимо от того, существуют механизмы защиты против них или еще нет.
Оповещения и удаленная помощь. Система Windows Intune настроена так, чтобы оповещения создавались в ответ на определенные события, нарушающие нормальное функционирование системы, и запросы пользователей об удаленной помощи. На главном экране рабочей области Alerts неотработанные сообщения отображаются в списке следующим образом: критические предупреждения находятся наверху, а информационные оповещения внизу.
Помимо этого, система Intune содержит около 400 различных настроенных оповещений, большинство из которых отключено по умолчанию, а также набор базовых правил для уведомлений. Вы можете определить, кто будет получать оповещения (получатель), в каких случаях (правила) и каким образом (на данный момент только через e-mail). Базовое правило уведомлений, такое как All Critical Alerts, срабатывает при каждом критическом событии и посылает предупреждения всем выбранным пользователям (на электронную почту). На данный момент система не предоставляет возможности редактирования базовых правил, за исключением функции выбора получателей электронных сообщений.
Рабочая область Alerts также предоставляет доступ к небольшому набору функций. Можно указать список администраторов системы Intune (никак не связанный со списком действующих администраторов сети), указав адрес электронной почты каждого из них. Имейте в виду, что для администраторов Windows Intune рекомендуется указывать почтовые адреса, связанные с учетными записями системы Windows Live. Права администратора позволят пользователю авторизоваться на сайте управления системой Intune (при условии, что адрес электронной почты зарегистрирован в Windows Live) и управлять компьютерами. Это также означает, что пользователь окажется в списке возможных получателей оповещений.
Рабочая область Alerts содержит ссылку на загрузку агента Windows Intune и соответствующего сертификата. Он запускается на любой из 32-разрядных или 64-разрядных версий Windows 7 (Professional, Enterprise или Ultimate), Windows Vista (Business, Enterprise или Ultimate) и Windows XP Professional (SP2 или SP3).
И самое главное — рабочая область Alerts содержит интерфейс, с помощью которого администратор может отвечать на запросы пользователя об удаленной помощи. Пользователи создают такие запросы с помощью программы Windows Intune Center, которая устанавливается вместе с агентом, а у администратора оповещение появляется на консоли администратора в двух рабочих областях — System Overview и Alerts. Окно Intune Center, показанное на экране 3, также включает интерфейс для работы с клиентами Windows Update и Windows Intune Endpoint Protection.
Экран 3. Windows Intune Center |
Перечень программного обеспечения. Механизм инвентаризации программного обеспечения, включенный в систему Intune, использует решение Asset Inventory Service (AIS) из состава MDOP, обеспечивая интересный подход к обзору программного обеспечения, задействованного в вашем окружении. Вы можете выполнить сортировку по количеству установленных экземпляров (чтобы узнать, какие программы наиболее популярны), по имени, по издателю или по категории. Можно подробнее изучить отдельное приложение и узнать, на каких компьютерах оно установлено, определить версию приложения и является ли оно частью пакета виртуальных приложений Microsoft Application Virtualization (App-V).
Не секрет, что компания Microsoft активно редактирует список категорий для реестра программного обеспечения, так что со временем в этой области следует ожидать улучшений. Тем не менее список уже сейчас содержит достаточно много информации о наиболее популярных программах сторонних производителей и послужит отличным подспорьем при анализе вашего окружения.
Управление лицензиями. В рабочей области Licenses администраторы, представляющие крупные компании, заключившие корпоративные лицензионные соглашения (например, для продуктов Windows, Office), могут загрузить в данную область свои соглашения и убедиться в том, что они соблюдаются.
Политики Intune. Рабочая область Policy, пожалуй, на данный момент является сердцем системы Windows Intune. Хотя ветераны администрирования семейства System Center и политик Group Policy найдут интерфейс данной области «весьма неплохим», для администраторов, не имеющих опыта подобного контроля над окружением, он может стать откровением. В этом простом пользовательском интерфейсе можно настраивать политики Intune, которые, как упоминалось выше, применяются только для компьютеров, управляемых системой Intune, и существуют независимо от политик Group Policy (если вы используете их в своем окружении).
