Windows intune что это
Обновлено: 06.07.2024
Хотите позволить сотрудникам использовать личный ноутбук, планшет, телефон в качестве рабочего — запросто! Но как защитить, разделить персональную информацию от рабочей? А как же быть с приложениями? Нужно настроить все устройства согласно политикам компании? А если кто-то потеряет свое устройство с важной рабочей информацией?
Давайте узнаем ответы на эти и другие вопросы.
Сотрудники могут использую свое личное устройство на работе в личных целях, если политики компании это позволяют. Так почему бы не разрешить им использовать личное устройство и для рабочих задач?
«Возьми Свое Собственное Устройство на работу» — именно так звучит концепция BYOD (Bring Your Own Device). Тенденция BYOD снимает границы между частной жизнью и работой. Для ИТ-специалистов лучше контролировать ситуацию, а не бороться с ней административными способами.Разрешение использовать собственные устройства — это еще и инструмент повышения лояльности сотрудников, что важно для любой компании.
Желание сотрудников работать удаленно очевидно. Есть масса специалистов, которые не только хотят, но и могут работать удаленно. Для этого нужно иметь определенный уровень самоконтроля, но это вполне реально.
Однако, несмотря на неоспоримые плюсы, внедрение BYOD ассоциируется с проблемами безопасности и управляемости. Есть вероятность утери, кражи устройства, заражения зловредом. Но если разобраться, то преимущества BYOD для бизнеса существенно перевешивают недостатки.
Сегодня на рынке масса крупных и мелких компаний предоставляющих сервис MDM (Mobile Device Management).
AirWatch by VMWare
Citrix XenMobile
BlackBerry Enterprise Service
SAP Afaria
Symantec Mobile Management
Good Technology
MaaS360 by Fiberlink
Dell Mobile Management
MobileIron
Centrify
FileWave
LANDESK
MobiControl
Sophos Mobile Control
Excitor MobiControl
Amtel
Tangoe Matrix Mobility
Kaseya BYOD
Absolute Manage
BoxTone
SOTI
FAMOC
Много кто пытался создавать, продвигать свое решение, но не все «выжили».
Перейдем к Intune. Доступно много теоретической информации, обзоров про Intune от Microsoft. Вкратце это облачная служба для управления мобильными устройствами на базе Windows, iOS, Android а так же компьютерами c ОС Windows.
Есть несколько конфигураций использования Intune. Я выделил две основные:
- Автономная — Intune
- Гибридная — Intune + SCCM 2012 или Intune + SCCM 2012 + Azure
Весь процесс управления можно разделить на 5 основных шагов:
Для регистрации необходимо установить приложение «Company Portal» на устройстве пользователя.
Чтобы облегчить администраторам общение с пользователями Microsoft предоставляет список ссылок, данная информация поможет им при регистрации устройств в Intune и выполнения различных задач на устройствах после регистрации.
- Приложения — список всех доступных пользователю приложений
- Мои Устройства — список устройств пользователя (максимум 5)
- Обратится в отдел ИТ — контактная информация для связи с ИТ отделом
Развертывание приложений
- Установщик — указываем файл установки для приложения которое нужно развернуть. Например, APK для Android
- Внешняя ссылка — указываем ссылку на страницу приложения в магазине приложений. Например, Microsoft Store для Windows Mobile
Выбираем установочный файл:
Заполняем описание:
Задаем требования к версии операционной системы:
Приложение добавлено в список приложений в панели управления:
Указываем ссылку на приложение в маркете:
Заполняем описание:
После того как приложение добавлено и доступно в списке приложений осталось лишь развернуть его на устройствах пользователей. Выбрав в контекстом меню «Manage Deployment. » назначаем приложение на группу пользователей или группу устройств.
На пользовательском устройстве появится приложение назначенное на соответствующую группу.
Android:
Windows Mobile:
Windows 10
iOS:
Настройка
- Параметры оборудования, такие как разрешение на использование Bluetooth, NFC.
- Параметры пароля, включая длину и качество пароля
- Параметры шифрования
- Настройки браузера, например запрет на сохранение cookie, блокировка jscript
- Разрешенные и запрещенные приложения
- Политики соответствия требованиям, например версия ОС
При запуске камеры пользователь будет уведомлен:
Хотя Intune предоставляет широкий спектр параметров для настройки устройств, может возникнуть ситуация, когда требуемый параметр недоступен. Во многих случаях эту проблему можно решить с помощью настраиваемой политики, которая позволяет настраивать параметры OMA-URI — это общий стандарт для настройки мобильных устройств, чтобы задать необходимые значения.
