Главная System Center, Без рубрики, Новое SCCM vNext Beta 1. Обзор возможностей MDM
  • SCCM vNext Beta 1. Обзор возможностей MDM

    В начале прошлой недели на Microsoft Connect стала доступна первая бета-версия нового продукта по управлению конфигурацией System Center Configuration Manager с предварительным названием «v.Next». Я никогда не был большим специалистом по SMS/SCCM, но эту версию ждал с момента ее объявления по одной простой причине – именно в нее интегрировался пакет по управлению мобильными устройствами SCMDM. Вчера я развернул SCCM на своем стенде, и теперь хочу поделиться увиденным. Но перед этим хочу предупредить о трех двух вещах:

    – продукт находится в стадии Beta 1, поэтому не все заявленные возможности в нем реализованы на данный момент;

    – в SCMDM этап начала управления устройством состоял из двух подэтапов – pre-enrollment (предварительная инициализация, т.е. создание объекта устройства в Active Directory, его сопоставление с объектом пользователя, генерация одноразового пароля) и enrollment (инициализация устройства, т.е. подключение к MDM, получение сертификата и первичных настроек). В SCCM эта терминология несколько изменилась, действие pre-enrollment теперь называется Create Mobile Device, а enrollment так и остался enrollment’ом.

    В общем, вроде обо всем предупредил…

    Знакомство

    Не знаю все ли из тех, кто читает эти строки, видели консоль SCCM 2007, но те, кто видели, могут сравнить ее с новой. Теперь она выглядит так:

    В новой версии SCCM немного изменилась концепция управления станциями и серверами, но по этой теме лучше дождаться статей от кого-либо из гуру этой линейки (например, Алексея Тараненко), а я попробую рассказать о том, как выглядит кусок, относящийся к MDM.

    Еще год назад Microsoft пообещала, что новый SCCM будет работать не только с WM 6.1/6.5, но и с другими версиями… Но в первой бете официально поддерживаются только две эти платформы. Хотя лежащий на Connect’е документ под названием «Supported Platforms for Beta 1» дает надежду на будущее – в нем приведена таблица поддерживаемых платформ, и расчерчена она не на три строки, включая заголовок.

    Operating System

    Supported

    Windows CE 5.0

    Windows CE 6.0

    Windows Mobile 5.0

    Windows Mobile 6.0

    Windows Mobile 6.1 (and all minor versions)

    X

    Windows Phone 6.5 (and all minor versions)

    X

    Windows Phone 7 Series (and all minor versions)

    Nokia Symbian (specific platforms to be determined)

    В принципе, поддержка Windows Mobile/CE 5.0/6.0 сейчас уже не очень актуальна, но вот очень хотелось бы увидеть работу SCCM с Windows Phone 7 Series. Поддержка Symbian также была заявлена уже давно в рамках сотрудничества с Nokia, и очень хочется, чтобы к выходу RTM серии E и N уже были бы управляемыми (на другие я и не рассчитываю).

    Начало работы

    В новом SCCM появились две роли, которые называются ConfigMgr mobile device enrollment point и ConfigMgr mobile device enrollment proxy point. Т.к. документации сейчас практически нет, то могу предположить по аналогии с SCMDM, что первая роль – это только точка для ввода устройств в домен и никаких больше задач не выполняет, а вторая предназначена для размещения в DMZ и занимается перенаправление запросов на первую.

    Назначение ролей происходит следующим образом – в разделе Administration нужно выбрать пункт Site Roles и либо вызвать контекстное меню, либо в панели Task щелкнуть мышью по пункту Create Roles. После этого запускается мастер New Site Role Wizard. В процессе будут выясняться следующие вещи:

    – какой сервер будет размещать на себе устанавливаемые роли;

    – разнообразные FQDN сервера, на котором будут размещаться роли;

    – учетная запись, под которой будут устанавливаться роли;

    – какие конкретно роли необходимо добавить;

    – настройки IIS для выбранных ролей (в том числе исходная публикация службы Enrollment для proxy).

    В принципе не так много изменений, по сравнению с установкой Enrollment Server в SCMDM. Желающие сравнить могут посмотреть тут.

