Zarządzanie urządzeniami mobilnymi - transkrypcja webinarium

Maciej Kuczyński, APN Promise
.
Zacznijmy od przedstawienia odpowiedzi na pytanie,
jakie wyzwania pojawiają się na rynku urządzeń mobilnych oraz
z jakimi problemami spotykamy się, próbując nimi zarządzać
w przedsiębiorstwie?
Pracownicy, którzy chcą korzystać z urządzeń mobilnych,
potrzebują aplikacji dostosowanych do różnych platform
sprzętowych i systemowych. W tym kontekście zauważyć da się
szereg problemów związanych z zarządzaniem heterogenicznym
środowiskiem IT w organizacji.
Z perspektywy pracownika wszystkie kwestie techniczne powinny być przezroczyste. Aplikacje oraz
dane, z których korzysta użytkownik, powinny być dostępne i obsługiwane w ten sam sposób na
każdym z posiadanych przez niego urządzeń.
Z drugiej strony, przed działami IT stoi wyzwanie zapewnienia właściwego nadzoru nad tymi
systemami. Dotyczy to przede wszystkich ochrony danych przechowywanych na urządzeniach
mobilnych. Zabezpieczenia te powinny być wdrażane zgodnie z wewnętrznymi regulacjami firmy
oraz przepisami prawa. Za każdym razem musimy mieć pewność, że dane te udostępniane są
w sposób bezpieczny.
Do najważniejszych wyzwań należą mnogość platform systemowych oraz potrzeb użytkowników.
Już dawno temu pracownicy przestali korzystać z przypisanego do nich, pojedynczego urządzenia.
Obecnie, użytkownik posiada często dwa telefony – prywatny i służbowy, przy czym ten pierwszy
nierzadko wykorzystywany jest również do celów związanych z wykonywaną pracą np. sprawdzania
poczty elektronicznej, czy obsługi aplikacji biznesowych. Pracownik przełącza się między
urządzeniami różnego typu, zmieniając swoje narzędzia pracy z komputera stacjonarnego, laptopa
i tabletu, smartfon i odwrotnie. Zamiast na komputerze, maile sprawdzamy na urządzeniach
mobilnych. Czynność ta wydaje się być naturalna, bowiem dostęp do telefonu trzymanego
w kieszeni spodni lub torebce jest łatwy i wygodny.
Prelegenci
Wyzwania na
rynku urządzeń
mobilnych
Aplikacje
dla mobilnych
1.
W trakcie webinarium zaprezentujemy zagadnienia związane z zarządzaniem urządzeniami mobil-
nymi, które coraz mocniej wchodzą na rynek konsumencki oraz biznesowy.
Tematem szóstego spotkania Microsoft z cyklu Chmura publiczna w scenariuszach biznesowych
będzie wykorzystanie usług i aplikacji Windows Intune, System Center Configuration Manager oraz
Exchange Active Sync w celu zapewnienia:
bezpiecznego dostępu do usług oraz danych firmowych z poziomu urządzeń mobilnych,•
mechanizmów automatycznej kontroli urządzeń mobilnych w sposób zgodny z lokalnymi•
politykami bezpieczeństwa firmy.
Webinarium Microsoft
Prowadzący: Michał Prasuła
Spotkanie szóste:
Zarządzanie
urządzeniami mobilnymi

2.
Nie należy zapominać, że urządzenia mobilne w firmie służą przede
wszystkim do pracy, a więc do zarabiania pieniędzy. Ważne jest, aby
były one jak najbardziej efektywnie wykorzystywane. W tym celu
potrzebujemy jednolitej, najlepiej jak najmniejszej infrastruktury,
która z jednej strony będzie komplementarna do istniejących sys-
temów i rozwiązań IT w organizacji, ale z drugiej zaspokoi potrzeby
zarówno użytkowników, jak i pracowników działu informatyki.
Firma Microsoft ma wieloletnie doświadczenie w dostarczaniu sys-
temów do zarządzania urządzeniami mobilnymi. Wszystko to zaczę-
ło się od wprowadzenia na rynek urządzeń z systemem Windows CE
oraz protokołu Exchange Active Sync.
Exchange Active Sync to jedna z opcji zarządzania urządzeniami mobilnymi w przedsiębiorstwie,
dostępna zarówno lokalnie, jak i za pośrednictwem usług w chmurze Office 365.
Efektywnie
w pracy
Exchange
Active Sync
Dzisiaj użytkownicy chcą korzystać z różnych urządzeń: komputerów, telefonów, tabletów, palmto-
pów. Narzędzi tych jest bardzo wiele. Do niedawna dla każdej platformy sprzętowo-systemowej mie-
liśmy oddzielne narzędzia do zarządzania. Podejście Microsoft zakłada wdrożenie jednej platformy do
administrowania komputerami oraz urządzeniami mobilnymi, z których korzystają nasi pracownicy.
Spotkanie szóste:
Zarządzanie
Wdrażając mobilne systemy informatyczne nie powinniśmy jednak
zapominać, że najważniejszym elementem całej tej układanki jest
człowiek. Z jednej strony mamy tutaj użytkowników, którzy korzysta-
ją z urządzeń mobilnych, a z drugiej pracowników działu IT, którzy te
systemy dostarczają i obsługują.
Celem Microsoftu jest danie użytkownikom możliwości używania dowolnych urządzeń, na których
ci będą chcieć pracować. Z kolei działy IT potrzebują narzędzi i dodatkowego wsparcia, które po-
zwoli im sprawnie zarządzać tymi urządzeniami w przedsiębiorstwie. Z tego względu konieczne jest
zaproponowanie rozwiązań, które będą uniwersalne dla użytkowników oraz proste i ujednolicone
(skonsolidowane) w zarządzaniu.
Podsumujmy. W trakcie wyboru platformy do zarządzania systemami mobilnymi powinniśmy sku-
pić się na prostocie tego typu rozwiązań, zarówno z perspektywy użytkownika końcowego (odbiorcy
tych urządzeń) oraz pracowników działu IT, które będą tymi systemami zarządzać.
Tutaj liczy się
człowiek

