В марте 2011 года компания Microsoft выпустила начальную версию Windows Intune, «облачной» службы управления компьютерами, предоставив широкому кругу пользователей основные функции, аналогичные Microsoft System Center. Как объяснялось в статье «Windows Intune переносит управление в ‘облако’», опубликованной в Windows IT Pro/RE № 6 за 2011 год, начальный выпуск был наделен всеми основными возможностями (за исключением некоторых функций) и получил признание в различных секторах рынка. Intune — «облачная» служба, и для нее у Microsoft нет необходимости проводить редкие крупные обновления, как для традиционных, размещаемых на территории потребителей серверов. Поэтому всего спустя семь месяцев, в октябре 2011 года, компания существенно обновила Intune. В обновленной службе, которую я называю Intune 2, устранен пробел в функциональности и значительно повышена эффективность предоставляемых услуг.

Напомню, что Intune, в сущности, — автономная служба вне любой внутренней инфраструктуры, имеющейся в компании. Для малых предприятий (даже очень небольших, какими бывают начинающие) такая независимость от формальной инфраструктуры — великое благо. С помощью Intune можно легко управлять разнородными, физически изолированными компьютерами при условии, что они подключены к Интернету.

В более крупных компаниях с инфраструктурой Active Directory (AD) служба Intune учитывает основные правила AD (например, приоритет имеют назначенные пользователем групповые политики), но истинная интеграция отсутствует. Однако такой подход не обязательно ущербный. Специалисты Microsoft утверждают, что компьютерами, редко подключаемыми напрямую к локальной сети (ноутбуками специалистов, часто выезжающих в командировки, и даже домашними компьютерами руководителей) удобнее управлять с помощью Intune, нежели через AD. В таких случаях нередко предпочтительно по-разному обращаться с изолированными компьютерами.

Intune предоставляет базовый набор функций. Управляя отдельными компьютерами или группами компьютеров можно:

  • применять программные исправления для системы безопасности и другие обновления;
  • своевременно обновлять программы безопасности, такие как клиент Microsoft Forefront Endpoint Protection, который похож на Microsoft Security Essentials и поставляется с Intune;
  • принимать уведомления о проблемах;
  • просматривать результаты инвентаризации программных продуктов на каждом компьютере;
  • отслеживать (но не принудительно применять) лицензионные соглашения программных продуктов;
  • создавать политики, более простые, но не полностью интегрированные с групповыми политиками AD;
  • создавать и просматривать отчеты;
  • выполнять другие административные задачи.

В отличие от System Center, управление Intune — дистанционное, проводимое через простой веб-интерфейс. Мониторинг и обновление клиентов выполняются удаленно через Интернет. Intune — служба на базе подписки, поэтому плата взимается помесячно за каждый компьютер. Подробнее о лицензировании я расскажу ниже. Обратите внимание, что у такой ценовой схемы есть дополнительные преимущества, в том числе права обновления до уровня Windows 7 Enterprise для каждого управляемого компьютер. Заплатив дополнительно 1 долл. в месяц для одного компьютера, можно получить доступ к превосходному пакету Microsoft Desktop Optimization Pack (MDOP).

С другой стороны, функциональность Intune не столь полна, как у System Center, хотя компания Microsoft обещает быстро обеспечить частичное равенство — там, где это оправданно, — через ряд обновлений службы. Intune 2 — первый важный шаг в этом направлении.

Новшества Intune 2: развертывание программ

Впечатление от знакомства с начальной версией службы Intune в начале 2011 года было в целом сильным. Однако чувствовалось отсутствие одного важного компонента и возникли некоторые опасения относительно ценовой модели. Я считал, и продолжаю считать, что малые предприятия вряд ли станут ежемесячно платить за свои компьютеры, независимо от достоинств службы. Пока компания Microsoft не развеяла моих сомнений относительно цены, но пробел в функциональности устранен. Это важно, так как изъян касался развертывания программного обеспечения.

