13.04.2022

 

Uus pilvelahendus Microsoft Endpoint Manager aitab ettevõtetel hõlpsasti hallata kasutajate seadmeid ning neis sisalduvaid rakendusi ja seadistusi. Datafoxi pilveteenuste arhitekt Mihhail Shumenkov annab ülevaate selle lihtsasti kasutusele võetava lahenduse peamistest funktsionaalsustest.

 

Microsoft Endpoint Manager koondab ühele platvormile erinevad tööriistad tööjaamade ja mobiilsete nutiseadmete seadistamiseks ning haldamiseks. Aadressilt https://endpoint.microsoft.com ligipääsetav pilvepõhine teenus on integreeritud Azure AD-d ning sisaldab Windows Autopilooti, analüütilisi abivahendeid, lõimumist maapealse Endpoint Configuration Manageriga ja teisi halduslahendusi.

 

Azure AD

Azure Active Directory (Azure AD) on pilveteenuste identiteedi- ja ligipääsuhalduse lahendus, mis on automaatselt liidestatud Microsoft Endpoint Manageriga. Lisaks seadmetele saab Azure AD-ga hallata ka kõiki Windowsi litsentse. Microsoft Endpoint Manager hõlmab ka profiilihaldust OneDrive’i vaates, kusjuures kergesti saab luua rändlusprofiile, nii et kasutajate kõik seadistused, start-menüü, pildid, töölaua elemendid jms on sünkroniseeritud pilve. See võimaldab kasutajatel alati jätkata tööd mistahes seadmes, millele ettevõte on oma IT-ressurssidele ligipääsu andnud. 

 

Lülitades sisse mobiilsete seadmete halduse (MDM) ja mobiilsete rakenduste halduse (MAM), on võimalik näiteks määrata, kas kasutaja saab suvalise seadme domeeni registreerida või mitte. Seejuures on võimalik rakendada tingimuslikku juurdepääsu ehk nutitelefon peab ettevõtte andmetele ligipääsemiseks vastama teatud reeglitele: näiteks seade ei tohi kasutusel olla ruuterina, püsimälu peab olema krüpteeritud ja viimased turvauuendused paigaldatud. Kahtlaselt seadmelt on võimalik nõuda ka mitmeastmelist autentimist (MFA). Täpsemalt saab Azure AD võimalustest lugeda Datafoxi blogist.

 

Microsoft Endpoint Manager võimaldab luua reeglid, kuidas seadmete domeeni registreerimine toimub. Windowsi seadmete puhul võib seda teha automaatselt, ent saab kasutada Windows Hello for Businessit ning nõuda biomeetrilist tuvastust või PIN-koodi, mis kehtib ainult konkreetses seadmes.

 

Windows Autopilot

Uute arvutite kasutuselevõtuks on mõistlik kasutada häälestusabilist Microsoft Windows Autopilot, mis muudab kogu protsessi oluliselt lihtsamaks ja kiiremaks. Lõppkasutaja logib uude arvutisse sisse ning Autopilot paigaldab automaatselt õige litsentsi versiooni ja tööks vajalikud programmid ning teeb kõik seadistused, kusjuures see lahendus töötab nii pilveteenuste kui ka hübriidteenuste osas. Administraator saab kasutada ka eeltarne (pre-provision) võimalust, mille korral laetakse rakendused ja seadistused uude arvutisse juba enne, kui see lõppkasutajani jõuab. Tänu sellele on uus arvuti kasutamiseks valmis juba 3-5 minutiga, vastasel juhul võib seadistamine aega võtta 20-25 minutit. Windows Autopiloti saab lähemalt lugeda Datafoxi blogist.

 

Apple ja Android

Apple’i seadmete puhul laetakse kõik rakendused alla App Store’st. Kui seade kuulub ettevõttele, on administraatoritel rohkem võimalusi selle haldamiseks. Kasutaja isikliku seadme puhul luuakse profiili eraldi workspace, kus hakatakse hoidma ettevõttega seotud andmeid. See on nagu eraldi mull, kust ei ole võimalik andmeid kopeerida ja kogu selle sisu on ettevõtte administraatoritel võimalik kustutada näiteks siis, kui inimene töölt lahkub. Automaatsete profiilide loomiseks kasutatakse lahendust Apple Business Manager, tänu millele saab töötajale anda juba kasutusalmis arvuti või nutiseadme.