Развертывание настроек происходит аналогичным образом как и развертывание приложений.
Мониторинг
После развертывания приложений и политик администратор следит за статусом на соответствующих вкладках.
На вкладке ''Dashboard'' отображается общий статус всех компонентов
Администратор будет уведомлен о наличии проблем в Intune при помощи оповещения.
Оповещения позволяют отслеживать, что происходит в Microsoft Intune. Например, на компьютере обнаружена вредоносная программа или обнаружен конфликт между двумя политиками Intune.
На вкладке с устройствами доступен очень полезный список фильтров, с помощью которого можно найти устройства с различным статусом.
Защита
В случае потери сотрудником мобильного устройства или его кражи можно удалить корпоративные данные и приложения с устройства, можно также выполнить полную очистку. При необходимости возможен сброс секретного кода или удаленная блокировка устройства.
Все достаточно просто: находим имя пользователя, выбираем из его устройств нужное, и в контекстом меню выбираем необходимое действие:
В качестве заключения хотелось бы отметить зрелость продукта, ведь еще каких-то пару лет назад Intune был сыроват для корпоративного использования. На сегодняшний день это один из немногих стабильных решений с полноценной поддержкой и обновлениями. Кроме того он интегрируется с SCCM что немаловажно для больших корпораций.
Microsoft Intune — это облачная служба, которая предназначена для управления мобильными устройствами (MDM) и мобильными приложениями (MAM). Вы контролируете использование устройств организации, включая мобильные телефоны, планшеты и ноутбуки. Вы также можете настроить определенные политики для управления приложениями. Например, вы можете запретить отправку электронных писем людям за пределами вашей организации. Intune также позволяет сотрудникам вашей организации использовать личные устройства для учебы или работы. На личных устройствах Intune помогает обеспечить защиту данных вашей организации и может изолировать данные организации от личных данных.
Intune является компонентом решения Microsoft Enterprise Mobility + Security (EMS). Intune интегрируется с Azure Active Directory (Azure AD), чтобы контролировать доступ для пользователей и доступ к продуктам. Он также интегрируется с Azure Information Protection для защиты данных. Ее можно использовать с набором продуктов Microsoft 365. Например, вы можете развернуть на устройствах Microsoft Teams, OneNote и другие приложения Microsoft 365. Эта функция позволяет сотрудникам работать на всех устройствах организации, обеспечивая при этом защиту данных организации с помощью создаваемых вами политик.
Благодаря Intune вы можете:
- Выбрать значение "100 % облака с Intune" или совместно управляемый с помощью Configuration Manager и Intune.
- Устанавливать правила и настраивать параметры на личных и принадлежащих организации устройствах для доступа к данным и сетям.
- Развертывать приложения и проверять их подлинность на локальных ресурсах и мобильных устройствах.
- Защищать информацию своей компании, контролируя способы получения доступа пользователями и предоставления общего доступа.
- Обеспечивать соответствие устройств и приложений вашим требованиям к безопасности.
Управление устройствами
В Intune вы управляете устройствами с помощью подхода, который подходит вам. Для устройств, принадлежащих организации, может потребоваться полный контроль над устройствами, включая параметры, функции и безопасность. В этом подходе устройства и их пользователи "регистрируются" в Intune. После регистрации они получают ваши правила и параметры с помощью политик, настроенных в Intune. Например, вы можете задать требования к паролю и ПИН-коду, создать VPN-подключение, настроить защиту от угроз и многое другое.
Пользователи могут не захотеть, чтобы их личные или приносимые собственные устройства находились под полным контролем администраторов организации. При таком подходе у пользователей есть варианты. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. Если же этим пользователям нужен доступ только к электронной почте или Microsoft Teams, используйте политики защиты приложений, требующие многофакторной проверки подлинности (MFA) для использования этих приложений.
Онлайн-ресурсы:
Опробуйте интерактивное руководство
Интерактивное руководство Управление устройствами с помощью Microsoft Endpoint Manager описывает, как в центре администрирования Microsoft Endpoint Manager можно управлять мобильными и настольными приложениями и защищать их.