W przypadku bardziej złożonych środowisk IT, które dysponują już
rozwiązaniami do zarządzania klasy korporacyjnej np. Microsoft
System Center Configuration Manager (SCCM), istnieje możliwość
stworzenia infrastruktury hybrydowej, która rozszerzy funkcjo-
nalność System Center o wsparcie dla urządzeń mobilnych. Jest
to opcja dostępna dla klientów, którzy już posiadają Configuration
Managera do zarządzania dużą częścią swojego środowiska IT.
Dodajmy, że SCCM umożliwia zarządzanie systemami opartymi na
platformie Windows, Linux/UNIX oraz OS X.
Windows Intune jest samodzielną usługa, która działa w chmurze.
Rozwiązanie to doskonale sprawdzi się w przypadku firm, które
mają tzw. strukturę wyspiarską, czyli bardzo wiele, bardzo małych
oddziałów lub placówek np. sieć sklepów, czy warsztatów samo-
chodowych. Toyota, w swoich punktach serwisowych, wykorzystuje
Windows Intune do zarządzania komputerami służącymi do diagno-
styki samochodów. Pracownicy działu IT mogą administrować tymi
maszynami centralnie, z jednego miejsca.
Configuration
Manager
Dla
rozproszonych
firm i oddziałów
3.
Configuration Manager, w połączeniu z wymienionymi wcześniej platformami Exchange oraz Win-
dows Intune, tworzy złożone środowisko, które pozwala na scentralizowane zarządzanie prawie
wszystkimi urządzeniami używanymi w przedsiębiorstwach. Na koniec dnia mamy jedną konsolę,
z której korzysta administrator i jedno miejsce, które zapewnia mu pełną kontrolę nad wszystkimi
urządzeniami, którymi zarządza.
Spotkanie szóste:
Zarządzanie
Mimo, że funkcjonalność serwera Exchange jest dość pokaźna, wie-
le organizacji potrzebuje dodatkowych mechanizmów, które pozwo-
lą im wdrażać polityki oraz zasady bezpieczeństwa
np. reguły złożoności haseł w całej firmie.
Rozwiązaniem, które spełnia te wymagania jest Windows Intune. Usługa ta jest dostarczana
w chmurze i zapewnia szereg przydatnych funkcjonalności m.in. możliwość instalowania aplika-
cji na urządzeniach mobilnych. W połączeniu z Office 365 oraz Azure Rights Management (RMS)
Windows Intune wprowadza mechanizmy pełnego zarządzania dostępem do treści oraz doku-
mentów przedsiębiorstwa.
Windows
Intune

Wszystkie omawiane platformy do zarządzania skupiają się na
użytkowniku. To użytkownik ma możliwość samodzielnego rejestro-
wania urządzeń, które są następnie zarządzane centralnie. Spró-
bujmy zatem po krótce opowiedzieć, jak wygląda proces rejestracji
urządzenia oraz jakie są możliwości pracy dla użytkownika. W tym
miejscu wchodzimy już w szczegóły rozwiązania, bowiem każdą
platformę sprzętowo-systemową podłącza się do systemu zarzą-
dzania nieco inaczej. Wynika to z faktu, że ,amy platformy różnych
producentów, z których każda została zaimplementowana w inny
sposób. O tym jednak za chwilę.
W systemie Windows do zasobów firmowych podłączymy się za
pomocą funkcji Foldery robocze (Work Folders). Mechanizm ten
zapewnia dostęp do zasobów firmy, bez konieczności posiadania
komputera lub innego urządzenia w domenie Windows.
Tutaj ciekawym rozwiązaniem jest możliwość wieloskładnikowego uwierzytelniania się do syste-
mów firmy, zapewniane przez usługę Windows Azure Active Authentication. Dzięki chmurze usługa
ta może być dostarczona na każde urządzenie podłączone do internetu, niezależnie od tego,
w jakiej lokalizacji znajduje się pracownik. Bardzo ważną częścią tego rozwiązania jest to, że użyt-
kownik rejestrując swój smartfon lub telefon, tworzy obiekt urządzenia w usłudze Active Directory.
W rezultacie konto pracownika zostaje automatycznie powiązane z urządzeniem.
Rejestracja
urządzenia
Foldery
robocze
4.
Configuration Manager jest bardziej zaawansowanym narzędziem, które integruje w sobie funkcje
zarządzania urządzeniami kontrolowanymi bezpośrednio przez siebie, ale także urządzeniami admi-
nistrowanymi przez Windows Intune. Configuration Manager zapewnia szerokie wsparcie dla wielu
różnych systemów operacyjnych. Usługa Windows Intune jest z reguły wykorzystywana do zarządzania
urządzeniami mobilnymi, nazwijmy je „kieszonkowymi”, czyli telefonami na platformie Windows Phone,
iOS, Android, tabletami z systemem Windows RT oraz zainstalowanym „pełnym” Windows.
Zarządzanie poprzez usługę Windows Intune odbywa się w całości
z poziomu konsoli działającej w przeglądarce internetowej. Konsola
webowa umożliwia tworzenie polityk zabezpieczeń, definiowanie
reguł dostarczania aplikacji na urządzenia końcowe oraz wykony-
wanie inwentaryzacji sprzętu i zainstalowanego oprogramowania.
Windows Intune zapewnia pełne wsparcie dla komputerów Windows
oraz urządzeń mobilnych z systemem Windows RT, Windows Phone,
iOS oraz Android.
Intune vs.
SCCM
Spotkanie szóste:
Zarządzanie

