Управление мобильными устройствами с помощью Microsoft Intune
Хотите позволить сотрудникам использовать личный ноутбук, планшет, телефон в качестве рабочего — запросто! Но как защитить, разделить персональную информацию от рабочей? А как же быть с приложениями? Нужно настроить все устройства согласно политикам компании? А если кто-то потеряет свое устройство с важной рабочей информацией?
Давайте узнаем ответы на эти и другие вопросы.
Сотрудники могут использую свое личное устройство на работе в личных целях, если политики компании это позволяют. Так почему бы не разрешить им использовать личное устройство и для рабочих задач?
«Возьми Свое Собственное Устройство на работу» — именно так звучит концепция BYOD (Bring Your Own Device). Тенденция BYOD снимает границы между частной жизнью и работой. Для ИТ-специалистов лучше контролировать ситуацию, а не бороться с ней административными способами.Разрешение использовать собственные устройства — это еще и инструмент повышения лояльности сотрудников, что важно для любой компании.
Желание сотрудников работать удаленно очевидно. Есть масса специалистов, которые не только хотят, но и могут работать удаленно. Для этого нужно иметь определенный уровень самоконтроля, но это вполне реально.
Однако, несмотря на неоспоримые плюсы, внедрение BYOD ассоциируется с проблемами безопасности и управляемости. Есть вероятность утери, кражи устройства, заражения зловредом. Но если разобраться, то преимущества BYOD для бизнеса существенно перевешивают недостатки.
Сегодня на рынке масса крупных и мелких компаний предоставляющих сервис MDM (Mobile Device Management).
Microsoft Intune
AirWatch by VMWare
Citrix XenMobile
BlackBerry Enterprise Service
SAP Afaria
Symantec Mobile Management
Good Technology
MaaS360 by Fiberlink
Dell Mobile Management
MobileIron
Centrify
FileWave
LANDESK
MobiControl
Sophos Mobile Control
Excitor MobiControl
Amtel
Tangoe Matrix Mobility
Kaseya BYOD
Absolute Manage
BoxTone
SOTI
FAMOC
Много кто пытался создавать, продвигать свое решение, но не все «выжили».
Перейдем к Intune. Доступно много теоретической информации, обзоров про Intune от Microsoft. Вкратце это облачная служба для управления мобильными устройствами на базе Windows, iOS, Android, а так же компьютерами c ОС Windows.
Есть несколько конфигураций использования Intune. Я выделил две основные:
- Автономная — Intune
- Гибридная — Intune + SCCM 2012 или Intune + SCCM 2012 + Azure
В данной статье рассмотрим управление мобильными устройствами для малого бизнеса с автономной конфигурацией.
Из преимуществ такого решения можно выделить следующие: исчезает необходимость в развертывании, обслуживании и масштабируемости, т.к. решение облачное, Microsoft регулярно обновляет и улучшает его.
Так же упрощена схема подписки основанная на количестве пользователей, а не устройств. За одного пользователя придется заплатить $6.00 USD в месяц. В подписку включено 20 GB места в облаке для приложений.
Но не стоит спешить приобретать подписку. Есть 30 дней пробного периода на 100 пользователей, по истечении которого Вы сможете продлить пробный период еще на 30 дней указав номер платежной карточки. Итого 60 дней на то чтобы попробовать и понять нужен ли Вам Intune.
Итак, Вы решили попробовать. После регистрации будет доступна панель управления Intune, а так же центр администрирования. Далее администратор создает пользователей вручную в панели управления или импортирует из CSV файла в центре администрирования. Пример файла CSV. Каждый созданный пользователь будет иметь логин в виде UserName@CompanyName.onmicrosoft.com или собственное доменное имя.
Весь процесс управления можно разделить на 5 основных шагов:
Регистрация
Для регистрации необходимо установить приложение «Company Portal» на устройстве пользователя.
Ссылки на приложение
Чтобы облегчить администраторам общение с пользователями Microsoft предоставляет список ссылок, данная информация поможет им при регистрации устройств в Intune и выполнения различных задач на устройствах после регистрации.
После того как пользователь установил приложение и залогинился его устройство будет зарегистрировано.