Управление приложениями
Управление мобильными приложениями (MAM) в Intune предназначено для защиты данных организации на уровне приложений, включая пользовательские приложения и приложения Магазина. Управление приложениями можно использовать на устройствах, принадлежащих организации, и персональных устройствах.
При управлении приложениями в Intune администраторы могут:
- Добавлять и назначать мобильные приложения группам пользователей и устройствам, включая пользователей в конкретных группах, устройств в конкретных группах и т. д.
- Настроить приложения для запуска или выполнения с включенными специальными настройками и обновить существующие приложения на устройстве.
- Просматривать отчеты, в которых используются приложения, и следить за их использованием.
- Выполнить выборочную очистку, удалив из приложений только данные организации.
Одним из способов обеспечения безопасности мобильных приложений в Intune является политика защиты приложений. Политики защиты приложений:
Например, пользователь входит на устройство с учетными данными организации. Идентификатор организации позволяет получить доступ к данным, которые запрещены для их личного идентификатора. При использовании данных организации политики защиты приложений контролируют их сохранение и совместное использование. Когда пользователи входят с помощью личного идентификатора, эти средства защиты не применяются. Таким образом, ИТ-отдел может управлять данными организации, а пользователи сохраняют контроль над своими личными данными, которые остаются конфиденциальными.
Вы также можете использовать Intune с другими службами EMS. Эта функция обеспечивает безопасность ваших мобильных приложений организации за пределами операционной системы и любых других приложений. Приложения, управляемые с помощью EMS, имеют доступ к более широкому набору мобильных приложений и функций защиты данных.
Соответствие требованиям и условный доступ
Благодаря интеграции между Intune и Azure AD реализован широкий набор сценариев управления доступом. Например, требуйте, чтобы перед доступом к сетевым ресурсам мобильные устройства соответствовали стандартам организации, определенным в Intune, таким как электронная почта или SharePoint. Аналогичным образом вы можете заблокировать доступ к службам, чтобы они были доступны только для определенного набора мобильных приложений. Например, можно разрешить доступ к Exchange Online только из Outlook или Outlook Mobile.
Онлайн-ресурсы:
Сведения о получении Intune
Intune используется во многих секторах, включая государственные организации, образование, терминал или специальное устройство для производства и розничной торговли и многое другое.
Что общего у «облаков», мобильных устройств сотрудников и информационной безопасности? Помимо того, что это важные тренды в современном бизнесе, их объединяет Microsoft Intune — облачное решение для обеспечения безопасности корпоративной мобильности.
Несколько лет назад, в 2011 году, Microsoft представила свой новый облачный сервис Intune — средство по управлению мобильными устройствами и приложениями. Пять лет — это вполне достаточный срок, который потребовался российскому бизнес-заказчику, чтобы узнать о новом решении, оценить его возможности и преимущества, провести пилотные тестирования и получить первые результаты практического использования продукта. Так что сейчас самое время напомнить, чем может быть полезен Microsoft Intune.
Как обычно строится управление мобильными устройствами в современной компании?
Сотрудники ИТ-отдела совместно с отделом безопасности устанавливают серверы, развертывают приложения, предоставляют доступ мобильным устройствам к ресурсам компании, обеспечивают защиту, следят за установкой обновлений и предоставляют техподдержку в пределах своей компетенции.
В Microsoft решили, что компаниям больше не нужно всем этим заниматься. Ни к чему платить зарплату ответственным сотрудникам, тратиться на оборудование и лицензии на ПО, ломать голову над развертыванием систем. Всё, что требуется бизнесу, — это облачный сервис, абонентская плата за каждое рабочее место и администратор на стороне клиента.
Что делает Microsoft Intune? Этот сервис позволяет решить сразу несколько задач, связанных с управлением мобильными устройствами и обеспечением безопасности.
Во-первых, Intune обеспечивает управление непосредственно девайсами: смартфонами и планшетами на всех популярных платформах (Windows, iOS и Android). Сервис позволяет настраивать различные функции устройства, например, разрешать или запрещать средства связи (Wi-Fi, Bluetooth, передачу данных в роуминге), ограничивать USB-порты устройства, блокировать камеру.