Благодаря новой функции развертывания Intune 2 можно произвольно устанавливать приложения и обновления на клиентских компьютерах, управляемых службой. Задумайтесь об этом на минуту. Обязательное требование к клиентам — компьютеры должны быть подключены к Интернету и на них должен быть установлен клиентский агент Intune. Из простого веб-интерфейса администратор может выбирать приложения, развертываемые на каждом компьютере. После этого установка автоматически выполняется через Интернет.

В зависимости от сложности развертываемого приложения, этот процесс может оказаться трудоемким. Методика знакома администраторам с опытом развертывания программ в управляемой среде на основе AD, а создаваемые пакеты идентичны пакетам, развертываемым через AD или System Center. Но, поскольку Intune ориентирован на более широкую аудиторию потребителей, многие из которых никогда не выполняли подобных развертываний, возможны трудности.

Многое зависит от программного продукта. Рассмотрим простое приложение, например Adobe Reader. Для развертывания приложения такого типа нужно сначала войти в консоль управления Windows Intune по адресу manage.microsoft.com. Затем следует перей­ти в обновленный интерфейс Software, в котором есть область Detected Software — в сущности, список программ в управляемых компьютерах, — и новая область Managed Software для развертывания и управления приложениями. Развертывание из консоли управления выполняется в два этапа. Во-первых, необходимо передать программу в Intune, а во-вторых, указать, на каких компьютерах ее следует развернуть.

Для первого этапа в Intune имеется удобный мастер, который проводит пользователя по процессу. Требуется указать файл или файлы, составляющие пакет; ввести описание; при необходимости указать архитектуру процессора (32-, 64-разрядная и т. д.); указать поддерживаемые версии Windows (Windows 7, Windows Vista, Windows XP и т. д.), а затем пройти по последовательности все более усложняющихся параметров. В Intune реализованы правила обнаружения, с помощью которых можно указать, следует ли устанавливать программу на конкретных компьютерах, какие аргументы командной строки использовать и даже как интерпретировать коды возврата. Последнее поможет выполнить диагностику сбоев развертывания, но вряд ли доступно неопытным пользователям.

На данном этапе программа передается в Intune, как показано на экране 1. Каждой учетной записи Intune выделяется хранилище емкостью 2 Гбайт на сайте Windows Azure, и каждое переданное приложение (это обязательное условие) идет в счет данного лимита. Каждое переданное на сервер приложение отображается в области Managed Software.

 

Передача программного продукта в Windows Intune
Экран 1. Передача программного продукта в Windows Intune

Managed Software выводит список всех переданных приложений, как показано на экране 2, а также список переданных программ, которые были развернуты. Над только что переданной программой можно выполнить несколько различных действий. Можно изменить пакет с использованием, в сущности, модифицированного мастера передачи. Или же можно развернуть пакет.

 

Просмотр управляемых программ
Экран 2. Просмотр управляемых программ

Чтобы развернуть программу, просто выберите группу или группы, на которых требуется установить продукт. При необходимости можно указать сроки, например «как можно скорее», «одна неделя» и т. д. Цель и процесс создания групп компьютеров в Intune описаны в упомянутой выше статье «Windows Intune переносит управление в ‘облако’». Можно также просматривать различные характеристики управляемых программ, например на каких компьютерах развернуто или не развернуто приложение.

Конечно, задача нередко усложняется. Все, кроме самых простых программ, приходится упаковывать в более удобные для развертывания пакеты Windows Installer. Необходимо назначить параметры командной строки, чтобы правильно установить пакеты в скрытом режиме без вмешательства пользователя. Справедливости ради отметим, что последний шаг необязательный, и в более простой среде можно потребовать от пользователей выполнить настройку. Microsoft Office — типичный и очевидный пример такого приложения, развертываемого во многих компаниях. Для крупных компаний, где такие задачи уже выполнялись, подготовка пакетов будет знакомым делом. Небольшим и начинающим компаниям потребуется помощь, чтобы достичь такого уровня квалификации.

На клиенте развернутые программы устанавливаются автоматически. Прежде всего, загрузка производится в фоновом режиме, со сжатием ради уменьшения трафика, шифрованием в целях безопасности и автоматически возобновляется в случае разрыва соединения. После успешной загрузки пакета он распаковывается, дешифруется и устанавливается по расписанию, заданному в консоли управления Intune.

