Bez kategorii

Microsoft Intune – narzędzie do zarządzania urządzeniami mobilnymi. Wprowadzenie

6 grudnia, 2021 4
Podziel się:

Gdy w ubiegłym roku ogłoszono, że dotknęła nas globalna pandemia, wiele firm musiało zmierzyć się z nowym wyzwaniem, jakim jest umożliwienie pracownikom pracy zdalnej na dużą skalę, bez negatywnego wpływu na ich produktywność. Podczas gdy coraz większa liczba osób wybierała pracę z domu zamiast z biura, administratorzy IT dwoili się i troili, aby zapewnić ciągłość serwisów i nieprzerwane działanie systemów IT. Bezpieczny, zdalny dostęp do firmowych danych i aplikacji przestał być luksusem, a stał się koniecznością dla wielu przedsiębiorstw. Z pomocą dla firm przyszły serwisy pozwalające zdalnie zarządzać urządzeniami mobilnymi. Wciąż zyskują one na popularności. Jednym z wiodących rozwiązań w tej dziedzinie jest Microsoft Intune.

Czym jest Microsoft Intune i jak działa?

Microsoft Intune to serwis oparty na chmurze, który pozwala na zdalne zarządzanie urządzeniami mobilnymi (MDM – Mobile Device Management) i zdalne zarządzanie aplikacjami mobilnymi (MAM – Mobile Application Management). Jest jednym z głównych elementów kompleksowej metody pozwalającej na ujednolicone zarządzanie wieloma typami urządzeń (Android, iOS, Windows10) z jednego miejsca – Unified Endpoint Management. W pełni integruje się z usługami takimi jak: Azure Active Directory – zarządzanie tożsamością czy też Microsoft 365 (M365) – pakiet narzędzi i aplikacji biurowych (Word, Excel, PowerPoint, Outlook, Publisher, Access) oraz aplikacji, pozwalających na kolaborację (Teams OneDrive).

Dzięki Microsoft Intune można w pełni kontrolować sposób, w jaki używane są urządzenia firmowe takie jak telefony, tablety i laptopy oraz narzucić politykę bezpieczeństwa na zainstalowane na nich aplikacje, mające dostęp do wrażliwych danych. W efekcie, użytkownicy pozostają produktywni, uzyskując zdalny, bardziej elastyczny dostęp do potrzebnych zasobów na jednym lub wielu urządzeniach, a dane firmowe pozostają bezpieczne.

Przykłady zastosowania Microsoft Intune

Ryc. 1 Przykłady zastosowania Microsoft Intune

Intune a inne rozwiązania MDM

W mojej kilkuletniej pracy z narzędziami MDM, miałem możliwość zapoznania się z takimi rozwiązaniami jak:

  • MobileIron,
  • Workspace One (AirWatch),
  • SOTI MobiControl,
  • Xenmobie.

Każde z tych rozwiązań oferuje nam szereg konfiguracji, które znakomicie sprawdzają się dla urządzeń typu iOS/Android, ale bardzo słabo wypadają w zarządzaniu urządzeniami typu Windows 10 czy MacOS.

Ogromną zaletą Intune jest możliwość zarządzania wszystkimi z powyższych platform, a w niedalekiej przyszłości również urządzeniami typu Linux.

To nie koniec zalet. Dzięki pełnej integracji z platformą Azure i wykorzystaniu takich usług jak Azure Active Directory, Azure KeyVault czy Conditional Access, Intune wybija się na tle konkurencji i jest dla mnie najlepszym narzędziem tego typu na rynku.

Oczywiście, jak każde narzędzie, które ewoluuje, posiada wady i zalety. Zdarza się, że Microsoft wycofuje niektóre funkcjonalności, które uprzednio zostały wykorzystanie przez klientów, co powoduje zbędne zamieszanie, zmianę konfiguracji czy rozmowy z Microsoftem o jej przywróceniu. Przykładem jest wycofanie ekranu ESP (Enrollment status page) dla urządzeń z systemem Windows 10 LTSC wykorzystywanych w sklepach.

Jakie możliwości daje MS Intune?

