Управління мобільними пристроями за допомогою Microsoft Intune

Хочете дозволити співробітникам використовувати особистий ноутбук, планшет, телефон в якості робітника — запросто! Але як захистити, розділити персональну інформацію від робочої? А як же бути з додатками? Потрібно налаштувати всі пристрої згідно політикам компанії? А якщо хтось втратить свій пристрій з важливою робочої інформацією?

Давайте дізнаємося відповіді на ці та інші питання.


Співробітники можуть використовую своє особисте пристрій на роботу в особистих цілях, якщо політики компанії це дозволяють. Так чому б не дозволити їм використовувати особисту пристрій для робочих завдань?

«Візьми Своє Власне Пристрій на роботу» — саме так звучить концепція BYOD (Bring Your Own Device). Тенденція BYOD знімає межі між приватним життям і роботою. Для ІТ-фахівців краще контролювати ситуацію, а не боротися з нею адміністративними способами.Дозвіл використовувати власні пристрої — це ще й інструмент підвищення лояльності співробітників, що важливо для будь-якої компанії.

Бажання співробітників працювати віддалено очевидно. Є маса фахівців, які не тільки хочуть, а й можуть працювати віддалено. Для цього потрібно мати певний рівень самоконтролю, але це цілком реально.

Однак, незважаючи на незаперечні плюси, впровадження BYOD асоціюється з проблемами безпеки і керованості. Є ймовірність втрати, крадіжки пристрою, зараження шкідником. Але якщо розібратися, то переваги BYOD для бізнесу істотно переважують недоліки.

Сьогодні на ринку маса великих і дрібних компаній, що надають сервіс MDM (Mobile Device Management).
Список існуючих рішеньMicrosoft Intune
AirWatch by VMWare
Citrix XenMobile
BlackBerry Enterprise Service
SAP Afaria
Symantec Mobile Management
Good Technology
MaaS360 by Fiberlink
Dell Mobile Management
MobileIron
Centrify
FileWave
LANDESK
MobiControl
Mcafee Mobile Control
Excitor MobiControl
Amtel
Tangoe Matrix Mobility
Kaseya BYOD
Absolute Manage
BoxTone
SOTI
FAMOC

Багато хто намагався створювати, просувати своє рішення, але не всі «вижили».

Перейдемо до Intune. Доступно багато теоретичної інформації, оглядів про Intune від Microsoft. Коротко це служба для управління мобільними пристроями на базі Windows, iOS, Android, а так само комп'ютерами з ОС Windows.
Є кілька конфігурацій використання Intune. Я виділив дві основні:

  1. Автономна — Intune
  2. Гібридна — Intune + SCCM 2012 або Intune + SCCM 2012 + Azure
В даній статті розглянемо управління мобільними пристроями для малого бізнесу з автономної конфігурацією.
З переваг такого рішення можна виділити наступні: зникає необхідність у розгортанні, обслуговуванні і масштабованості, т. к. рішення хмарне, Microsoft регулярно оновлює і покращує його.
Так само спрощена схема підписки заснована на кількості користувачів, а не пристроїв. За одного користувача доведеться заплатити $6.00 USD в місяць. У підписку включено 20 GB місця в хмарі для додатків.
Але не варто поспішати купувати підписку. Є 30 днів пробного періоду на 100 користувачів, по закінченні якого Ви зможете продовжити пробний період ще на 30 днів вказавши номер платіжної картки. Разом 60 днів на те, щоб спробувати і зрозуміти чи потрібен Вам Intune.

Отже, Ви вирішили спробувати. Після реєстрації буде доступна панель управління Intune а так же центр адміністрування. Далі адміністратор створює користувачів вручну в панелі керування або імпортує з CSV файлу в центрі адміністрування. Приклад файлу CSV. Кожен створений користувач буде мати логін у вигляді UserName@CompanyName.onmicrosoft.com або власне доменне ім'я.

Весь процес управління можна розділити на 5 основних кроків:

Реєстрація

Для реєстрації необхідно встановити додаток «Company Portal» на пристрої користувача.
Посилання на додатокMicrosoft
Google Play
App Store

Щоб полегшити адміністраторам спілкування з користувачами Microsoft надає список посилань, дана інформація допоможе їм при реєстрації пристроїв в Intune і виконання різних завдань на пристроях після реєстрації.