5.
Spróbujmy przyjrzeć się, jak wygląda proces rejestracji urządzenia
z Windows RT. Dla niewtajemniczonych dodajmy, że jest to wersja
systemu Windows dostosowana do pracy na komputerach z proce-
sorem ARM.
W Windows Intune funkcje zarządzania różnią się w zależności od
platformy oraz sposobu, w jaki podłączymy do niej urządzenie mobil-
ne. Jeśli komputer z systemem Windows 8.1 podepniemy do usługi
za pomocą mechanizmu Workplace Join, będziemy mieli tutaj inne
opcje zarządzania, niż w przypadku instalacji agenta na tym urzą-
dzeniu. Różnice są nieznaczne, choć w drugim przypadku za każdym
razem komputer będzie traktowany jako urządzenie mobilne.
Workplace
Join
Pod kontrolą
admina
W systemie Windows 8.1, Windows RT 8.1 oraz Windows Phone nie musimy instalować dodatkowego
oprogramowania, które pozwoli nam przyłączyć urządzenie do usługi chmurowej Windows Intune.
W tym celu wykorzystamy wbudowaną funkcję Workplace Join, czyli częściowego dołączenia kom-
putera do zasobów przedsiębiorstwa. Dzięki temu mechanizmowi, użytkownik może uzyskiwać
dostęp do zasobów firmy z urządzenia, które nie jest podłączone do domeny.
W trakcie przyłączania komputera, tabletu lub smartfona do platformy zarządzania wyrażamy zgodę
na zarządzanie nim przez administratora. W trakcie kilku chwil urządzenie samodzielnie odnajdzie
swój serwer zarządzania. Zwróćmy uwagę na fakt, że sam proces rejestracji wymaga podania jedynie
nazwy użytkownika i hasła. Nie są wymagane dodatkowe poświadczenia.
Spotkanie szóste:
Zarządzanie
Na tym etapie weryfikowane jest czy platforma, z której użytkownik uzyskuje dostęp do zasobów
firmy, jest poprawna, a samo urządzenie może być traktowane jako zaufane. Administrator ma
możliwość śledzenia, czy użytkownik dokonuje dostępu do danych i aplikacji z poziomu urządzenia,
które zostało zarejestrowane w systemie.
Do usługi Windows Intune podłączymy urządzenia dowolnego typu. Jednocześnie, Intune może zo-
stać zintegrowane z oprogramowaniem SCCM oraz usługami katalogowymi Active Directory, dzię-
ki czemu mamy spójne środowisko zarządzania tożsamościami, którym w prosty i w znany sobie
sposób zarządzamy.

Celem Microsoft jest dostarczenie użytkownikom prostego
i spójnego narzędzia, za pomocą którego będą mogli oni samo-
dzielnie dołączać swoje urządzenia do środowiska firmowego
oraz nimi zarządzać np. instalując aplikacje.
W kolejnym kroku spróbujemy pokazać, jak wygląda portal ustawio-
ny w trybie standardowym i dostosowanym. Weźmy telefon
z Windows Phone. Prawdopodobnie część dociekliwych użytkowni-
ków takiego urządzenia zwróciła uwagę na skrót Aplikacje firmowe,
który znajdziemy w menu Właściwości systemu.
Jeśli telefon został wcześniej podłączony do infrastruktury przedsiębiorstwa od razu mamy do-
stęp do portalu, który pozwala na pobranie udostępnionych aplikacji. Aby się do niego zalogować
podajemy nazwę użytkownika i hasło. W przypadku Windows Intune możemy posiadać oddzielne
konta, choć całość może zostać również spięta z usługą katalogową Active Directory. Z perspektywy
użytkownika, te same poświadczenia (nazwa i hasło) są używane w trakcie logowania do komputera
oraz do portalu mobilnego.
Po zalogowaniu się do portalu na ekranie smartfonu zobaczymy listę aplikacji, które zostały udo-
stępnione przez administratora systemu danemu użytkownikowi. Lista dostępnych aplikacji zależy
od uprawnień oraz roli pracownika w organizacji. Oczywiste jest, że inne aplikacje udostępniane są
handlowcom, a jeszcze inne pracownikom działu serwisu. Aplikacje katalogowane są również ze
względu na typ platformy, z której korzysta użytkownik.
Z myślą
o użytkownikach
Aplikacje
firmowe
Z drugiej strony rozwiązania Microsoft zdejmują z administratora konieczność świadczenia wspar-
cia dla danego platformy sprzętowo-systemowej. W praktyce, wiele czynności, które realizują admi-
nistratorzy, z powodzeniem może być wykonywanych przez samych pracowników. I nie chodzi tutaj
bynajmniej tylko o ograniczenie kosztów funkcjonowania działu IT w przedsiębiorstwie.
Wielu użytkowników chętnie wykona samodzielnie niektóre, oczywiście te prostsze, zadania. Portal,
z poziomu którego mogą oni samodzielnie zarządzać swoimi urządzeniami mobilnymi, jest dla nich
bardzo wygodnym i komfortowym rozwiązaniem. W szczególności dotyczy to sytuacji, jeśli udostęp-
niony portal będzie pod względem funkcjonalności, wyglądu i sposobu obsługi zbliżony do rozwią-
zań, z których korzystają na swoich komputerach i smartfonach. Zwróćmy jednak uwagę, że na
każdym urządzeniu portal firmowy wygląda nieco inaczej. Zmiany wyglądu wynikają z dostosowania
portalu do platformy sprzętowo-systemowej, pod kontrolą której dane urządzenie pracuje.
Na urządzeniu mobilnym instalujemy aplikację ze sklepu z aplikacjami dla danej platformy syste-
mowej. Obsługa takiej aplikacji jest intuicyjna, bowiem użytkownicy korzystają z tego typu rozwią-
zań każdego dnia. Wyjątkiem są tutaj urządzenia Windows Phone, gdzie portal Windows Intune jest
częścią tego systemu. To w znaczący sposób ułatwia rozpoczęcie pracy w środowisku firmowym.
Spotkanie szóste:
Zarządzanie

