Din nou despre Windows Intune – Review

Se pare ca asta e saptamana Windows Intune. Un review despre Windows Intune am mai facut si aici acum aproape un an insa de atunci si pana acum sa zicem ca am mai aflat si alte detalii plus ca serviciul este deja Live si ar fi util ceva mai complet.

Foarte important e ca a fost publicat pretul. Windows Intune se licentiaza per PC la pretul de 11$/luna. O fi mult, o fi putin, imi este greu sa spun. As putea face comparatie cu scenariile in care achizitionezi Windows OEM si AV separat si ai iesi mai ieftin pe perioade mai mari de un an, insa nu ar fi o comparatie corecta deoarece ar lipsi “serviciile” furnizate online de MS.

Si cica pentru deal-uri mari cu sute de computere se poate negocia pretul (mi se pare normal) sau daca ai deja Software Assurance. Pentru inca 1$ in plus pe luna mai primesti acces si la MDOP (desktop optimization pack) – parerea mea e ca trebuiau sa-l dea gratis.

Dar hai sa vedem din nou ce primesti daca platesti acesti 11$/luna/PC. Pai ai licente de Windows Enterprise, licenta de antivirus (e Home Security Essentials 2 / Forefront putin modificat), serviciile online de management/inventariere si Easy Assist (remote assistance).

Managementul se face accesand manage.microsoft.com  de unde puteti accesa interfata de administrare facuta in Silverlight.

Acum, e nevoie ca pentru fiecare client pe care dorim sa-l administram sa instalam clientul Intune. Clientul asta e de fapt o colectie de agenti, antivirus, etc care se instaleaza pe statie si care vrea update din prima clipa dupa instalare, cu toate ca fost downloadat de pe site-ul Intune.

Mai jos puteti vedea toate componentele instalate pe o statie cu Windows Home Edition.

BTW, Windows Home nu este suportat cu Intune, insa se pare ca functioneaza. Oricum update-ul de la Windows Home la ceva suportat (Ultimate sau Business, ca Enterprise e versiune separata si nu cred ca merge direct) ar trebui sa fie destul de simplu prin Windows Anytime Upgrade. Si XP Pro e suportat.

Pe client interfata care merge pornita dintr-un shortcut de pe desktop arata cam asa:

Observati si denumirea antivirusului Windows Intune Endpoint Protection.

Altfel, interfata e identica cu Microsoft Security Essentials 2.0. De fapt e acelasi produs, doar ca atunci cand l-au copilat au schimbat numele ferestrei.

In rubrica Computers din interfata web putem gestiona grupurile de calculatoare:

By default orice sistem pe care instalam agentul va aparea in grupul Unassigned Computers:

Ce e foarte interesant e ca putem crea grupuri in grupuri (group nesting) putand face ceva asemanator unei structuri de Organizational Unit in Active Directory.

Grupurile astea sunt foarte importante, pentru ca sunt folosite pentru partea de update-uri si pentru politici (un fel de GPO-uri) despre care vom discuta putin mai tarziu.

Partea de update-uri e foarte simplu de administrat de cei familiari cu WSUS. E WSUS 100%. Cu approval de update-uri,  pe grupuri, cu deadline-uri etc.

Si poti vedea foarte simplu caror sistemele le lipsesc update-urile:

Pe partea de AV nu e mare lucru de configurat, mai ales atunci cand nu ai malware pe sisteme .

Atentie ca imediat dupa instalarea sistemului e posibil ca serviciul online sa raporteze anumite probleme cu antivirusul. E bine sa instalati update-urile, sa-l restartati si sa-i dati macar 30 de minute ca sa actualizeze serviciul.

In interfata web mai avem si rubrica de software inventory care arata cam asa:

Putem vedea toate versiunile de software instalate pe sisteme si pe ce sisteme sunt instalate aceste versiuni. Se pot genera rapoarte iar listele pot fi exportate.

Initial se zvonea ca ar fi inclus si un hardware inventory, insa nu am vazut urma de asa ceva.

Optinea Licenses e bine venita insa doar pentru cei ce au un Agreement Number

Introducand Agreement Number-ul se poate face o comparatie intre ce este fizic instalat pe sisteme, si ce este inclus in agreement-ul cu Microsoft.

Si acum sa vorbim despre ceva mai interesant. Remote Assistance cu Easy Assist (un tool initial folosit de cei din organizatia de support din cate stiu). Asta e o modalitate prin care utilizatorul unui sistem inrolat in Windows Intune poate cere ajutorul remote al administratorului.

Pentru ca Easy Assist sa fie functional e nevoie sa cel putin un recipent ce urmeaza sa primeasca alertele:

Atentie ca exista un delay intre momentul join-arii administratorului la sesiune si momentul in care userul primeste mesajul de confirmare.

Administratorul are nevoie de Easy Assist Support Console. Gasisti link-ul de download aici:

http://support.microsoft.com/ph/925#tab7

Altfel nu va putea sa deschida cererile de remote assistance. Puteau macar sa puna link-ul de download in interfata Intune.

Si ultima chestie ce merita pomenita e partea de politici. Insa nu va faceti mari sperante ca nu se poat configura foarte multe chestii.

Tot ce poti configura sunt setarile pentru antivirus, datele de contact din Intune Center, si setarile pentru Windows Firewall.

De exemplu setand o politica pentru Intune Center:

Si aplicand-o peste un grup de computere:

Pot seta urmatoarele date de contact in Intune Center:

Atentie ca intervalul la care statiile isi aplica policy-urile este foarte mare (peste 8 ore) si nici nu merge sa fortezi aplicarea. Nu inca. Deci nu va asteptati ca daca setati ceva sa fie aplicat pe statii instantaneu. Ci de pe o zi pe alta.

Trebuie mentionat ca se pot aplica politici si peste statii joinate la domeniu (da, clientul Intune merge pus si pe statii membre din domeniu) insa daca setarile aplicate via Intune intra in conflict cu cele din GPO, vor castiga cele din GPO (e si normal).

Si cam atat azi despre Windows Intune. Personal imi place, insa sper ca urmatoarea versiune sa aduca multe lucruri in plus pentru ca e destul de limitat in momentul de fata.

PS: Daca ar scadea si pretul la un 9-10$ ar fi si mai bine.

2 Responses to “Din nou despre Windows Intune – Review”