  • Ustalanie zasad i polityk konfiguracyjnych dla szerokiej gamy urządzeń mobilnych, niezależnie od tego, czy są to urządzenia firmowe, czy prywatne. Oznacza to możliwość wdrożenia strategii BYOD, pozwalającej na kontrolowany i bezpieczny dostęp do zasobów firmowych, również z prywatnych urządzeń pracowników, w tym separację danych prywatnych i firmowych na urządzeniu.
  • Udostępnianie aplikacji firmowych na urządzenia mobilne, niezależnie od tego, czy znajdują się w sieci firmowej, prywatnej, czy publicznej. Możliwość udostępniania lub wymuszania instalacji aplikacji publicznych (Google Play, Apple AppStore, MS Store), aplikacji prywatnych (in-house) i aplikacji webowych (WebLink), blokowanie instalacji aplikacji z nieznanych źródeł.
  • Kontrola dostępu użytkowników i/lub urządzeń do danych firmowych. Możliwość kontrolowania dostępu do zasobów na podstawie grup przypisanych lub dynamicznych, możliwość ustalenia zasad pobierania i udostępniania danych firmowych.
  • Zapewnienie dostępu do danych firmowych wyłącznie dla urządzeń zgodnych z politykami bezpieczeństwa firmy (np. wymóg hasła na urządzeniu, szyfrowania danych, minimalnej wersja OS). Możliwość dynamicznego blokowania dostępu do firmowych danych i aplikacji dla urządzeń niezgodnych z wymogami bezpieczeństwa.

To tylko kilka z funkcji, które sprawiają, że MS Intune sprawdzi się zarówno w firmach, które nie mają MS Intune lub chcą rozbudować swoje narzędzie o nowe funkcjonalności.

Cykl życia urządzenia mobilnego

Cykl życia urządzenia mobilnego, to nic innego jak pełen okres, w którym urządzenie jest zarządzane przez MS Intune, można go podzielić na cztery główne fazy:

  1. Rejestracja urządzenia. Urządzenie zostaje włączone do zarządzania przez rozwiązanie MS Intune. Zależnie od potrzeb i rodzaju systemu operacyjnego urządzenia rejestrację można przeprowadzić w sposób manualny lub w pełni zautomatyzowany.
  2. Faza konfiguracji. Po zarejestrowaniu urządzenia w usłudze MS Intune otrzymuje ono natychmiast zestaw polityk bezpieczeństwa, profili konfiguracyjnych oraz aplikacji, które przewidziane są dla danego użytkownika. Mamy więc pewność, że nasze urządzenia są odpowiednio zabezpieczone oraz spełniają wymagania bezpieczeństwa firmy.
  3. Faza ochrony. MS Intune pozwala na ciągły monitoring zarządzanych urządzeń pod kątem zgodności z zasadami bezpieczeństwa firmy oraz automatyzację akcji, jakie zostaną wykonane, jeśli dane urządzenie stanie się niezgodne np. zablokowanie dostępu do aplikacji firmowych, powiadomienie działu IT.
  4. Faza końcowa. Gdy urządzenie ma zostać przekazane innemu pracownikowi, zostanie zgubione, skradzione lub nie jest już potrzebne, zależy nam, by chronić dostępne na nim dane przed niepowołanym dostępem. W takiej sytuacji MS Intune pozwala na zdalne usunięcie danych i aplikacji firmowych bez negatywnego wpływu na dane prywatne lub przywrócenie urządzenia do ustawień fabrycznych.

Dla kogo MS Intune?

Spójrzmy na kilka przykładów obrazujących, jak można wykorzystać narzędzia do zarządzania urządzeniami mobilnymi takie jak MS Intune w różnych branżach.

Opieka zdrowotna

Coraz większa liczba organizacji opieki zdrowotnej przechodzi na elektroniczne karty zdrowia, a korzystanie z urządzeń mobilnych jest aktualnie bardziej popularne, niż kiedykolwiek wcześniej w sektorze opieki zdrowotnej. Przechowywanie osobistych informacji zdrowotnych pacjentów na urządzeniach mobilnych niesie za sobą szereg wyzwań, takich jak ochrona wrażliwych danych przed wglądem osób niepowołanych czy też sprostanie normom prawnym. Rozwiązanie MDM może pomóc w spełnieniu standardów zgodności, zapewniając jednocześnie ochronę danych przed nieautoryzowanym dostępem.

Transport

W branży transportowej mobilność to podstawa, dlatego też wiele przedsiębiorstw z tego sektora decyduje się korzystać z zalet MDM. Rozwiązanie MDM umożliwia firmom śledzenie przesyłek i lokalizacji pojazdów, a także przechowywanie historii przebytych lokalizacji. Pomaga również zapobiec niewłaściwemu użyciu urządzenia i zapewnić maksymalną produktywność poprzez zablokowanie urządzeń firmowych w określonych aplikacjach i/lub ustawieniach.

Edukacja

Sektor edukacji coraz chętniej sięga po nowe technologie, które wspomagają nauczycieli i uczniów. Coraz więcej szkół przyjmuje metody nauczania oparte na tabletach oraz wprowadza nauczanie hybrydowe lub zdalne. Zarządzanie tymi urządzeniami jest niezbędne, aby zapewnić, że będą używane tylko do nauki. Szczegółowe ograniczenia pozwalają wyłączyć podstawowe funkcje urządzenia, takie jak kamera, a także ograniczyć dostęp do wybranych stron internetowych.