7.
W tym kontekście ciekawym przykładem może być aplikacja wyda-
na przez firmę APN Promise, która współpracuje z rozwiązaniem
System Center Service Manager (SCSM) w zakresie zarządzania
przepływami pracy, zmianami oraz incydentami, z poziomu urzą-
dzeń mobilnych. To pierwsza z aplikacji mobilnych na rynku, która
wypełnia ten obszar funkcjonalny.
Aplikacja firmy APN Promise została wydana także dla platformy
iOS. Planowana jest wersja programu dla Androida. W systemie
iOS mamy dostępne narzędzie Company Portal, które pobieramy ze
sklepu AppStore. Logowanie się do platformy odbywa się za pomocą
podobnych poświadczeń. Company Portal jest zbliżony wyglądem do
sklepu Apple, dzięki czemu użytkownicy rozwiązania mogą w sposób
łatwy, intuicyjny i znany zarządzać swoimi urządzeniami mobilnymi.
Niezależnie od platformy systemowej, na portalu firmowym umie-
ścimy informacje ważne dla użytkowników. W tym miejscu warto
zawrzeć np. dane kontaktowe do osoby z działu wsparcia tech-
nicznego. W kontekście platformy Windows 8 oraz Windows 8.1 RT
istotne jest to, że z poziomu portalu możemy zarządzać wieloma
urządzeniami. Na ekranie wyświetlana jest lista urządzeń, która
pozwala dodawać, modyfikować lub usuwać urządzenia przypisane
do użytkownika.
Pracownik, po zalogowaniu się do Company Portal, widzi wszystkie
swoje urządzenia. W przypadku komputera z Windows 8, oprogra-
mowanie pozwala użytkownikowi na zmianę nazwy lub usunięcie
urządzenia z systemu zarządzania. W tym miejscu znajdziemy
więcej opcji, jeśli mamy do czynienia ze smartfonem. Przykładowo,
portal pozwala przywrócić ustawienia fabryczne, jeśli urządzenie
zaginie lub zostanie skradzione.
SCSM
mobilnie
iOS Company
Portal
Ważne
informacje
w portalu
Różnorodność
platform
Od tej pory krytyczne procesy biznesowe mogą być obsługiwane szybciej i bez zbędnej zwłoki.
Osoby decyzyjne, odpowiedzialne za te procesy, mogą reagować na zdarzenia także wtedy kiedy są
poza firmą np. na spotkaniach, bez dostępu do komputera. Aplikacja mobilna przyspiesza dostęp do
informacji. Bez wątpienia ta forma komunikacji jest bardziej efektywna niż telefon odebrany
30 minut później. Tym bardziej że decyzje podejmowane za pomocą aplikacji mobilnej są realizowa-
ne bezpośrednio na poziomie systemu Service Manager.
Spotkanie szóste:
Zarządzanie

8.
Portal na platformie Android wygląda nieco inaczej niż rozwiązania zaprezentowane wcześniej.
Analogicznie jak w przypadku pozostałych platform, z tego poziomu mamy dostęp do wszystkich
urządzeń danego użytkownika. W tym miejscu widzimy dane kontaktowe do osoby, która pomoże
nam w rozwiązaniu problemu z obsługą urządzenia mobilnego i aplikacji. Te z pozoru podstawowe
informacje mogą okazać się nieocenione w przypadku pojawienia się problemów.
W pierwszej części webinarium porozmawialiśmy o platformach do
zarządzania urządzeniami mobilnymi i ich inwentaryzacji. W trakcie
spotkania kilkukrotnie padło sformułowanie, że najważniejszy
w tym wszystkim jest człowiek. W dobie tzw. konsumeryzacji to pra-
cownicy przynoszą swoje urządzenia, z których chcą korzystać
w trakcie wykonywania pracy.
Zasady dostępu do aplikacji i danych reguluje polityka firmy. Trudno
jednak wymagać, aby dział IT integrował w prywatne urządzenia
pracowników, współpracowników i kooperantów. Z drugiej strony,
jeśli osoby te chcą na nich pracować, na dziale IT ciąży zadanie
udostępnienia im firmowych plików i aplikacji oraz zapewnienia od-
powiedniego poziomu zabezpieczeń w dostępie do zasobów, którymi
chcemy zarządzać.
W ostatnim czasie coraz częściej spotyka się różnego rodzaju współpracowników i podwykonaw-
ców pracujących z odległych lokalizacji. Osoby te potrzebne są na krótki okres np. na czas trwania
projektu, ale wymagają dostępu do infrastruktury, zasobów oraz aplikacji danego przedsiębiorstwa.
Jednocześnie działy IT nie mogą ingerować w używane przez nich urządzenia oraz systemy, i nie ma
tutaj znaczenia, czy są to ich prywatne komputery i smartfony czy też narzędzia pracy wykorzysty-
wane w celach służbowych. W każdym z tych przypadków należą one do innego właściciela.
Dane służbowe należy traktować jako poufne. Jeżeli nasza polityka stanowi, że wybrana aplikacja
i tworzone w niej dane będą przechowywane na telefonie użytkownika, musimy mieć możliwość
zapewnienia konfiguracji tych urządzeń.
W usłudze Microsoft, administrator ma możliwość wskazania, czy dane urządzenie będzie trakto-
wane jako prywatne, z obniżonym poziomem inwentaryzacji, czy też jak urządzenie firmowe, podle-
gające rozszerzonym politykom zabezpieczeń.
Przykładowo, istnieje możliwość wskazania, aby dana aplikacja była dostępna (instalowana) wyłącz-
nie na urządzeniach firmowych. Polityka zabezpieczeń pozwala również narzucić zasady dostępu do
danych przechowywanych na serwerach, komputerach i urządzeniach mobilnych przedsiębiorstwa.
BYOD
w wydaniu
Microsoft
Polityki
firmowe
Spotkanie szóste:
Zarządzanie