В некотором смысле система Intune в целом представляется решением, в большей степени подходящим для малых, слабо централизованных окружений. Но хотя я и согласен с этим утверждением, исследования компании Microsoft показывают, что использование системы Intune в крупных окружениях также может быть обоснованным. Когда многие сотрудники используют компьютер дома или в разъездах, практически не взаимодействуя с корпоративной сетью, появляется необходимость организовать защиту компьютеров, выходящих за ее периметр. Некоторые компании даже устанавливают агенты Intune на компьютеры руководства. Даже первая версия системы Intune предлагает эффективное решение при таком подходе и может работать совместно с более мощными корпоративными (внутренними) решениями для управления персональными компьютерами.
Политики Windows Intune могут использоваться совместно с политиками Group Policy. Компания Microsoft не рекомендует применять такой подход, но главное помнить об основном правиле — политики Group Policy имеют приоритет перед политиками Intune. Отметим также, что политики Intune намного проще политик Group Policy, потому что могут применяться только на одном уровне, а именно к группам компьютеров. Исходя из этого, не стоит (во всяком случае, пока) беспокоиться о том, что множество политик будут противоречить друг другу. Управление политиками может усложниться в будущем, по мере развития Windows Intune, хотя в Microsoft заявляют, что выбранный подход к разработке системы позволит избежать подобной проблемы.
Хотя сами по себе политики просты, при первом использовании каждая из них будет иметь обширный список параметров для управления, кроме того, вы сможете использовать один из трех начальных шаблонов. Шаблоны Windows Intune Agent Settings, Windows Intune Center Settings и Windows Firewall Settings, в которые входят наборы настроенных параметров, фактически определяют, к какому объекту будут применяться параметры, содержащиеся в политике. Шаблоны, относящиеся к агенту, определяют множество настроек, связанных с механизмами Endpoint Protection и обновлениями программного обеспечения, а шаблоны, относящиеся к службе Windows Firewall, как вы догадываетесь, управляют настройками межсетевого экрана и позволяют добавлять исключения.
После создания политики можно управлять ее развертыванием на компьютере, который является базовым для группы компьютеров. Нужно просто расставить галочки.
Отчетность. Windows Intune также обладает богатым набором функций для работы с отчетами, основанным на различных особенностях продукта. Можно создавать отчеты об обновлениях, установленном программном обеспечении и лицензиях. Можно создать отчет прямо в процессе работы и затем распечатать его из консоли или экспортировать в файл HTML или CSV.
Можно создавать отчеты и в других частях консоли администратора. Например, когда вы просматриваете список оповещений в рабочей области Alerts или список Definition Updates в рабочей области Updates, под рукой всегда есть кнопка Export List.
Администрирование. В рабочей области Administration можно задать параметры, относящиеся к учетным записям администраторов, настроить механизм классификации категорий и правил, типы оповещений и правила уведомлений, а также вручную загружать программное обеспечение для клиентских машин.
Опыт работы с клиентом
Я установил Windows Intune и соответствующее программное обеспечение на свои клиентские компьютеры, заменив использовавшиеся технологии безопасности Microsoft Security Essentials (MSE) службой Intune Endpoint Protection. В предварительной версии система Intune поставлялась с отдельными клиентскими программами для 32-разрядных и 64-разрядных компьютеров, но в окончательной версии используется единый клиент. В общем, применение механизмов Intune Endpoint Protection практически не отразилось на производительности или повседневном использовании компьютера. К тому же служба Intune Endpoint Protection выглядит и работает почти так же, как и пакет MSE.
Служба Intune Endpoint Protection, как и FEP 2011, и MSE 2, использует эвристический метод для проверки подозрительного программного обеспечения на предмет обнаружения новых вредоносных программ. Поскольку «изнутри» система представляет собой совместно используемую инфраструктуру под управлением комплекса System Center, общая точность эвристических методов растет по мере увеличения количества пользователей и получения данных с их компьютеров (дополнительная выгода для заказчиков системы). Я использую службу безопасности MSE 2 на своих компьютерах и настоятельно рекомендую ее вам.
Приложение Windows Intune Center, как я упоминал выше, предоставляет интерфейсную часть для служб Windows Update, Endpoint Protection и, конечно же, для механизмов удаленной помощи, реализованных в компоненте, названном Microsoft Easy Assist. Преимущество заключается в том, что эта программа может работать без доступа к Интернету, и вашим клиентам не надо подключаться к корпоративной сети, чтобы получить помощь, — на самом деле большинство конечных пользователей системы Intune никогда не будут напрямую подключены к сети вашей компании.