Процесс не требует интерактивного участия пользователя, хотя компьютер, конечно, должен быть включен. Если для настройки необходимы действия со стороны пользователя, служба ждет 16 часов, а затем выдает на консоль код ошибки. Иначе программа скрыто устанавливается в фоновом режиме и доступна пользователю, который регистрируется на компьютере.

Другие новшества Intune 2

Развертывание программных продуктов — не единственное новшество Intune 2. Компания Microsoft дополнила эту версию несколькими полезными функциями и изменениями.

Удаленные задачи. Из консоли управления администраторы могут запускать дистанционные проверки управляемых компьютеров. Данная функция особенно полезна при поиске вредоносных программ, но можно и обновить антивирусную программу или перезапустить компьютер.

Административный доступ только с возможностью чтения. В рамках перехода к делегированию административных полномочий в Intune 2 появилось доступное только для чтения представление веб-консоли управления. Теперь некоторые сотрудники могут просто просматривать информацию, например результаты инвентаризации программ. Это не полноценное делегирование, и надеемся, в будущей версии Intune появится более эффективный доступ к определенным функциям управления. Но это удачный первый шаг, и специалисты Microsoft уверяют, что предполагается дальнейшее совершенствование делегирования. Какие формы оно примет, пока неясно.

Усовершенствованные отчеты. В дополнение к отчетам о программных продуктах и лицензиях, в Intune 2 появились отчеты об оборудовании. Как и следовало ожидать, они гибко настраиваются на конкретное применение, но могут содержать сведения об имени компьютера; типе корпуса (портативный или настольный); изготовителе; модели; операционной системе; общем, использованном и свободном пространстве диска; физической памяти; быстродействии процессора; серийном номере; пользователе и дате последнего определения состояния аппаратных средств.

Улучшения в управлении лицензиями. В начальной версии службы Intune можно было управлять только оптовыми лицензиями Microsoft. Теперь можно управлять OEM и розничными лицензиями Microsoft и других компаний. Как и прежде, меры не принудительные, а обеспечивающие исключительно возможность определить состояние лицензий и вручную навести порядок.

Автономная установка агентов на компьютер. Агенты, размещаемые на клиентских компьютерах, теперь можно устанавливать, когда компьютер не подключен к сети, хотя, конечно, соединение с Интернетом необходимо, чтобы изначально получить программу. Прежде компьютер должен был быть подключен к сети в течение всего процесса установки агента.

Есть и другие изменения, в том числе некоторые «косметические» улучшения в панели управления и преобразования в интерфейсе, относящиеся к новой функциональности. Обширнее стала география локализации Intune. Важно отметить, что Intune 2 — полное надмножество первоначальной службы, поэтому потерь функциональности или крупных изменений в существующих компонентах не отмечается. Пользователи обновленной службы просто получат расширенные возможности. Это одно из явных преимуществ «облачных» служб: вам не требуется обновлять или переносить серверы и клиентов, а функциональность расширяется.

Переход на Intune 2

Процесс перехода невероятно прост. На «облачной» стороне модернизация происходит автоматически; большинство существующих потребителей уже получили обновление. За две недели до обновления пользователям сообщают точную дату. На клиенте процесс еще проще. Небольшое обновление агента происходит скрыто, автоматически и без вмешательства пользователя.

Новые пользователи, оформившие подписку на службу Intune после октября 2011 года, автоматически получат новые функции. Все очень просто.

Рекомендации

. Программно-технический гигант выходит за рамки традиционных продуктов и предоставляет более полную линейку, включающую вездесущие «облачные» службы. Однако цена Intune слишком высока для малых предприятий, и это может оказаться ахиллесовой пятой службы и препятствием для успеха на рынке.

Поль Тюрро (thurrott@windowsitpro.com) — редактор новостей в Windows IT Pro. Готовит еженедельные выпуски для Windows IT Pro Update (www.windowsitpro.com/email) и ежедневные выпуски новостей Wininfo