Proč chtít Microsoft Endpoint Manager
Co to vlastně je ten Microsoft Endpoint Manager?
Microsoft Endpoint Manager (MEM) v sobě integruje hned několik nástrojů, služeb a benefitů.
Je to změna názvosloví pro Microsoft System Center Configuration Manager (SCCM) a Microsoft Intune, včetně některých souvisejících služeb jako Autopilot, co-management a Desktop Analytics. Všechny výše zmíněné služby dnes spadají pod Microsoft Endpoint Manager.
Zahrnuje i novou webovou konzoli, která dovoluje správu zařízení a uživatelů cloudového i on-premises světa na jednom místě. Plný název je Microsoft Endpoint Manager Admin Center a naleznete jej na tomto odkazu: https://endpoint.microsoft.com/. Tato konzole nahrazuje původní Microsoft 365 Device Management Admin Center (DMAC), nebo jeho integraci v Azure portálu.
A jsou to také nové licenční podmínky. Zákazníci stávajícího Configuration Managera získávají právo používat Microsoft Intune, a jsou tak schopni propojit své lokální prostředí s tím cloudovým pomocí co-managementu. Toto se však týká pouze Windows 10 zařízení, pro jiná zařízení, např. mobilní telefony, je stále nutná Intune licence.
Configuration Manager je, troufnu si říct, stále nejlepší možností, jak jednoduše a komplexně spravovat lokální uživatelskou IT infrastrukturu na platformě Microsoft. Pomocí Configuration Manageru jsme schopni řídit celý životní cyklus koncového bodu, od jeho instalace pomocí Task Sekvence, přes správu politik, aplikací, aktualizací, kontroly souladu s firemními baselines, až po jeho bezpečnost.
Řada našich zákazníků používajících Configuration Manager, se kterými jsem měl možnost probírat rozvoj správy koncových bodů, vyjadřovala obavy, co vlastně s tímto nástrojem bude po stále masivnějším rozvoji Microsoft Intune, zda nakonec o Configuration Manager nepřijdou. Dle mého názoru se zde Microsoft vydal správnou cestou, když se rozhodl propojit tyto dva produkty v jeden, a to v Microsoft Endpoint Manager. Myslím si, že tímto řadu svých zákazníků uklidnil a vyslal jasnou správu, že s on-premise SCCM počítá i do budoucna. Poskytne tak zákazníkům dostatek času na postupný a nenucený přechod do cloudového prostředí.
Jak tedy těžit z Microsoft Endpoint Manageru již dnes?
Nejčastější variantou je integrace obou světů přes co-management, tedy skutečného propojení lokální infrastruktury s tou cloudovou a naopak.
Co-Management
Zdroj: Microsoft
Toto řešení, které Microsoft představil již několik let zpátky, umožňuje správu stanic z obou světů, jak z on-premises, tak z toho cloudového. To, která autorita (Configuration Manager, nebo Intune) bude správu zabezpečovat, definují tzv. workloads a naleznete je v Configuration Manager konzoli. V době psaní tohoto článku byly k dispozici tyto workloads:
- Compliance policies
- Device Configuration
- Endpoint protection
- Resource access policies
- Client apps
- Office Click-to-Run apps
- Windows Update policie
Z obrázku je tedy patrné, že antivirová kontrola bude řízena Intune politikou, zatímco například Windows aktualizace bude řídit Configuration Manager. Toto nastavení můžeme podle potřeby kdykoliv měnit.
Cloud Management Gateway (CMG)
Cloud Management Gateway je další cloudová služba, kterou lze doplnit MEM, pakliže chcete spravovat mobilní zařízení typu Windows, které nekontrolovatelně opouští bezpečí vaší lokální sítě. Spravované zařízení má na sobě instalovaného Configuration Manager klienta a dokáže tak komunikovat s management pointem, i když je v internetu. CMG je instalován v Microsoft Azure jakožto virtuální site server. Tento server pak dělá jakýsi most mezi lokálním Configuration Manager serverem a klientem. Tímto způsobem je možné koncovou stanici plnohodnotně řídit – instalovat aplikace, řídit aktualizace, či nasazovat bezpečnostní politiky. Tímto způsobem však nejsme schopni nasazovat operační systém. V případě potřeby je možné opět přepnout koncovou stanici pod správu Intune.
Zdroj: Microsoft
Autopilot
Jednou z velkých výhod, při přechodu z klasické na moderní správu koncového bodu, je jednoduché nasazení operačního systému. Doposud byla tato možnost vyčleněna pro Configuration Manager, nebo Microsoft Deployment Toolkit a koncová stanice musela být na lokální síti spolu s WDS serverem. Co ale dělat, pokud se naše zařízení pohybuje v internetu a nemá přístup k lokální síti, nebo se jedná o nově nakoupené zařízení od vendora někde na druhém konci světa? Zde přichází ke slovu, dle mého názoru velmi užitečná služba, Microsoft Autopilot. Tato služba umožňuje snadno nasazovat, resetovat operační systém, a navíc nevyžaduje obsluhu IT oddělení.
Jak to funguje:
Ze stanice musíme prvně získat hardware hash, který je nutné importovat do našeho tenantu. Tato služba, kterou dnes poskytuje celá řada vendorů, při nákupu stanice automaticky přiřadí hardware hash počítače k tenantovi zákazníka. Koncovému uživateli poté přijde např. notebook přímo od prodejce, aniž by jej před tím připravilo lokální IT. Při zapnutí počítač pozná, že patří pod příslušnou MDM autoritu, enroluje se do Intunu a nakonfiguruje se dle přednastavené konfigurace z Microsoft Intune. V případě, že stanice přechází pod nového zaměstnance, je možné vynutit reset stanice a připravit ji tak pro nového uživatele, opět bez zásahu IT oddělení, a to vše jedním kliknutím.
Zdroj: Microsoft
Desktop Analytics
Dle mého názoru trochu podceňovaná služba, která vám však dokáže efektivně pomoci při nasazování aktualizací Windows 10 a MS Office. Desktop Analytics vychází z Windows Analytics, tato služba se velmi osvědčila například v období přechodu z Windows 7 na Windows 10. Desktop Analytics kombinuje data z vaší organizace s daty sesbíranými z milionů jiných zařízení, díky tomu dokáže vyhodnocovat rizika, která jsou s přechodem na nové verze Windows spojena, a dá vám tak informace o případných nekompatibilitách aplikací, driverů a podobně s dostatečným předstihem.
Nový Microsoft Endpoint Manager vám dá samozřejmě mnohem víc než výše popsané funkcionality, a to především na poli bezpečnosti. Například integrace s Microsoft Bitlocker Administration and Monitoring (MBAM) vám pomůže se správou šifrovaných disků. Propojení se světem cloudu dále otevírá cestu k opravdu silné ochraně koncové stanice prostřednictvím Microsoft Defender Advanced Threat Ptotection (ATP). O těchto a dalších zajímavých možnostech jak jednoduše a efektivně spravovat koncové body si řekneme v některém z dalších článků.
Sdílej v médiích