    Создание правил для мобильных устройств

    После назначения роли Enrollment, необходимо создать правило, согласно которому будет происходить добавление устройств (Create Mobile Device, Pre-enrollment в терминологии SCMDM). Для этого в разделе Administration нужно найти пункт Mobile Device Enrollment Profiles и выбрать Create Enrollment Profile. После этого запуститься мастер Create Enrollment Profile Wizard, при прохождении которого необходимо указать:

    – имя профиля, обозначение сайта, контейнер Active Directory для хранения объектов устройств, а также группу, в которую устройства будут включаться;

    – используемые центр сертификации и шаблон для выпуска сертификата устройства;

    – создать политику для генерации одноразовых паролей, используемых при инициализации устройства (срок жизни запроса на инициализацию (enrollment), длину и сложность пароля);

    – настройки для отсылки пользователю письма после создания запроса на инициализацию.

    Первое, что бросилось в глаза – теперь можно иметь несколько настроек для enrollment’а (нужная выбирается при создании записи устройства, об этом чуть позже) и, как следствие, выбор центра сертификации перешел на этот шаг, а не остался на операции по установки роли. Также приятно, что настройки профиля выполняются в графическом режиме, а не через командлет PowerShell, как это было в SCMDM.

    Создание базовой (baseline) конфигурации

    И еще одно действие, которое можно (нужно) выполнить перед тем, как инициализировать устройства – создать базовую конфигурацию и назначить ее на набор (collection). Это действие делится на несколько этапов:

    – создание конфигурационной единицы;

    – создание базовой конфигурации на основе этих единиц и других конфигураций;

    – назначение конфигурации на набор устройств.

    Конфигурационная единица создается следующим образом: в разделе Assets and Compliance -> Compliance Settings -> Configuration Items нужно выбрать Create Configuration Item и запустить мастера Create Configuration Item Wizard. При прохождении этого мастера в обязательном порядке придется указать следующие данные:

    – тип конфигурации – Application или Operation System. В нашем случае это Operation System -> Windows Mobile;

    – имя и категория конфигурации (для удобства можно создать собственные категории);

    – выбрать нужные разделы конфигурации (шифрование, политика паролей и т.д.);

    – указать условия применения (Compliance Rules);

    – выбрать платформы, к которым конфигурация применяется.

    В зависимости от того, какие разделы конфигурации были выбраны, нужно настроить и их параметры:

    Synchronization – настройки синхронизации с почтовым червером;

    Peak Sync Times – настройка часов высокой нагрузки, а также максимальных временных интервалов синхронизации;

    Bluetooth – разрешение или запрет Bluetooth в общем и определенных профилей в частности;

    Certificates – установка дополнительных сертификатов на устройстве;

    Management – настройка подключений устройства в роуминге;

    Security – политики по блокировке неподписанных приложений и удалению роли manager у пользователя устройства (что позволяет, например, запретить пользователю управление корневыми сертификатами на устройстве);

    Device Wipe – настройки по очистке устройства при определенном количестве неправильно введенных паролей;

    E-mail signing and Encryption – управление параметрами подписывания и шифрования почты, а также используемыми алгоритмами;

    File Encryption – настройка шифрования карты памяти и устройства, включение и исключение определенных путей на устройстве, запрет на отключение шифрования пользователем;

    Built-in Application – блокировка встроенных приложений;

    Password – управление политикой паролей на устройстве;

    Lockdown – управление периферией устройства, протоколами POP и IMAP и т.д.

    Wi-Fi – настройка Wi-Fi подключений.

    В общем-то, при выполнении этих действий доступны те же настройки, что и в SCMDM и ActiveSync в Exchange Server, за двумя исключениями:

    – На этапе Mobile Device Settings доступна возможность работы с параметрами устройства (тип устройства, версия и язык ОС, объем доступной памяти), с ветками реестра, либо с ветками параметров OMA;

    – Настройки конфигурации являются правилами соответствия (Compliance Rules) с возможностью реагирования на эти отклонения – исправить либо оставить как есть и сделать отметку в журнале, что мне особенно понравилось. В SCMDM такого не было… А жаль…

    После того, как была создана конфигурационная единица, необходимо создать базовую конфигурацию. Для этого в разделе Assets and Compliance -> Compliance Settings -> Baselines необходимо выбрать New Configuration Baseline. В открывшемся окне необходимо указать:

    – имя конфигурации;

    – добавить нужные конфигурационные единицы;

    – можно указать процент соответствующих базовой конфигурации устройств, по достижении которого SCCM начнет предупреждать администратора.

    После того, как все поля заполнены можно нажать ОК – все, базовая конфигурация создана.

    Теперь ее необходимо назначить набору устройств. Для этого нужно выбрать ее в списке и в контекстном меню вызвать Assign to a Collection. В открывшемся меню указать нужный набор и нажать ОК.

    Все, на этом настройка конфигурации для мобильных устройств завершена. Теперь можно добавлять устройства в набор.