Після того, як користувач встановив додаток і залогінився його пристрій буде зареєстровано.
Скріншоти кроків реєстрації





















Додаток «Портал» містить три основні вкладки:
  • Програми — список всіх доступних користувачеві додатків
  • Мої Пристрої — список пристроїв користувача (максимум 5)
  • Звернутися у відділ ІТ — контактна інформація для зв'язку з ІТ відділом


Після того як пристрій зареєстровано, їм можна управляти.
Всі зареєстровані пристрою і користувачі додаються відповідні гілки в панелі керування вкладки «Groups».
Адміністратор може групувати пристрою (device group) і користувачів (user group) за доступними критеріям або безпосередньо задавати членство в групі для подальшого поширення управління ними, аналогічно колекцій в SCCM 2012.

Розгортання додатків

Intune підтримує установку безлічі різних додатків, в тому числі додатків з магазину додатків, веб-додатків і додатків, розроблених усередині компанії.
Існує два типи установки додатка:
  • Установник — вказуємо файл установки для програми яке потрібно розгорнути. Наприклад, АПК для Android
  • Зовнішнє посилання вказуємо посилання на сторінку програми в магазині додатків. Наприклад, Microsoft для Windows Mobile
Додавання програми — інсталятораВибираємо інсталяційний файл:


Заповнюємо опис:


Задаємо вимоги до операційної системи:


Додаток додано у список програм на панелі управління:


Додавання програми — зовнішнє посиланняВказуємо посилання на програму в маркеті:


Заповнюємо опис:



Після того як додаток додано доступно в списку додатків залишилося лише розгорнути його на пристрої користувачів. Вибравши в контекстному меню «Manage Deployment...» призначаємо додаток на групу користувачів або групи пристроїв.


Доступні наступні опції:
  • Примусова установка
  • Доступна установка
  • Видалити


На користувальницькому пристрої з'явиться додаток призначений на відповідну групу.
Приклад відображення на різних пристрояхЧоловічий:


Windows Mobile:


Windows 10


iOS:




Налаштування

Intune використовує політики, які допоможуть налаштувати багато параметри і режими роботи для пристроїв:
  • Параметри обладнання, такі як дозвіл на використання Bluetooth, NFC,...
  • Параметри пароля, включаючи довжину і якість пароля
  • Параметри шифрування
  • Налаштування браузера, наприклад заборона на збереження cookie, блокування jscript
  • Дозволені і заборонені програми
  • Політики на відповідність вимогам, наприклад версія ОС
Природно, в різних ОС список доступних параметрів відрізняється, навіть на рівні однієї ОС в різних версіях доступні різні параметри, та адміністратору доведеться не солодко якщо у користувачів занадто широкий розкид версій операційних систем. Але при створенні конфігурації доступні підказки, з мінімальними вимогами до версії ОС.

Наприклад, політика забороняє використовувати камеру

При запуску камери користувач буде повідомлений:



Хоча Intune надає широкий спектр параметрів для налаштування пристроїв, може виникнути ситуація, коли потрібний параметр недоступний. У багатьох випадках цю проблему можна вирішити за допомогою настроюваної політики, яка дозволяє налаштовувати параметри OMA-URI — це загальний стандарт для налаштування мобільних пристроїв, щоб задати необхідні значення.

Розгортання налаштувань відбувається аналогічним чином, як і розгортання додатків.

Моніторинг

Після розгортання додатків і політик адміністратор стежить за статусом на відповідних вкладках.

На вкладці «Dashboard» відображається загальний статус всіх компонентів


Більш детальна інформація про статус додатків відображається на вкладці «APPS»Клікнувши з додатком ми побачимо деталі:


Адміністратор буде повідомлений про наявність проблем в Intune за допомогою оповіщення.
Оповіщення дозволяють відстежувати, що відбувається в Microsoft Intune. Наприклад, на комп'ютері виявлена шкідлива програма або виявлено конфлікт між двома політиками Intune.

На вкладці з пристроями доступний дуже корисний список фільтрів, за допомогою якого можна знайти пристрої з різним статусом.

Список

Захист

У разі втрати працівником мобільного пристрою або його крадіжки можна видалити корпоративні дані та програми з пристрою, можна також виконати повну очистку. При необхідності можливе скидання секретного коду або віддалене блокування пристрою.

Все досить просто: знаходимо ім'я користувача, вибираємо з його пристроїв потрібне, і в контекстному меню вибираємо потрібну дію:


В якості висновку хотілося б відзначити зрілість продукту, адже ще якихось пару років тому Intune був вогкуватий для корпоративного використання. На сьогоднішній день це один з небагатьох стабільних рішень з повноцінною підтримкою і оновленнями. Крім того він інтегрується з SCCM що важливо для великих корпорацій.

Список корисних ресурсів
https://docs.microsoft.com/en-us/intune/
https://blogs.technet.microsoft.com/microsoftintune/

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.