9.
W dalszej części webinarium spróbujemy opowiedzieć więcej
o wsparciu dla różnych systemów i platform oraz sposobach za-
rządzania nimi. Jak zostało już powiedziane wcześniej, urządzenia
mobilne mogą być zarządzane przez platformę Windows Intune lub
System Center Configuration Managera (SCCM). W przypadku kom-
puterów klasy PC zalecanym scenariuszem jest zarządzanie nimi
z poziomu systemu SCCM. Agent tej usługi pozwala także na wdra-
żanie niestandardowych konfiguracji (tzw. agent otwarty). Admini-
strator może wdrażać własne ustawienia, które zostają wymuszone
na wszystkich kontrolowanych komputerach.
Z drugiej strony mamy dostęp dla użytkowników. Dla wszystkich
platform, z wyjątkiem Linux/UNIX, istnieje sposób, w którym to
pracownicy mogą wchodzić w interakcje z portalem do zarządzania
posiadanymi przez nich urządzeniami mobilnymi. Wynika to po czę-
ści z faktu, że środowiska klasy UNIX są traktowane jako systemy
dla serwerów, często z konsolą tekstową.
Windows Intune oraz System Center mogą być wdrażane jednocze-
śnie. Należy mieć świadomość, że System Center to rozbudowana
platforma do zarządzania środowiskiem IT, składająca się z wielu
elementów. W tym miejscu nasuwa się pytanie, jak odbywa się ta in-
tegracja między System Center, a Windows Intune. Warto dodać, że
aktualizacje usługi Intune nie wpływają na konieczność przebudowy
istniejącej instalacji System Center.
Wsparcie
dla różnych
platform
Linux/UNIX
dla serwerów
Integracja
Intune z System
Center
Z kolei Windows Intune jest usługą chmurową, w której większość ustawień jest predefiniowanych.
Ich zmiana może być trudna do zrealizowania. W tym kontekście agent SCCM zapewnia zdecydowa-
nie szersze możliwości zarządzania.
Zwróćmy uwagę, że urządzeniem na platformie Windows 8.1 możemy zarządzać zarówno przez
usługę SCCM, jak i Windows Intune. Zarządzanie urządzeniami mobilnymi odbywa się za pomocą
zainstalowanych na nich agentów, które są ciągle rozwijane, a ich funkcjonalność się rozszerza.
Należy wyraźnie podkreślić, że nie mamy tutaj do czynienia z zarządzaniem bez użycia agentów
(dedykowanych aplikacji)
Spotkanie szóste:
Zarządzanie
Z uwagi na to administrator zarządza takim środowiskiem centralnie, z opcją inwentaryzacji takich
serwerów (wdrażanie aplikacji, zdalne wykonywanie komend, wprowadzanie ustawień) z poziomu
Windows Intune lub SCCM. W tym przypadku systemy klasy Linux/UNIX traktowane są jako opro-
gramowanie dla centrów danych.

10.
W trakcie pierwszego uruchomienia konsoli od momentu włączenia takiej aktualizacji, jej użytkow-
nik (administrator, pracownik działu helpdesk) zostanie poinformowany o instalacji nowego rozsze-
rzenia. Po ponownym uruchomieniu konsoli rozszerzenie to dostępne jest dla pracownika.
Zamiast podsumowania można powiedzieć, że nowe funkcjonalności Windows Intune dla Configu-
ration Managera, dostarczane w formie rozszerzeń, są bardzo proste w implementacji w tak złożo-
nym środowisku, jakim jest System Center. Warto dodać, że każde takie rozszerzenie, jeśli niepo-
trzebne, może zostać wyłączone.
Dla przykładu dodajmy, że w ostatnim czasie w ten sposób wprowadzono m.in. mechanizm zdalne-
go blokowania urządzeń, jeśli zostało pozostawione w miejscu publicznym i mamy obawy, czy ktoś
nie będzie próbował pozyskać z niego danych. Inne udostępnione rozszerzenia dotyczyły ustawień
zabezpieczeń dla platformy iOS 7 oraz możliwości konfiguracji profili Exchange Active Sync dla sys-
temów Windows Phone 8 i iOS. Dzięki temu użytkownik, który podłącza swoje urządzenie do usłu-
gi Intune, dostaje automatycznie ustawienia swojego profilu w serwerze poczty i pracy grupowej
Exchange. To kolejny krok w kierunku automatyzacji procesów IT w organizacji.
Administrator może takie rozszerzenie włączyć. Zostanie ono pobra-
ne i automatycznie zainstalowane w całej hierarchii System Center.
Dzięki temu wszystkie konsole System Center mają możliwość
zarządzania tym rozszerzeniem.
Blokowanie ekranu logowania to ciekawa funkcjonalność Windows
Intune, z której warto skorzystać, gdy opuścimy biuro, zapomina-
jąc jednocześnie zabrać ze sobą swój telefon lub tablet. To także
sposób na ochronę dostępu danych i aplikacji zapisanych w urzą-
dzeniu, kiedy zostanie ono zgubione. Warto o tym pomyśleć, jeśli
nie chcemy uznać takiego urządzenia jako utracone lub skradzio-
ne, a w następstwie pozbawić go wszystkich danych i odłączyć od
sieci firmowej. Istnieje bowiem realna szansa, że jest ono
w kieszeni kurtki, która wisi na wieszaku w szatni. Blokowanie
ekranu logowania pozwala na zabezpieczenie tego urządzenia
przez kolejne kilkanaście czy kilkadziesiąt minut, aż (miejmy na-
dzieję) zostanie odnalezione.
Aktualizacje
rozszerzeń
Blokowanie
ekranu
logowania
Spotkanie szóste:
Zarządzanie
W tym miejscu warto zauważyć, że usługa Windows Intune jest aktywnie rozwijana przez Microsoft,
a nowe funkcjonalności udostępniane są bardzo często. Aby nadążyć za tymi zmianami, w System
Center Configuration Manager w wersji 2012 R2 znajdziemy mechanizm Dostępne rozszerzenia.
Informacja o nowych rozszerzeniach w usłudze Windows Intune pobierana jest bezpośrednio do
konsoli zarządzania Configuration Managera.