 

Androidi seadmetega on olukord mõnevõrra keerulisem, kuna neil on rohkem viise seadme haldamiseks. Lisaks tavapärasele eristusele, et kas tegemist ettevõttele või töötajale kuuluva seadmega, saab haldamiseks kasutada ka Android Open Source Projecti, Android Device Administratori või Samsung Knoxi tööriistu. Eraldi on veel võimalus Android Enerprise Zero Touch uute seadmete tarnimiseks. N-ö puuteta tarnimine Zero Touch on võimalik ka Windowsi ja Apple seadmete puhul, kuid arvestada tuleb piiranguid seadmete arvu, tüübi ja platvormi osas.

 

Reeglid ligipääsu andmiseks

Seadmetele ligipääsu andmise osas on Endpoint Manageris ka valikud compliance ja configuration. Esimene neist lihtsalt kontrollib, kas seade vastab turbepoliitika reeglitele (näiteks kas kõvaketas on krüpteeritud), teisega on võimalik teha ka soovitud seadistusi. Selleks saab kasutada ettevalmistatud profiilimalle ühtekokku umbes 500 erineva seadistusvõimalusega või käivitada skripti mõne muutuse tegemiseks, kui seda mallides pole (näiteks registry-muudatused). Kolmanda võimalusena on saab luua poliitikakomplektid (policy sets), kus määratakse ära seadistused, mis on vajalikud teatud seadmetele, kasutajatele või gruppidele. Siis pole vaja luua eraldi complianceja configuration reegleid.

 

Eraldi reegleid võimaldab Endpoint Manager luua ka uuendustele. Näiteks saab nõuda kriitiliste paikade paigaldamist 7 päeva jooksul. Kui seda tehtud ei ole, saab kasutajale seda meelde tuletada ning meeletuletuse täitmata jätmise korral kas ligipääsu piirata või sunduslikult uuendus paigaldada.

 

Lisaks seadmetele hallatakse Endpoint Manageri kaudu ka rakendusi igale seadmele ja operatsioonisüsteemile, kusjuures toetatud on nii Microsofti, Apple’i kui ka Androidi rakendustelaod. On võimalik luua ka ettevõtte portaal, kus kasutaja saab ise lubatud rakendusi alla laadida. Windowsi rakenduste osas saab lisaks luua poliitikaid, mis hõlmavad kõiki Group Policy Objectsi võimalusi ehk sisuliselt kõiki näiteks Exceli või Wordi seadistusvalikuid (properties).

 

Turvalisusvalikud ja analüütika

Endpoint Manageri turvalisusvalikute all on Microsoft loonud hulga profiile, mille sisselülitamine on nende hinnangul mõistlik. Kuna reeglite ettevalmistamisel on töö juba ära tehtud, tasub need võimalused üle vaadata, olgu see siis Auto Play keelamine või midagi muud. Samuti saab luua reegleid Windows Defender Antiviruse (näiteks kui tihti arvutit skäneerida ja kas mälupulki kontrollida), kõvaketta krüpteerimise (toetab nii Windowsi kui Maci rakendusi), tulemüüri, kasutaja profiili ja äppide kaitsmise jne osas.

 

Raportite ja analüütika mooduli lihtsam vaade näitab, kui palju on reeglitele vastavaid seadmeid ning millised on nende seadistused, kasutusel olevad rakendused ja paigaldatud uuendused. Samas moodulis on võimalik sulgeda ligipääs reeglitele mittevastavatele seadmetele või need ära kustutada. Endpoint analytics on märksa detailsem, andes näiteks infot arvutite käivitusaja, sisselogimise, hanguvate ja probleemsete rakenduste jms kohta. Selle tulemusel moodustub tänane skoor ja ka soovitused, mida võiks teha olukorra parandamiseks. Need on väga mõistlikud, näiteks kui üks arvuti käivitub 50 sekundiga, kuid teised 15 sekundiga, võib probleemiks olla aeglane kõvaketas, mis tasuks ära vahetada. On võimalik ka proaktiivselt probleemidele reageerida, käivitades vajalikud skriptid.

 

 

 

Kui soovid rohkem infot Microsoft Endpoint Manageri võimaluste kohta, siis võta palun meiega ühendust e-posti aadressil See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.

 

 

 

Loe lisaks:

Igaühe infosõda: vaadake kriitilise pilguga üle oma avalik infovoog

SharePoint aitab automatiseerida puhkuste ajakava koostamise