Скриншоты шагов регистрации
Приложение «Портал компании» содержит три основные вкладки:
- Приложения — список всех доступных пользователю приложений
- Мои Устройства — список устройств пользователя (максимум 5)
- Обратится в отдел ИТ — контактная информация для связи с ИТ отделом
После того как устройство зарегистрировано, им можно управлять.
Все зарегистрированные устройства и пользователи добавляются в соответствующие ветки в панели управления вкладки «Groups».
Администратор может группировать устройства (device group) и пользователей (user group) по доступным критериям или напрямую задавать членство в группе для дальнейшего распространения управления ими, аналогично коллекциям в SCCM 2012.
Развертывание приложений
Intune поддерживает установку множества различных приложений, в том числе приложений из магазина приложений, веб-приложений и приложений, разработанных внутри компании.
Существует два типа установки приложения:
- Установщик — указываем файл установки для приложения которое нужно развернуть. Например, APK для Android
- Внешняя ссылка — указываем ссылку на страницу приложения в магазине приложений. Например, Microsoft Store для Windows Mobile
Заполняем описание:
Задаем требования к версии операционной системы:
Приложение добавлено в список приложений в панели управления:
Заполняем описание:
После того как приложение добавлено и доступно в списке приложений осталось лишь развернуть его на устройствах пользователей. Выбрав в контекстом меню «Manage Deployment…» назначаем приложение на группу пользователей или группу устройств.
Доступны следующие опции:
- Принудительная установка
- Доступная установка
- Удаление
На пользовательском устройстве появится приложение назначенное на соответствующую группу.
Windows Mobile:
Windows 10
iOS:
Настройка
Intune использует политики, которые помогут настроить многие параметры и режимы работы для устройств:
- Параметры оборудования, такие как разрешение на использование Bluetooth, NFC,…
- Параметры пароля, включая длину и качество пароля
- Параметры шифрования
- Настройки браузера, например запрет на сохранение cookie, блокировка jscript
- Разрешенные и запрещенные приложения
- Политики соответствия требованиям, например версия ОС
Естественно, в различных ОС список доступных параметров отличается, даже на уровне одной ОС в разных версиях доступны разные параметры, и администратору придется не сладко если у пользователей слишком широкий разброс версий операционных систем. Но при создании конфигурации доступны подсказки, с минимальными требованиями к версии ОС.
При запуске камеры пользователь будет уведомлен:
Хотя Intune предоставляет широкий спектр параметров для настройки устройств, может возникнуть ситуация, когда требуемый параметр недоступен. Во многих случаях эту проблему можно решить с помощью настраиваемой политики, которая позволяет настраивать параметры OMA-URI — это общий стандарт для настройки мобильных устройств, чтобы задать необходимые значения.
Развертывание настроек происходит аналогичным образом как и развертывание приложений.
Мониторинг
После развертывания приложений и политик администратор следит за статусом на соответствующих вкладках.
Администратор будет уведомлен о наличии проблем в Intune при помощи оповещения.
Оповещения позволяют отслеживать, что происходит в Microsoft Intune. Например, на компьютере обнаружена вредоносная программа или обнаружен конфликт между двумя политиками Intune.
На вкладке с устройствами доступен очень полезный список фильтров, с помощью которого можно найти устройства с различным статусом.
Защита
В случае потери сотрудником мобильного устройства или его кражи можно удалить корпоративные данные и приложения с устройства, можно также выполнить полную очистку. При необходимости возможен сброс секретного кода или удаленная блокировка устройства.
Все достаточно просто: находим имя пользователя, выбираем из его устройств нужное, и в контекстом меню выбираем необходимое действие:
В качестве заключения хотелось бы отметить зрелость продукта, ведь еще каких-то пару лет назад Intune был сыроват для корпоративного использования. На сегодняшний день это один из немногих стабильных решений с полноценной поддержкой и обновлениями. Кроме того он интегрируется с SCCM что немаловажно для больших корпораций.
Список полезных ресурсов
https://docs.microsoft.com/en-us/intune/
https://blogs.technet.microsoft.com/microsoftintune/