11.
W kolejnej części webinarium spróbujmy porozmawiać o ustawie-
niach, jakie można wprowadzić na różnego rodzaju urządzeniach
mobilnych. Oczywistym jest, że dla każdej platformy ustawienia te
będą inne, a różnice między nimi są wyraźnie widoczne. Wynika to
z faktu, że platformy mobilne dynamicznie ewoluują i praktycznie co
kwartał wprowadzane są w nich nowe funkcjonalności.
Z poziomu Configuration Managera w wersji 2012 R2 mamy możli-
wość konfigurowania coraz to nowych rzeczy np. profili VPN, profili
dla sieci Wi-Fi oraz poczty Exchange. Konsola zarządzania pozwa-
la dostarczać na urządzenia mobilne także certyfikaty cyfrowe,
co umożliwia wdrażanie na nich np. dodatkowych mechanizmów
uwierzytelniania.
Wymuszanie
ustawień
Obsługa
profili
urządzeń
Jak to wygląda w praktyce? Logujemy się do portalu Windows Intune, z poziomu którego mamy
możliwość zarządzania swoimi urządzeniami. Jedną z opcji zarządzania jest blokowania telefonu.
W przypadku urządzenia z systemem Windows 8 RT, wchodzimy do portalu Intune, wybieramy Zdal-
ne blokowanie i zatwierdzamy wykonanie operacji. Po kilku chwilach blokada powinna być aktywna.
Funkcja blokowanie ekranu logowania pozwala czasowo zabezpieczyć urządzenie przed dostępem
do niego osób trzecich, bez konieczności kasowania z niego danych i aplikacji, choć oczywiście ta
opcja jest także dostępna. W tym kontekście warto zauważyć, że mechanizm ten działa, niezależ-
nie od tego jak „głęboko” w strukturze sieci działa dane urządzenie. To smartfon lub tablet inicjuje
połączenie do usługi Windows Intune, a nie na odwrót.
W kwestii dostarczania ustawień zwróćmy na dwie najważniejsze opcje. Pierwsza to możliwość
wpływania na bezpieczeństwo urządzeń. Z poziomu platformy zarządzania możemy np. wymusić
stosowanie polityki haseł przedsiębiorstwa. To bardzo cenna funkcja, w szczególności jeśli na urzą-
dzeniach przechowywane są ważne dane firmowe.
Zwróćmy także uwagę na fakt, że niektóre z tych ustawień są specyficzne dla poszczególnych syste-
mów. Przykładowo, system iOS wykorzystuje mechanizmy chmury, ale są to ustawienia ściśle zwią-
zane z chmurą Apple’a. Użytkownik ma co prawda możliwość kopiowania danych do chmury Apple.
W przypadku Windows Intune mamy możliwość zarządzania tym w sposób prosty i zgodny
z polityką zabezpieczeń firmy. Nie są to więc funkcje zaszyte w systemie operacyjnym telefonu,
ale realizowane przez aplikację zainstalowaną na urządzeniu mobilnym.
Podobnie jak w przypadku Windows Intune, Configuration Manager umożliwia dostarczanie usta-
wień dla różnych platform sprzętowo-systemowych. Windows Intune oraz SCCM pozwalają na
wdrażanie polityk zarządzania rozwiązaniami mobilnymi przez Exchange Active Sync także dla
tych urządzeń, które nie są bezpośrednio obsługiwane przez agenta usługi. Jest to o tyle przydatna
Spotkanie szóste:
Zarządzanie

W kolejnym przykładzie pokażemy przykład definiowania polityki
dla urządzeń w System Center. W konsoli Configuration Managera
widzimy kilka podłączonych urządzeń. Wskazujemy jedno z nich,
to z zainstalowanym systemem Windows 8, dla którego stworzymy
nową politykę dotyczącą złożoności hasła. Na etapie definiowania
polityki wskazujemy, że będzie ona dotyczyła urządzenia mobilnego.
Panel zarządzania pozwala na konfigurację dostępu do zasobów,
profili VPN oraz wielu innych rozwiązań. W Configuration Mana-
gerze R2 mamy możliwość tworzenia profili VPN obsługiwanych
w systemie Windows: L2TP, PTPT, SSTP oraz IKE oraz zarządzania
profilami dla technologii dostarczonych przez firmy trzecie: Cisco,
Juniper, Check Point, Dell, SonicWALL, F5.
Definiowanie
polityk
w SCCM
Profile
VPN
Dalej określamy grupę polityk (tutaj: passwords), włączamy politykę wymuszania haseł oraz usta-
wiamy, aby były to hasła o długości co najmniej ośmiu znaków. W tym miejscu włączymy także inną
ciekawą opcję, która spowoduje, że po przekroczeniu określonego limitu liczby błędnie wprowadzo-
nych haseł, urządzenie zostanie wyczyszczone. Administrator może wprowadzić wygasanie haseł
i zmusić niejako użytkowników do ich zmiany w regularnych odstępach czas. To bardzo często sto-
sowana polityka np. na komputerach stacjonarnych i laptopach, gdzie używane są konta domenowe.
Od teraz te same mechanizmy mogą być wdrażane na urządzeniach mobilnych.
Wróćmy do przykładu. Włączamy wsparcie dla urządzeń Windows Phone 8, konfigurujemy linię
bazową, czyli definicję grupowania reguł, a następnie wdrażamy ją w kolekcji z naszym urządze-
niem. W tym momencie należy poczekać na synchronizację Configuration Managera z usługą In-
tune. Proces ten możemy wymusić ręcznie. W klasycznym scenariuszu synchronizacja ta odbywa
się co 10 minut. Należy zwrócić uwagę, że czas potrzebny na pobranie polityki jest różny i zależy
od typu urządzenia.
Po odświeżeniu polityki zabezpieczeń na ekranie urządzenia mobilnego zobaczymy komunikat
o konieczności wprowadzenia nowego hasła. Wynika to z faktu, że hasło używane dotychczas jest
krótsze niż 8 znaków. Z tego samego poziomu od razu możemy takie hasło ustawić.
12.
Spotkanie szóste:
Zarządzanie
funkcja, że w użyciu nadal są telefony, dla których nie wydano natywnego agenta, ani innych roz-
wiązań zarządzania, a które mogą być obsługiwane właśnie przez Exchange Active Sync. W sieci
firmowej przedsiębiorstwa możemy więc mieć urządzenia zarządzane przez Exchange Active Sync,
Windows Intune oraz Configuration Managera, ale i wszystkie te technologie jednocześnie.
Oprogramowanie Microsoft może wymusić konieczność nawiązania połączenia VPN w określonych
sytuacjach. Tunel VPN może być inicjowany w przypadku próby dostępu do danego adresu DNS lub
użycia kontrolowanej aplikacji systemu Windows 8.1.