Стоимость и дополнительные преимущества
Безусловно, Windows Intune — не самое дешевое решение: стоимость использования системы составляет 11 долл. за каждый компьютер в месяц. Но в стоимость также входит лицензированная копия системы Windows 7 Enterprise для каждого компьютера, которая, как утверждают в Microsoft, поможет поддерживать стабильность в вашем окружении. Это хорошее предложение для заказчиков, заинтересованных в приобретении данной операционной системы, но я бы предпочел более дешевый вариант, пусть в него и не будет входить лицензия на Windows 7. К радости заказчиков, заключивших соглашение о корпоративных лицензиях, их ожидает скидка по совокупности предыдущих покупок. В данном случае стоит отметить простоту лицензирования, что обычно не является сильной стороной Microsoft.
За дополнительную плату в 1 долл. за каждый компьютер в месяц пользователи системы Intune могут получить доступ к полному набору MDOP. Если вы уже оплачиваете Intune, то данное предложение, несомненно, для вас: пакет MDOP содержит множество эффективных инструментов и утилит, таких как App-V и Microsoft Enterprise Desktop Virtualization (MED-V), Microsoft Advanced Group Policy Management (AGPM), System Center Desktop Error Monitoring (DEM), Microsoft Diagnostics, Recovery Toolset (DaRT) и AIS. Таким образом, пакет MDOP на сегодня является лучшим предложением для крупных компаний.
Подобные схемы ценообразования, включающие условия «за компьютер», «в месяц», весьма характерны для «облачных» услуг, и, как любая подписка, за которую вы платите дома, эти относительно низкие месячные расходы могут накладываться друг на друга. Например, приобретение и системы Intune, и пакета Office 365 может привести к нехватке ресурсов у обычной маленькой фирмы. Возможно, со временем Microsoft разработает подход, при котором клиенты, подписавшиеся на оба продукта, будут получать скидку.
А пока Microsoft всячески оправдывает установленную общую стоимость доступа к этим услугам. В случае с Intune компания объявляет, что с помощью данной системы покупатель экономит в среднем около 700 долл. за компьютер в год, 520 из которых экономятся за счет сокращения загруженности отдела ИТ. И это не считая экономии от 150 долл. до 1400 долл. за компьютер в год, в зависимости от начальной технической базы, за счет перехода на Windows 7.
Рекомендации
Хотя Windows Intune, скорее всего, будет иметь успех в верхнем эшелоне рынка малого и среднего бизнеса, то есть у организаций, в которых используется от 50 до 1000 персональных компьютеров, это решение должно получить широкое распространение. Отсутствие настоящей совместимости с AD для некоторых может показаться негативным аспектом, но я думаю, что у данного подхода с узкоспециализированным управлением есть будущее в нижнем эшелоне рынка, и я бы не рекомендовал компании Microsoft немедленно исправлять этот «недостаток». В век ориентирования на пользователя в области ИТ все больше и больше пользователей приносят собственные компьютеры и устройства на рабочее место или, по крайней мере, используют собственные компьютеры для работы. А система Intune идеально подходит для таких случаев.
Если у вас развернута корпоративная инфраструктура, вам придется дублировать часть инфраструктуры в системе Intune, что по мере роста бизнеса становится все более трудоемким процессом. Но, как заметили представители компании Microsoft на недавней встрече, даже крупнейшие предприятия получат выгоду от использования системы Intune в качестве дополнительного средства защиты тех систем, которые никогда не подключатся к общей сети, — сценарий, который становится все более привычным.
Забегая вперед, скажу, что компания Microsoft планирует обновлять системы Intune на постоянной основе, и уже появилась информация о планах разработки новых версий. Компания ожидает, что система Intune сравнится по возможностям с современным уровнем управления, обеспечиваемым комплексом System Center, в течение двух-трех лет, и планирует развивать продукт, чтобы включить возможность установки программного обеспечения в ближайшую версию.
Планы компании Microsoft по развитию Windows Intune довольно захватывающие. Но даже в первой версии система Intune — отличный пример возможности применения «облачных» технологий. Данный продукт обеспечивает отличное решение для компаний, попадающих в его «зону охвата».
Поль Тюрро (thurrott@windowsitpro.com) — редактор новостей в Windows IT Pro