    Добавление нового устройства

    Для того, чтобы добавить новое устройство, в разделе Assets and Compliance нужно создать новый набор, и в контекстном меню набора выбрать Create Mobile Device. Запустится соответствующий мастер и нужно будет указать следующие данные:

    – создается одно устройство или пачка путем импорта данных из файла в формате CSV;

    – имя устройства, профиль присоединения (enrollment profile), обозначение сайта (если выполняется единичное добавление);

    – имя пользователя, с которым устройство сопоставляется (если выполняется единичное добавление).

    Когда мастер закончит выполнение задачи по добавлению устройства, на экран будут выведены данные, необходимые для подключения – имя пользователя, пароль, узел для подключения. Также, эти данные будут отправлены на электронную почту пользователю, с которым устройство было сопоставлено, если использованный профиль допускает рассылку таких писем.

    После того, как устройство было добавлено, оно появится в составе коллекции. После этого можно выполнять подключение с устройства аналогично процедуре в SCMDM.

    Подготовка приложения к установке

    Последнее, о чем я хочу рассказать – как подготовить приложение к установке на мобильное устройство. Чтобы сделать это, необходимо в разделе Software Library -> Application Management -> Applications выбрать Create Application и в запустившемся мастере указать:

    – тип приложения (Windows Mobile Cabinet);

    – местоположение в доступной сетевой папке;

    – данные по приложению – имя, описание, разработчик и т.д.;

    – возможность удаления приложения пользователем;

    – подписать приложение используя сертификат;

    – выбрать категорию, к которой приложение относится;

    – можно добавить дополнительные обязательные параметры для установки (версия ОС, язык, свободное пространство, ветки реестра, ветки OMA).

    По завершении мастера необходимо нажать ОК.

    Механизм распространения ПО также, как и в предыдущих версиях SCCM и SCMDM основан на службе WSUS. После того, как приложение было добавлено, его можно назначить набору компьютеров нажав в меню Deploy.

    Итог

    Несмотря на то, что пока я достаточно мало поработал с новым SCCM, могу уже однозначно сказать, что он мне нравиться. Как сам в целом, так и часть, отвечающая за MDM. Для людей, которые работали с предыдущими версиями SCCM и SCMDM, на мой взгляд, не составит труда разобраться с его обновленным вариантом.

    Есть, конечно же и недостатки, но их я пока списываю на «бетость» продукта. Есть претензии к интерфейсу. Также, очень хочется увидеть в версии RTM механизм по доставке персональных сертификатов на устройства и портал самообслуживания для конечных пользователей.

    Информация

    Если вы хотите начать знакомиться с SCCM v.Next уже сейчас, могу порекомендовать вам зарегистрироваться на MS Connect, и скачать оттуда дистрибутив и имеющуюся на данный момент документацию. Кроме этого можно начать чаще заходить на блог продуктовой команды всей линейки System Center.

Комментарии

  1. Анимированные гифы в качестве иллюстраций это жесть 🙂

  2. Иначе будет много-много скринов, и получится еще большая жесть 🙂
    IMHO

    З.Ы.
    Можно подсчитать, сколько скринов всего в статье, но по-моему около 50-и. До конца долистали бы не все. Да и текст между ними искать неудобно…

  3. Да, резон есть. Только в распечатанном виде гифки не шевелятся 🙂

  4. Ну, тут уже ничего не поделать – пока прогресс не дошел до шевелений на обычной бумаге 🙂

  5. Алексей, тема интересная, спасибо!
    PS Раз так много скриншотов, то может было бы проще веб-каст сделать?

  6. Пожалуйста.
    А с веб-кастами у меня как-то не срастается 🙁 Мне проще печатным словом 🙂

    З.Ы.
    Если кто-нибудь сможет что-то добавить или поправить буду только рад.

  7. Ёп…ерный театр…ты издеваешься что-ли над нашими глазами? лучше малость колесико мышки “прогреть” чем зомбироваться 2хсекундными заготовками

  8. Ладно, мнение читателей учтено 🙂 На будущее попробую еще что-нибудь придумать 🙂
    …но эту переделывать уже не буду…

  9. Мне кажется лучшей идеей расположение превьющек маленьких, с ссылкой на оригинальный. Для печати это врядли подойдет, но что уж делать…

  10. Коллеги!
    Дошли руки до переделки поста – в общем количество скриншотов немного уменьшилось, но теперь они приведены в нормальном варианте. Т.к. времени было немного, то источником скриншотов выступает персональный блог.