Z tego poziomu mamy także możliwość zarządzania profilami Wi-Fi
oraz certyfikatami cyfrowymi służącymi do uwierzytelniania i zabez-
pieczania dostępu do sieci bezprzewodowych. System zarządzania
pozwala w szybki sposób dostarczyć te informacje do urządzeń
mobilnych użytkowników.
Windows Intune pozwala zautomatyzować proces przyłączania
użytkowników do firmowej poczty elektronicznej. Gdy dodamy smart-
fon lub tablet z systemem Windows Phone 8 lub iOS do chmury, na
urządzeniu zostanie automatycznie skonfigurowana skrzynka e-mail
pracownika. Jest to ciekawe rozwiązanie dla różnego rodzaju współ-
pracowników, którzy przychodzą do naszej firmy np. na czas realizacji
projektu (miesiąc, kwartał). Proces przyłączania się, a później odłą-
czania od zasobów firmowych jest tutaj zautomatyzowany.
Zarządzanie
profilami
Wi-Fi
Zarządzanie
profilami
e-mail
Pracownik, który pracuje w różnych miejscach (lokalizacjach przedsiębiorstwa) nie musi pamiętać
o tym, aby w każdym z nich znaleźć sieć Wi-Fi, wprowadzić klucz i inne poświadczenia domenowe,
tylko po to aby podłączyć się do sieci firmowej i internetu. Dzięki scentralizowanym narzędziom do
zarządzania urządzeniami mobilnymi proces ten może zostać zautomatyzowany.
13.
Spotkanie szóste:
Zarządzanie
Innymi słowy, administrator ma możliwość pełnego zarządzania regułami połączeń VPN. Bezpiecz-
ny tunel może być zestawiany np. na potrzeby połączenia tylko z jedną, wybraną aplikacją. Cały ten
proces jest przezroczysty dla użytkowników, którzy nie muszą mieć świadomości jak działa i do
czego służy technologia VPN.
Pracownik otrzymuje dostęp do dobrze sobie znanej aplikacji, czy też pulpitu zdalnego, bez
zagłębiania się w kwestie bezpieczeństwa oraz szczegóły technologiczne. Bezpieczne połącze-
nie zostanie ustanowione automatycznie. Należy wziąć również pod uwagę fakt, że nie wszystkie
aplikacje mogą być udostępniane na zewnątrz. W tym przypadku VPN do sieci firmowej może być
jedynym rozwiązaniem.

W tym kontekście bardzo cenną funkcją systemu zarządzania urzą-
dzeniami mobilnymi jest możliwość usuwania danych z smartfonu
lub tabletu na odległość. Proces ten może zostać przeprowadzony
przez administratora, który sprawuje opiekę nad firmową siecią
i uruchamianymi w niej urządzeniami, ale także przez samego pra-
cownika po zalogowaniu się do portalu zarządzania.
Spróbujmy rozważyć jeszcze inny przypadek. Mamy grupę współ-
pracowników, którzy po zakończeniu projektu, kończą pracę na
rzecz naszej firmy. Co oczywiste, swoje prywatne urządzenia, za
pomocą których uzyskiwali dostęp do firmowych zasobów i aplika-
cji, zabierają ze sobą. W tej sytuacji telefon nie został skradziony,
a użytkownik nadal ma na nim swoje prywatne dane, wiadomości
e-mail, SMS i aplikacje oraz – aplikacje, dane firmowe oraz zaim-
plementowane polityki zabezpieczeń np. te związane ze złożonością
haseł. Co się dzieje z takim urządzeniem?
Pracownik, aby chronić swoje dane nie musi czekać, aż ktoś pojawi się w biurze i wykona tę
czynność za niego. Każdy świadomy użytkownik, może skorzystać z dowolnego telefonu, zalogo-
wać się do firmowego portalu i skasować dane z utraconego urządzenia. Zanim to zrobimy, warto
zastanowić się, czy telefon został rzeczywiście skradziony, czy też może tylko zgubiony i wystar-
czy go zablokować?
Zdalne
kasowanie
danych
Koniec
pracy
z projektem
W tym miejscu nasuwa się pytanie, co dzieje się z takim urządzeniem, jeśli zostanie ono skradzione?
Dla użytkownika oznacza to, że jego prywatna korespondencja, dokumenty, zdjęcia i inne materiały
zostaną utracone i ujawnione. To samo ryzyko dotyczy działów IT, z tą różnicą, że mówimy tutaj
o wiele istotniejszych danych, bowiem danych firmy.
14.
Spotkanie szóste:
Zarządzanie
W trakcie rozwoju swoich technologii i produktów Microsoft kładzie
istotny nacisk na kwestie związane z ochroną wrażliwych danych,
w tym danych osobowych. Bardzo często pracownicy przynoszą do
firmy komputery, na których mają zainstalowane własne aplikacje
oraz zapisane prywatne dane (zdjęcia, muzyka, wideo). W momen-
cie rejestracji urządzenia w sieci przedsiębiorstwa, administrator
wymusza instalację firmowych aplikacji oraz stosowanie polityk
zabezpieczeń obowiązujących w danej organizacji. Od tej chwili
użytkownik może rozpocząć pracę.
Ochrona
danych
osobowych