Sprzedaż

Dzięki rozwiązaniom takim jak digital signage, POS, kasy samoobsługowe czy skanery magazynowe, urządzenia mobilne znalazły swoją niszę w sektorze detalicznym. Niektóre przedsiębiorstwa z tej branży korzystają z urządzeń mobilnych stworzonych dla konkretnych potrzeb. Inne używają kombinacji wewnętrznych aplikacji i ustawień na bardziej standardowych urządzeniach, takich jak telefony i tablety. Za pomocą rozwiązania MDM można zarządzać zarówno wyspecjalizowanymi urządzeniami, takimi jak urządzenia typu rugged, jak i standardowymi urządzeniami mobilnymi, takimi jak smartfony.

Usługi

W usługach coraz więcej przedsiębiorstw stawia na elastyczny i wygodny dostęp pracowników do aplikacji i danych firmowych. Urządzenia mobilne, zwłaszcza urządzenia należące do pracowników, są używane częściej niż kiedykolwiek. Rozwiązanie MDM pomaga bezproblemowo zarządzać urządzeniami osobistymi (zarządzanie BYOD) i aplikacjami wewnętrznymi. Zapewniają jednocześnie, że spełniają one standardy bezpieczeństwa firmy.

Jakiej licencji potrzebuję, by zacząć korzystać z MS Intune?

Dostęp do usługi Microsoft Intune można pozyskać na jeden z trzech podstawowych sposobów jako:

  • Osobną usługę w subskrypcji Azure. W subskrypcji Azure intune może zostać wykupiony jako osobny dodatek. Opłata za subskrypcję naliczana jest za każdego użytkownika.
  • Część składową licencji Microsoft 365. Microsoft Intune jest dostępny dla każdego użytkownika, który posiada jedną z poniższych licencji M365:

o Business Premium,
o E3,
o E5,
o F3,
o Government.

  • Część usługi MDM dla Microsoft 365. Mobile Device Management for Microsoft 365/Basic Mobility and Security jest uproszczoną, podstawową wersją MS Intune dla każdego użytkownika z przypisanym planem M365.

Na koniec

Kolejne artykuły, poświęcone Microsoft Intune, zawierać będą informacje, opisujące tryby enrollmentu, możliwości konfiguracji oraz połączenia usługi Intune z innymi narzędziami. Należą do nich: App Store, Apple Businnes Manager, Managed Google Play, Microsoft Store for Business czy Team Viewer.

Aby bliżej poznać te możliwości, podzielimy je sobie na urządzenia mobilne typu telefony i stacje robocze:

  • Android, iOS,
  • Windows 10, MacOS, Linux.
Kategorie: Bez kategorii
Andrzej Majewski
Autor: Andrzej Majewski
W Sii odpowiada za budowanie i zarządzanie środowiskami MEM (Microsoft Endpoint Management), działania operacyjne oraz udzielanie bezpośredniego wsparcia klientom. Jego wiedza specjalistyczna obejmuje różnorodne narzędzia MDM w zakresie doradztwa technicznego E2E oraz usług rozwojowych i serwisowych. Prywatnie ojciec dwójki dzieci, z którymi uwielbia aktywnie spędzać czas.

    Imię i nazwisko (wymagane)

    Adres email (wymagane)

    Temat

    Treść wiadomości

    komentarze(4)

    avatar
    Maciek
    7 grudnia 2021 Odpowiedz

    Czy da się zmusić to narzędzie do korzystania z dwóch niezależnych kont?

      avatar
      Andrzej
      8 grudnia 2021 Odpowiedz

      Witam serdecznie. Czy mogę prosić o doprecyzowanie pytania? Czy mówimy tutaj o dwóch kontach dla różnych organizacji? Czy o dwóch kontach użytkownika na urządzeniu? Jeśli na urządzeniu, to czy mowa jest o urządzeniach z platformy iOS, Android, Windows czy MacOS. Pozdrawiam

        avatar
        Maciek
        8 grudnia 2021 Odpowiedz

        Chodzi o dwa konta dla dwóch różnych organizacji na jednym urządzeniu Android.
        Właśnie się dowiedziałem, że w Androidzie można ustawić drugą przestrzeń i tam wtedy ustawić drugie konto, problemem jest tylko przełączanie między nimi i powiadomienia.

    avatar
    Rafał
    4 lutego 2022 Odpowiedz

    Witam,
    Czy można publikować użytkownikom organizacji w przestrzeni "firmowej" aplikacje przygotowanych przez zewnętrznych dostawców bez weryfikacji Google Play Store? Pytanie dotyczy platformy Android.
    Pozdrawiam

    Zostaw komentarz