На сегодняшний день существует множество способов управления вашими устройствами с операционной системой Windows. Однако, некоторые из них предполагают прямое подключение к вашим удалённым компьютерам. К примеру, если вам необходимо установить или обновить программное обеспечение удалённо, вы можете сделать это с помощью PowerShell и пакетного менеджера. И это абсолютно не проблема, если ваше управляющее устройство и удалённые компьютеры в одной сети. Или же если ваши удалённые компьютеры подключены к вашей приватной сети по средствам VPN, который в свою очередь настроен на централизованные сценарии.
В 2020 году многие компании перевели сотрудников на удалённую работу, за неимением подходящей инфраструктуры у тех, возникла проблема не только с безопасным доступом к ресурсам организации, но и с обновлением и управлением собственных удалённых устройств. Создание индивидуальных решений по средствам PowerShell и пакетных менеджеров, или любых других решений базирующихся на сценариях, может быть хорошим решением для маленьких организаций. Но это не всегда лучший вариант, особенно когда речь идёт о масштабирование сложных управленческих сервис решений и при этом когда у вас большая IT команда со смешанными навыками.
Новое имя и упрощённое лицензирование
Во время проведения Microsoft Ignite в сентябре 2020 года, Microsoft запустили Microsoft Endpoint Manager (MEM). MEM — является новым брендом для системного конфигурирования продуктов корпоративного сегмента. Идея заключается в том, чтобы взять Intune, Microsoft Mobile Device Management (MDM) решение, и SCCM (сейчас Microsoft Endpoint Configuration Manager), и как бы донести клиентам по названию одного из продуктов, что компания не собирается останавливать поддержку SCCM. Это даcт возможность организациям, которые имели SCCM внести их рабочие станции с ОС Windows и Intune в облачный сервис MEM без дополнительных лицензий.
Не только лицензирование и брендинг были упрощены, но более того, Microsoft планирует интегрировать опыт управления Intune и MECM. Вначале 2020, Microsoft уже добавили облачный интеллект к некоторым функциям управления ПК, чтобы использовать данные и аналитику, собранную из облака. А интеграция между Intune и MECM становится все ближе с каждым новым выпуском.
Совместное управление клиентами конфигурационного менеджера через интернет
Cloud Management Gateway (CGM), далеко не новая функция, позволяющая организациям управлять клиентами конфигурационного менеджера через интернет без каких-либо VPN решений. Конфигурационный менеджер первоначально был разработан для управления устройствами подключенными к корпоративной приватной сети. Но поскольку всё больше и больше сотрудников переходили на удалённый режим работы, Microsoft пришли к выводу, что необходимо расширить возможности конфигурационного менеджера и добавить удалённое управление устройствами.
Cloud Management Gateway развернут в Azure облаке и управляет устройствами с ОС Windows, которые входят в Windows Server Active Directory (AD) домен. Устройства вступившие в Windows Server AD используют сертификаты, чтобы безопасно подключатся к основному шлюзу. Вступившие устройства с ОС Windows 10, или вступившие гибриды в Azure AD не нуждаются в публичном ключе (public key infrastructure — PKI) или сертификате для подключения к CMG.
CMG, может выполнять следующие функции на рабочих станциях:
- Обновление ПО и защита самой рабочей станции
- Проведение инвентаризации и отслеживание статуса клиента
- Настройки набора средств обеспечения
- Распределение ПО конечному устройству
- Обновление последовательных задач Windows 10
Вдобавок, организации могут распределять ПО клиентам с Windows 10, которые входят в домен Azure AD. CMG не требует предоставления никаких дополнительных инфраструктурных единиц (on-premises infrastructre) со стороны организации либо выдачу уже существующих через интернет.
Клиент менеджмент через интернет
Организации, которые не хотят полагаться на Microsoft CMG сервис могут использовать вместо него через интернет, клиент менеджмент (IBCM). Для этого необходимо развернуть веб систему серверов, которая будет коммуницировать с удалёнными клиентами напрямую через интернет. IBCM требует дополнительных инвестиций в инфраструктуру, в такую, к примеру, как PKI инфраструктура, которая обеспечивает безопасное шифрованное подключений с помощью сертификатов.
Облачное управление через Microsoft Intune
В конце концов, организации могут использовать MDM для управления собственных удалённых устройств через Intune. MDM не требует дополнительных инфраструктурных единиц. Intune входит в состав некоторых Microsoft 365 подписок, он лицензирован, как часть Microsoft Endpoint Manager только для устройств с ОС Windows и также может быть приобретён отдельно.
Аналитик политик Intune (Intune’s Policy Analyzer), который сейчас в предварительном доступе, помогает организациям удалять настройки групповых политик (Group Policy settings), которые могли бы быть перенесены в MDM. Удаление ненужных настроек групповых политик помогает сократить зависимость от собственной инфраструктуры для устройства управления и призвано улучшить производительность входа в систему.
Microsoft не планирует убирать конфигурационный менеджер
Microsoft не планирует убирать конфигурационный менеджер, однако более предпочтительно использовать сервис Intune для управления вашими устройствами. Если вы небольшая организация, Intune — наиболее простое решение с имеющимся упрощенным управлением, Intune не требует сложных собственных инфраструктурных решений.
Microsoft Intune, или другой MDM сервис, хорошая стартовая точка для удалённого управления, если вы ищете инструмент для управления удалёнными рабочими станциями и не имеете готового продукта. Индивидуальные решения, как PowerShell, всё же вынуждают вас иметь некую инфраструктурную связывающую сеть для вашего управляющего устройства и рабочих станций. В то время, как Intune более простое, выгодное и менее затратное решение.