15.
Spotkanie szóste:
Zarządzanie
Każde urządzenie mobilne może zostać odłączone od zasobów firmowej sieci. Czynność ta może
zostać wykonana przez użytkownika lub administratora systemu. W obu przypadkach skutki tego są
identyczne. Z urządzenia kasowana jest tylko ta część zasobów i aplikacji, które są powiązane
z daną firmą. Wszystkie dane, aplikacje, ustawienia zabezpieczeń, profile połączeń zostają usunięte.
Pamiętajmy, że funkcja pełnego i selektywnego wymazywania nie działa na wszystkich platformach.
Pełne usuwanie danych można zrealizować na urządzeniach mobilnych, natomiast selektywne
odinstalowanie działa praktycznie wszędzie. Profile sieci, polityki zabezpieczeń, ustawienia i inne
wymagania zostają usunięte.
System zarządzania urządzeniami mobilnymi umożliwia wsparcie
pracowników, którzy korzystają z różnego rodzaju smartfonów
i tabletów, zarówno prywatnych, jak i służbowych. Z drugiej strony
świadomi użytkownicy ci mają kontrolę nad swoimi urządzeniami
i z całą pewnością będą z tej możliwości korzystali.
Na przykładzie dwóch scenariuszy pokażemy, jak w praktyce wyglą-
da oczyszczanie urządzeń na odległość. W pierwszym scenariuszu
zakładamy, że pracownik odchodzi z firmy, a służbowe dane z jego
prywatnego telefonu zostają usunięte przez administratora. Pra-
cownik działu IT, z poziomu konsoli Configuration Manager, odszu-
kuje urządzenie na liście zarządzanych obiektów, a następnie wyko-
nuje na nim funkcję Wipe. Czyszczenie może być przeprowadzone
całościowo lub selektywnie. W obu tych przypadkach dane zostaną
usunięte na odległość.
W drugim scenariuszu spróbujmy wyobrazić sobie szaleństwa so-
botniej nocy, w trakcie których użytkownik uświadamia sobie,
że jego urządzenie mobilne zostało skradzione. Nawet w tej, wyda-
wać by się mogło ekstremalnej sytuacji, zablokowanie i usunięcie
z niego danych jest możliwe. W tym celu musi pożyczyć on telefon
od znajomego, a następnie połączyć się z np. witryną Exchange
Active Sync, czyli swoją pocztą przez przeglądarkę internetową
(Outlook Web Access, OWA). Po zalogowaniu się do portalu OWA
może on zarządzać swoimi urządzeniami mobilnymi i z tego miej-
sca zrealizować czyszczenie takiego urządzenia oraz odłączenie go
z firmowej sieci.
Usuwanie
danych
i urządzeń
Usuwanie
danych:
rola admina
Usuwanie
danych:
rola pracownika

Jako cenną uwagę dodajmy, że z poziomu platformy zarządzania na
urządzeniach Windows Phone możemy włączyć funkcje szyfrowania
za pomocą mechanizmu BitLocker. Wszystkie dane, które na nim
się znajdują są zaszyfrowane i niedostępne dla osób postronnych
aż do momentu włączenia telefonu i uwierzytelnienia się w nim.
Wprowadzenie opcji szyfrowania telefonu wraz z opcją wymuszania
polityki haseł gwarantuje naprawdę wysoki poziom bezpieczeństwa.
Na koniec spróbujmy zająć się tematem wsparcia dla pozostałych
platform przy wykorzystaniu System Center Configuration Manage-
ra. Rodzina Windows to w rzeczywistości cała gama systemów ope-
racyjnych – Windows Embeded dla urządzeń z systemami osadzo-
nymi, Windows CE, Windows Mobile, Windows Phone i Windows RT
dla urządzeń mobilnych, Windows Server dla serwerów i oczywiście
Windows dla komputerów stacjonarnych i laptopów.
Q: Czy możemy dostosować informację, która pojawia się na zablo-
kowanym urządzeniu, tak aby poinformować znalazcę, pod jakim
numerem można skontaktować się z jego właścicielem?
A: Windows Intune nie pozwala na przygotowanie takiego komunikatu.
Configuration Manager jest rozwiązaniem dostępnym na rynku od 20 lat. Początek tego produktu
przypada na rok 1994 czwarty. Wówczas aplikacja sprzedawana była pod nazwą Systems Manage-
ment Server (SMS).
Configuration Manager zapewnia także wsparcie dla platform Linux/UNIX. Lista oficjalnie wspiera-
nych dystrybucji jest dość długa. Warto jednak pamiętać, że nawet jeśli takiej wersji systemu Linux
nie ma na tej liście, istnieje duża szansa, że agent usługi Configuration Manager będzie działał
poprawnie i możemy zarządzać takim serwerem.
Kolejnym w pełni wspieranym systemem jest OS X (wcześniejsza nazwa Mac OS X). Obsługiwana
jest także jego najnowsza wersja 10.9 Mavericks. Wsparcie to realizowane jest w dość szerokim
zakresie m.in. wdrażania aplikacji oraz inwentaryzacji urządzeń.
Szyfrowanie
zawartości
urządzeń
mobilnych
SCCM:
obsługiwane
platformy
Pytanie 1.
Blokowanie
ekranu
16.
Spotkanie szóste:
Zarządzanie

Q: W trakcie seminarium pokazywaliście ekran logowania.
Czy w tym przypadku mieliśmy logowanie do Active Directory,
czy innej usługi Windows Intune?
A: Windows Intune jest usługą chmurową, tak jak Office 365 lub
Windows Azure. W każdej takiej usłudze można tworzyć samo-
dzielne konta użytkowników. W 99% przypadków, jeśli usługę
chmurową mamy połączoną z lokalnym środowiskiem Active
Directory, uwierzytelnianie odbywa się w usłudze katalogowej.
Nazwy użytkowników i hasła są synchronizowane między Active
Directory i chmurą. W tym zakresie mamy pełną dowolność.
Pytanie 2.
Uwierzytelnianie
użytkowników
w Active
Directory
Jeśli nie mamy lokalnej infrastruktury IT w firmie możemy korzystać wyłącznie z usług Windows
Azure Active Directory uruchamianych w chmurze. W przypadku Windows Intune oraz Office 365
używamy tych samych kont użytkowników. Windows Azure Active Directory Premium istotnie roz-
szerza funkcjonalność podstawowej usługi z możliwością rozbudowania systemu o mechanizmy
zarządzania dostępem do dokumentów Windows Rights Management Services (RMS).
17.
Q: Czy funkcje zdalnego zarządzania urządzeniami mobilnymi obej-
mują także monitorowanie pozycji przez GPS?
A: Nie, i jest to całkiem świadome podejście do tego tematu.
W tym kontekście należy założyć, że telefon należy do użytkownika
i śledzenie jego pozycji naruszałoby jego prywatność. Nie śledzimy
także informacji o połączeniach telefonicznych, SMS-ach itd. Użyt-
kownicy korzystający z usług Live ID mogą samodzielnie sprawdzić,
gdzie ten telefon się znajduje.
Pytanie 3.
GPS na
urządzeniach
mobilnych
Spotkanie szóste:
Zarządzanie

Zarządzanie urządzeniami mobilnymi - transkrypcja webinarium

More Related Content

Viewers also liked

Similar to Zarządzanie urządzeniami mobilnymi - transkrypcja webinarium

More from Jarek Sokolnicki

Zarządzanie urządzeniami mobilnymi - transkrypcja webinarium