B EMUTATKOZIK
A
W IND OWS I NTUNE 2011
A Windows Intune a Microsoft - felhő alapú - kliens felügyeleti eszköze 2011. március 23-a óta élesben is működik, 40 különböző országban. Mielőtt rátérnénk a címben említett új változat ismertetésére röviden foglaljuk össze az első változat technikai jellemzőit: - Webalapú, Silverlighttal működő megoldás felügyeleti konzol és egy kliensoldali csomag ötvözete. - Windows XP SP3, Vista/Windows 7 operációs rendszerekkel működik együtt, a kiszolgáló változatokkal viszont nem. - Tartalmaz egy alapszintű, de proaktív gépfiók felügyeletet, minimális számú házirend szabályokat, a WSUS frissítési képességet, szoftver és hardver leltárt, egy teljes értékű malware (vírus+spyware+rootkit) szoftvert 1 illetve egy Remote Assistance (Easy Assist néven) a teljes távvezérléshez. - Felépítés, struktúra: a kliensek bárhol lehetnek, bent az irodában, a telephelyen, vagy akár mozgásban (pl. egy notebook), a felügyelethez pedig csak Internet elérés szükséges. - Az üzemeltetés 95% a webes felületen történik, 5% a kliens gépen (igazából a felhasználó beavatkozása csak a vezérlés átvétele apropóján szükséges). Az első változat alapos megismeréséhez a magyar nyelvű Intune weboldalon található leírásokat és kis videókat (screncast-ok) ajánljuk: http://www.technetklub.hu/intune Viszont ebben a cikkben - a Microsoftot követve - továbblépünk, és a 2011. október 17-én debütált Windows Intune 2011 változat újdonságait fogjuk bemutatni 2 , a következő témakörök alapján: - Szoftvertelepítés - A frissítés kezelés változásai - Távoli feladatok - Nyelvi változások, kezelési újdonságok - A licence kezelés változásai - A jelentések és a riasztások újdonságai S ZO FT V E R TEL E PÍ TÉ S Az Intune frissítés talán legjelentősebb változása a különböző szoftvercsomagok központilag indított kliens oldali telepítésének lehetősége. Ez a lehetőség magában hordozza az. exe, az .msi és az .msp csomagok távoli installálását, beleértve a nem Microsoft szoftverek, azaz az ún. 3rd party alkalmazások kliensekre történő A Forefront Endpoint Protection 2010 egy speciális változatát. Értelemszerűen a 2011 júliusában elindult publikus béta verzióval szerzett tapasztalatok alapján. 1 2
~1~
szétszórását is. Ez a megoldás természetesen igényli a telepítőcsomagok központi tárolását is, amely a Windows Azure storage segítségével oldhatunk meg (a béta változatban ehhez 2 GB-nyi kapacitásunk volt, amely bővítése is megoldható). A telepítés két fázisból áll, elsőként a megismételt hitelesítés után egy részletes varázsló segítségével publikáljuk az alkalmazást, azaz ki kell választanunk az az adott szoftver3 a gépünk valamely háttértárolójáról, meg kell adnunk az alapszintű szoftver információkat 4 , definiálnunk kell az előzetes szabályokat például a telepítendő platformmal vagy a támogatott operációs rendszerre(kke)l kapcsolatban, de sor kerülhet a telepítés paramétereinek megadására is (pl. csendes telepítés). A varázsló utolsó lépéseként a titkosítás, a tömörítés és a csomag feltöltése történik majd meg.
T ELEPÍTÉSI
FELTÉTELEK KIVÁLASZTÁSA
Ha a csomag felkerült, akkor egy egyszerűbb lépéssel zárjuk a folyamatot, azaz konkrétan ki kell választanunk a cél gépeket/gépcsoportokat és azt is, hogy mikor történjen a telepítés.
3 4
És esetleg vele együtt egy mappa tartalmát is! De csak ha nem .msi csomagot választunk.
~2~
A
SZOFTVERTELEPÍTÉS IDŐZÍTÉSE
Ha a szoftvert az utóbbi megoldással publikáltuk, akkor megjelenik a telepített alkalmazások között, ahonnan például újra, más gépekre is telepíthetjük. A telepítés a következő kliens kontaktus után (ha nem kértük, hogy időzítve működjön) elindul és a sikerről, vagy a problémákról is értesülhetünk a „Felügyelt szoftverek” menüpont alatt, ahol az összes csomag állapotát is ellenőrizhetjük. A FR I S S Í T ÉS K E ZE L É S VÁ L TO ZÁ S AI Az előző képességből egyenesen következik, hogy a telepített alkalmazások frissíthetőek is, szervizcsomagok, kritikus, biztonsági vagy kumulatív csomagok formájában és persze természetesen a külső alkalmazások is. Ehhez a „Frissítések” elágazásban a „Nem Microsoft-frissítések” pontot kiválasztva egy újabb varázsló segítségével kapjuk meg a lehetőséget. Itt is a feltöltés az első lépcsőfok, ugyancsak az Azure storage-ba, de itt még több körülményt definiálhatunk, olyanokat is, mint pl. az ún. észlelési szabályok (azaz, hogy „fent van-e” a frissítendő szoftver a kliensen, amit egy jellemző fájl, MSI termékkód vagy egy passzoló registry kulcs segítségével ellenőrizhet a telepítő), vagy például a visszatérési kódok értelmezése. A második fázis itt is a frissítés publikálása/jóváhagyása lesz, ugyanazon séma alapján, mint a szoftverfrissítéseknél.
~3~
R ÉSZLETES
A T ÁV O L I
KONFIGURÁLÁ SI LEHETŐSÉGEK A FRISSÍTÉSEKNÉL
FEL A D AT O K
A
HELYI MENÜBŐL IS VÁLASZTHATUNK TÁVOLI FELADATOT
Nagyon sokszor a beépített távvezérlési lehetőség (Easy Assist) vagy a felhasználó interaktív segítsége nélkül is szükség lenne különböző kliens oldali műveletek elvégzésére.