Во-вторых, Intune позволяет управлять мобильными приложениями: доставлять приложения на мобильные устройства, ограничивать список приложений, доступных пользователю, а также обеспечивать безопасность данных внутри корпоративных приложений. Например, он позволяет ограничить функции копирования, вырезания, вставки и скриншота для управляемых приложений Microsoft Office и почты. Пользователь может скопировать текст из документа Word, но не имеет возможности вставить его в неуправляемое приложение, например в блокнот или браузер. Таким образом, Intune создает на устройстве защищенный контейнер для корпоративных данных и приложений, информация из которого не выходит наружу.
В-третьих, Intune обеспечивает постоянный контроль и мониторинг парка мобильных устройств, предоставляя информацию о состоянии девайсов, возникающих ошибках и установленных обновлениях. При этом вся информация выводится на одной удобной панели мониторинга с понятным и интерактивным интерфейсом.
Картинка: панель мониторинга Intune
И в-четвертых, Intune позволяет выполнять удаленную очистку устройства, выборочную или полную, в случае его утери. Это особенно важно, если на смартфоне хранится важная информация, которая может представлять интерес для злоумышленников.
Intune совершенно не требователен к инфраструктуре компании. Для администрирования парка мобильных устройств достаточно лишь одного компьютера с устойчивым выходом в интернет. Если в компании уже внедрен Microsoft System Center Configuration Manager (SCCM), Intune может быть интегрирован с ним, и в этом случае управление всеми компьютерами компании будет выполняться из консоли SCCM.
Гибкость и разнообразие политик и настроек Intune позволяют реализовать управление мобильными устройствами для всех популярных сценариев.
- BYOD: сотрудники используют любые личные мобильные устройства, и IT-департаменту требуется совмещать вопросы безопасности с интересами и удобством пользователей.
- CYOD: компания разрешает использовать лишь определенные модели девайсов, для которых уже настроены готовые правила и политики.
- COPE: компания выдает сотрудникам определенные модели мобильных устройств и ограничивает их функционал, оставляя только необходимые для работы сервисы и приложения.
Администратор Microsoft Intune имеет достаточно возможностей для настройки управления устройствами таким образом, чтобы это не мешало сотруднику работать. Платформа позволяет развернуть на смартфоне или планшете профили сертификатов, электронной почты, Wi-Fi и VPN для безопасного доступа к ресурсам компании. Причем это делается в автоматическом режиме после регистрации пользователем своего устройства.
Таким образом, облачный сервис Intune обеспечивает комплексный подход к управлению корпоративной мобильностью и обеспечивает безопасность корпоративных данных на смартфонах и планшетах независимо от того, личные они или корпоративные.
Windows Intune — "облачное" решение для организации удаленного обслуживания компьютеров и наведения порядка в ИТ инфраструктуре предприятий малого и среднего бизнеса. Он упрощает управление и повышает защищенность рабочих станций, предоставляя основной функционал достаточно сложных и дорогостоящих продуктов семейства Microsoft System Center.
Сервис состоит из единой панели администрирования, расположенной на интернет сервере Microsoft :
и приложений-агентов, устанавливаемых на рабочих станциях:
Агент запускает применение политики, инвентаризацию оборудования и инвентаризацию программного обеспечения, а затем отправляет данные в Консоль администрирования Windows Intune, используя описанную ниже процедуру.
- Примерно через пять минут после установки агента политики выполняется применение политики и устанавливается метка.
- Агент политики возобновляет работу через каждые 60 минут после установки метки.
- Агент политики выполняет проверки следующих интервалов времени.
- 8 часов с момента последнего применения политики.
- 7 дней с момента последней инвентаризации программного обеспечения.
- 14 дней с момента последней инвентаризации оборудования.
одновременно с агентом на рабочую станцию устанавливается антивирус Windows Intune Endpoint Protection, внешне напоминающий интерфейс Windows Security Essentials и автоматически замещающий его в системе. На другие установленные антивирусы внимания не обращается. (По крайней мере, на тестовой системе Eset NOD32 остался и продолжил работать без конфликтов. Пришлось прибегнуть к ручному удалению.)
![]()
В Консоль администрирования Windows Intune задачи управления распределены по следующим рабочим областям. Управлять всеми этими рабочими областями можно практически из любого браузера, поддерживающего Microsoft Silverlight.