~4~
Ehhez az Intune új verziójában egy új képességet, a „Távoli feladatok” (Remote Tasks) lehetőséget használhatjuk. Ezt a legegyszerűbben a „Számítógépek” menüpontban érhetjük el, akár egy akár több számítógép esetén egyaránt. Négyféle feladatunk lehet, amelyből három a malware védelemhez kapcsolódik (gyors és teljes ellenőrzés, valamint a definíciós adatbázis frissítése) illetve rendelkezésre áll a kliens újraindítási feladat is. Ez utóbbi egy 15 perces késleltetéssel működik, amelyről a felhasználó is értesítést kap.
A
MÁR LEFUTOTT FELADATOK LISTÁJA
A feladatok végrehajtása a bekapcsolt gépek esetén elvileg azonnal indul, a többi esetben tárolódik. Ezeket illetve az előző képen is látható már végrehajtott feladatokat a konzol jobb alsó sarkában található hivatkozás (Távoli feladatok) alatt érhetjük el. N Y EL V I VÁL TO Z ÁS O K , K EZ EL ÉS I Ú J DO N S Á GO K Mint ahogy az eddig képernyőképekből is kiderült, az új Intune-ban bővült a konzol működési nyelvének kiválasztási lehetősége, többek között például a magyarral is. Ezt a béta tapasztalataim alapján a szolgáltatás regisztrációjakor kérhetjük, de persze később is megváltoztathatjuk. Ide tartozik még, hogy ezentúl már 70 országban is elérhetőek az Intune szolgáltatásai. Talán ugyanilyen fontos, hogy megjelentek a helyi menük is, azaz a jobb gombbal mindig elérhetjük az aktuálisan végrehajtható műveleteket is (nézzük meg pl. az eggyel előbbi Távoli feladatok képernyőképet), illetve a drag-and-drop is működik a
~5~
felületen, például a számítógépek csoportba helyezésénél. Adott esetben fontos lehet, hogy a van lehetőség a nézetek testre szabására, valamint az oszlopok optimális, egy képernyőnyi területre „beszorítására” is. Egy további fontos, a kezeléssel összefüggő változás az, hogy a szolgáltatás rendszergazdák mellett van lehetőségünk a „read-only” azaz a csak olvasási joggal rendelkező rendszergazdák felvételére is. Az „Adminisztráció” menüben a szokásos helyen, a Rendszergazdák kezelésénél, egy új Live fiók hozzáadásánál kérhetjük ezt az opciót, ami a konzol minden pontjának megtekintését megengedi, anélkül, hogy bármilyen ponton változtathatna az ebbe a csoportba tartozó fiók tulajdonosa.
A
CSAK OLVASÁSI HOZZÁFÉRÉS KIJELÖLÉSE
Az Intune 2011 telepítőcsomagjának előtelepítését is elvégezhetjük, így ha esetleg a kliens csomag telepítésekor éppen nincs internet kapcsolat (mert pl. egy általunk készített lemezkép része a telepítő), akkor akár többszöri kapcsolat ellenőrzés is következhet, és csak a legelső sikeres kapcsolódás után történik meg - persze automatikusan - a kliens oldali regisztráció. A L I C E N C E K E Z EL É S V ÁL T O ZÁ S A I A licence kezelés lehetőségei is kibővültek, a Microsoft Volume Licensing, a Microsoft Retail és OEM licencek mellett külső licenceket is felvehetünk az adatbázisba. Ehhez csak a licence-re vonatkozó alapadatokat (név, kiadó, darabszám, stb.) kell megadnunk, és ezek után akár a szoftverleltár eredményeivel is összevethetjük az adatbázisunk tartalmát.
~6~
K ÜLSŐ
SZOFTVERLICENCE HOZZÁADÁSA
A J EL E N TÉ S E K É S A RI A S Z TÁ S O K Ú J DO N S ÁG AI Rengeteg új szűrő került bevezetésre (többek között a hardvergyártó, váztípus, elérhető lemezterület, fizikai memória mérete, CPU sebesség, stb.), illetve készíthetünk olyan jelentéseket is, amelyekben ezeket a szűrőket aktívan használjuk. Példának okáért egyszerűen kreálhatunk egy olyan jelentést, amelyben azokat a klienseket szeretnénk látni, amelyek Windows 7 operációs rendszert futtatnak, 10% alatti a HDD kapacitásuk és mondjuk 4 GB RAM-mal rendelkeznek (lásd következő kép). Ha egy ilyen jelentéskérést elindítunk, a végeredményt kinyomtathatjuk, vagy exportálhatjuk a szokásos. csv formátumba is.
~7~
A
HARDVERLELTÁR JELENTÉS TESTRE SZABÁSA
A konfigurálható riasztásokkal a „zaj”, azaz a túlságosan sok jelzés mennyisége csökkenthető. Van rá lehetőségünk, hogy a riasztások küszöbértékeit megváltoztatva (pl. elérhető lemezterület), adott esetben ne kapjuk meg a számunkra ismert helyzetről beszámoló értesítéséket.
Ö SSZEGZÉS A Windows Intune 2011 számos ponton és előnyére változott, a tapasztalataim szerint sok fontos és praktikus újdonság egyaránt elérhető az új verzióban, épp ezért próbáljuk ki, regisztráljunk az új változatra, amely - ahogy említettem a bevezetőben -, 2011. október 17-től elérhető el. 2011. október 15. Gál Tamás
[email protected] informatikai vezető, vezető tréner IQSOFT-John Bryce Oktatóközpont
~8~