Компьютеры
Чтобы обеспечить простоту и гибкость управления, в в рабочей области «Компьютеры» можно создавать группы компьютеров и управлять ими. Можно организовывать группы в соответствии с потребностями организации (например, по географическому положению, отделам или характеристикам оборудования). На странице Обзор компьютеров отображаются сводки состояния оповещений, обновлений и Endpoint Protection, позволяющие быстро оценить работоспособность компьютеров организации. Сводки состояния указывают на возможные или имеющиеся проблемы, что позволяет рационально распределять время и принимать необходимые меры. В Windows Intune можно представить группы компьютеров в виде иерархической структуры, что позволяет просматривать сводки состояния для определенной группы компьютеров, а также выявлять и устранять проблемы, связанные с непосредственными членами этой группы.
Обновления
Рабочая область «Обновления» предназначена для эффективного управления обновлениями ПО для всех управляемых компьютеров в организации. Консоль администрирования Windows Intune поддерживает и предлагает оптимальные методики управления обновлениями. Управление обновлениями происходит путем настройки политик для групп компьютеров, включающих как автоматическое так и ручное утверждение различных категорий обновлений для различных типов ПО и операционных систем.
![]()
Endpoint Protection
Windows Intune Endpoint Protection позволяет повысить безопасность управляемых компьютеров организации за счет обеспечения защиты от потенциальных угроз в реальном времени, обновления определений вредоносных программ и автоматического выполнения проверок. Сводки состояния Endpoint Protection, доступные в Консоль администрирования Windows Intune, позволяют быстро идентифицировать зараженные или незащищенные компьютеры и предпринять соответствующие действия. С помощью ссылок на разделы Центра Майкрософт по защите от вредоносных программ, доступных в консоли, можно получить дополнительные сведения о вредоносных программах, обнаруженных на компьютерах организации.
Оповещения
Для быстрой оценки общей работоспособности управляемых компьютеров организации можно использовать рабочую область «Оповещения». Оповещения позволяют выявлять потенциальные или имеющиеся проблемы и принимать соответствующие меры, чтобы предотвратить или свести к минимуму негативное воздействие на бизнес-операции. Чтобы обеспечить уведомление соответствующих лиц о новых оповещениях, можно настроить правила для отправки из Windows Intune уведомлений по электронной почте о новых оповещениях определенного уровня серьезности, о всех оповещениях или оповещениях о запросах удаленной помощи указанным получателям. В этом же разделе отображаются запросы от пользователей на удаленное подключение к их компьютерам для оказания удаленной помощи.
Программное обеспечение
В рабочей области «Программное обеспечение» выводится список программ, установленных на всех клиентских компьютерах, управление которыми выполняется с помощью Windows Intune. Этот список можно сортировать по издателю, имени, количеству установок или по категории программного обеспечения. Для каждой программы в списке предусмотрена отдельная позиция. Можно также выполнять поиск конкретной программы.
![]()
Лицензии
Загрузка условий лицензионного соглашения на использование программного обеспечения корпорации Майкрософт на веб-сайте услуг по программе корпоративного лицензирования Microsoft (MVLS) и сверка лицензированного программного обеспечения Майкрософт.- Windows 7 Enterprise, Ultimate, and Professional
- Windows Vista Enterprise, Ultimate, and Business
- Windows XP Professional with Service Pack (SP) 2 or later
Windows Intune распространяется по подписке. Стоимость — $11 с одного компьютера в месяц. Вам все еще кажется, что это слишком дорого для системы управления рабочей станцией, антивируса и средства инвентаризации и удаленного доступа? Тогда Microsoft приготовил Вам еще один сюрприз — все подписчики Intune получают право на апгрейд Windows 7 до самой полной Корпоративной редакции и возможность приобретения Microsoft Desktop Optimization Pack ранее доступные только подписчикам сервиса Software Assurance. По данным недавнего исследования компании IDC, внедрив Intune, за счет снижения трудозатрат IT и увеличения производительности пользователей, в среднем компании будут экономить $700 с компьютера.
Из недостатков сервиса хотелось бы отметить отсутствие поддержки серверов — клиентов и невозможность удаленного подключения к рабочей станции пользователя без запроса с его стороны (unattended connect). Но, на форуме разработчиков оба этих пожелания уже неоднократно высказывались, и разработчики обещали их принять во внимание в следующих версиях и апдейтах.
![]()
В заключении краткого обзора хотелось бы задать участникам сообщества вопрос, так как перспектива прихода Windows Intune в Россию до сих пор туманна, и, даже сотрудники Microsoft пока не могут до сих пор сказать ничего определенного, может существуют альтернативные варианты сервиса с подобным или близким функционалом?
Читайте также:
