В начале прошлой недели на Microsoft Connect стала доступна первая бета-версия нового продукта по управлению конфигурацией System Center Configuration Manager с предварительным названием «v.Next». Я никогда не был большим специалистом по SMS/SCCM, но эту версию ждал с момента ее объявления по одной простой причине – именно в нее интегрировался пакет по управлению мобильными устройствами SCMDM. Вчера я развернул SCCM на своем стенде, и теперь хочу поделиться увиденным. Но перед этим хочу предупредить о трех двух вещах:
– продукт находится в стадии Beta 1, поэтому не все заявленные возможности в нем реализованы на данный момент;
– в SCMDM этап начала управления устройством состоял из двух подэтапов – pre-enrollment (предварительная инициализация, т.е. создание объекта устройства в Active Directory, его сопоставление с объектом пользователя, генерация одноразового пароля) и enrollment (инициализация устройства, т.е. подключение к MDM, получение сертификата и первичных настроек). В SCCM эта терминология несколько изменилась, действие pre-enrollment теперь называется Create Mobile Device, а enrollment так и остался enrollment’ом.
В общем, вроде обо всем предупредил…
Знакомство
Не знаю все ли из тех, кто читает эти строки, видели консоль SCCM 2007, но те, кто видели, могут сравнить ее с новой. Теперь она выглядит так:
В новой версии SCCM немного изменилась концепция управления станциями и серверами, но по этой теме лучше дождаться статей от кого-либо из гуру этой линейки (например, Алексея Тараненко), а я попробую рассказать о том, как выглядит кусок, относящийся к MDM.
Еще год назад Microsoft пообещала, что новый SCCM будет работать не только с WM 6.1/6.5, но и с другими версиями… Но в первой бете официально поддерживаются только две эти платформы. Хотя лежащий на Connect’е документ под названием «Supported Platforms for Beta 1» дает надежду на будущее – в нем приведена таблица поддерживаемых платформ, и расчерчена она не на три строки, включая заголовок.
Operating System |
Supported |
Windows CE 5.0 |
– |
Windows CE 6.0 |
– |
Windows Mobile 5.0 |
– |
Windows Mobile 6.0 |
– |
Windows Mobile 6.1 (and all minor versions) |
X |
Windows Phone 6.5 (and all minor versions) |
X |
Windows Phone 7 Series (and all minor versions) |
– |
Nokia Symbian (specific platforms to be determined) |
– |
В принципе, поддержка Windows Mobile/CE 5.0/6.0 сейчас уже не очень актуальна, но вот очень хотелось бы увидеть работу SCCM с Windows Phone 7 Series. Поддержка Symbian также была заявлена уже давно в рамках сотрудничества с Nokia, и очень хочется, чтобы к выходу RTM серии E и N уже были бы управляемыми (на другие я и не рассчитываю).
Начало работы
В новом SCCM появились две роли, которые называются ConfigMgr mobile device enrollment point и ConfigMgr mobile device enrollment proxy point. Т.к. документации сейчас практически нет, то могу предположить по аналогии с SCMDM, что первая роль – это только точка для ввода устройств в домен и никаких больше задач не выполняет, а вторая предназначена для размещения в DMZ и занимается перенаправление запросов на первую.
Назначение ролей происходит следующим образом – в разделе Administration нужно выбрать пункт Site Roles и либо вызвать контекстное меню, либо в панели Task щелкнуть мышью по пункту Create Roles. После этого запускается мастер New Site Role Wizard. В процессе будут выясняться следующие вещи:
– какой сервер будет размещать на себе устанавливаемые роли;
– разнообразные FQDN сервера, на котором будут размещаться роли;
– учетная запись, под которой будут устанавливаться роли;
– какие конкретно роли необходимо добавить;
– настройки IIS для выбранных ролей (в том числе исходная публикация службы Enrollment для proxy).
В принципе не так много изменений, по сравнению с установкой Enrollment Server в SCMDM. Желающие сравнить могут посмотреть тут.
Создание правил для мобильных устройств
После назначения роли Enrollment, необходимо создать правило, согласно которому будет происходить добавление устройств (Create Mobile Device, Pre-enrollment в терминологии SCMDM). Для этого в разделе Administration нужно найти пункт Mobile Device Enrollment Profiles и выбрать Create Enrollment Profile. После этого запуститься мастер Create Enrollment Profile Wizard, при прохождении которого необходимо указать:
– имя профиля, обозначение сайта, контейнер Active Directory для хранения объектов устройств, а также группу, в которую устройства будут включаться;
– используемые центр сертификации и шаблон для выпуска сертификата устройства;
– создать политику для генерации одноразовых паролей, используемых при инициализации устройства (срок жизни запроса на инициализацию (enrollment), длину и сложность пароля);
– настройки для отсылки пользователю письма после создания запроса на инициализацию.
Первое, что бросилось в глаза – теперь можно иметь несколько настроек для enrollment’а (нужная выбирается при создании записи устройства, об этом чуть позже) и, как следствие, выбор центра сертификации перешел на этот шаг, а не остался на операции по установки роли. Также приятно, что настройки профиля выполняются в графическом режиме, а не через командлет PowerShell, как это было в SCMDM.
Создание базовой (baseline) конфигурации
И еще одно действие, которое можно (нужно) выполнить перед тем, как инициализировать устройства – создать базовую конфигурацию и назначить ее на набор (collection). Это действие делится на несколько этапов:
– создание конфигурационной единицы;
– создание базовой конфигурации на основе этих единиц и других конфигураций;
– назначение конфигурации на набор устройств.
Конфигурационная единица создается следующим образом: в разделе Assets and Compliance -> Compliance Settings -> Configuration Items нужно выбрать Create Configuration Item и запустить мастера Create Configuration Item Wizard. При прохождении этого мастера в обязательном порядке придется указать следующие данные:
– тип конфигурации – Application или Operation System. В нашем случае это Operation System -> Windows Mobile;
– имя и категория конфигурации (для удобства можно создать собственные категории);
– выбрать нужные разделы конфигурации (шифрование, политика паролей и т.д.);
– указать условия применения (Compliance Rules);
– выбрать платформы, к которым конфигурация применяется.
В зависимости от того, какие разделы конфигурации были выбраны, нужно настроить и их параметры:
– Synchronization – настройки синхронизации с почтовым червером;
– Peak Sync Times – настройка часов высокой нагрузки, а также максимальных временных интервалов синхронизации;
– Bluetooth – разрешение или запрет Bluetooth в общем и определенных профилей в частности;
– Certificates – установка дополнительных сертификатов на устройстве;
– Management – настройка подключений устройства в роуминге;
– Security – политики по блокировке неподписанных приложений и удалению роли manager у пользователя устройства (что позволяет, например, запретить пользователю управление корневыми сертификатами на устройстве);
– Device Wipe – настройки по очистке устройства при определенном количестве неправильно введенных паролей;
– E-mail signing and Encryption – управление параметрами подписывания и шифрования почты, а также используемыми алгоритмами;
– File Encryption – настройка шифрования карты памяти и устройства, включение и исключение определенных путей на устройстве, запрет на отключение шифрования пользователем;
– Built-in Application – блокировка встроенных приложений;
– Password – управление политикой паролей на устройстве;
– Lockdown – управление периферией устройства, протоколами POP и IMAP и т.д.
– Wi-Fi – настройка Wi-Fi подключений.
В общем-то, при выполнении этих действий доступны те же настройки, что и в SCMDM и ActiveSync в Exchange Server, за двумя исключениями:
– На этапе Mobile Device Settings доступна возможность работы с параметрами устройства (тип устройства, версия и язык ОС, объем доступной памяти), с ветками реестра, либо с ветками параметров OMA;
– Настройки конфигурации являются правилами соответствия (Compliance Rules) с возможностью реагирования на эти отклонения – исправить либо оставить как есть и сделать отметку в журнале, что мне особенно понравилось. В SCMDM такого не было… А жаль…
После того, как была создана конфигурационная единица, необходимо создать базовую конфигурацию. Для этого в разделе Assets and Compliance -> Compliance Settings -> Baselines необходимо выбрать New Configuration Baseline. В открывшемся окне необходимо указать:
– имя конфигурации;
– добавить нужные конфигурационные единицы;
– можно указать процент соответствующих базовой конфигурации устройств, по достижении которого SCCM начнет предупреждать администратора.
После того, как все поля заполнены можно нажать ОК – все, базовая конфигурация создана.
Теперь ее необходимо назначить набору устройств. Для этого нужно выбрать ее в списке и в контекстном меню вызвать Assign to a Collection. В открывшемся меню указать нужный набор и нажать ОК.
Все, на этом настройка конфигурации для мобильных устройств завершена. Теперь можно добавлять устройства в набор.
Добавление нового устройства
Для того, чтобы добавить новое устройство, в разделе Assets and Compliance нужно создать новый набор, и в контекстном меню набора выбрать Create Mobile Device. Запустится соответствующий мастер и нужно будет указать следующие данные:
– создается одно устройство или пачка путем импорта данных из файла в формате CSV;
– имя устройства, профиль присоединения (enrollment profile), обозначение сайта (если выполняется единичное добавление);
– имя пользователя, с которым устройство сопоставляется (если выполняется единичное добавление).
Когда мастер закончит выполнение задачи по добавлению устройства, на экран будут выведены данные, необходимые для подключения – имя пользователя, пароль, узел для подключения. Также, эти данные будут отправлены на электронную почту пользователю, с которым устройство было сопоставлено, если использованный профиль допускает рассылку таких писем.
После того, как устройство было добавлено, оно появится в составе коллекции. После этого можно выполнять подключение с устройства аналогично процедуре в SCMDM.
Подготовка приложения к установке
Последнее, о чем я хочу рассказать – как подготовить приложение к установке на мобильное устройство. Чтобы сделать это, необходимо в разделе Software Library -> Application Management -> Applications выбрать Create Application и в запустившемся мастере указать:
– тип приложения (Windows Mobile Cabinet);
– местоположение в доступной сетевой папке;
– данные по приложению – имя, описание, разработчик и т.д.;
– возможность удаления приложения пользователем;
– подписать приложение используя сертификат;
– выбрать категорию, к которой приложение относится;
– можно добавить дополнительные обязательные параметры для установки (версия ОС, язык, свободное пространство, ветки реестра, ветки OMA).
По завершении мастера необходимо нажать ОК.
Механизм распространения ПО также, как и в предыдущих версиях SCCM и SCMDM основан на службе WSUS. После того, как приложение было добавлено, его можно назначить набору компьютеров нажав в меню Deploy.
Итог
Несмотря на то, что пока я достаточно мало поработал с новым SCCM, могу уже однозначно сказать, что он мне нравиться. Как сам в целом, так и часть, отвечающая за MDM. Для людей, которые работали с предыдущими версиями SCCM и SCMDM, на мой взгляд, не составит труда разобраться с его обновленным вариантом.
Есть, конечно же и недостатки, но их я пока списываю на «бетость» продукта. Есть претензии к интерфейсу. Также, очень хочется увидеть в версии RTM механизм по доставке персональных сертификатов на устройства и портал самообслуживания для конечных пользователей.
Информация
Если вы хотите начать знакомиться с SCCM v.Next уже сейчас, могу порекомендовать вам зарегистрироваться на MS Connect, и скачать оттуда дистрибутив и имеющуюся на данный момент документацию. Кроме этого можно начать чаще заходить на блог продуктовой команды всей линейки System Center.
Анимированные гифы в качестве иллюстраций это жесть 🙂
Иначе будет много-много скринов, и получится еще большая жесть 🙂
IMHO
З.Ы.
Можно подсчитать, сколько скринов всего в статье, но по-моему около 50-и. До конца долистали бы не все. Да и текст между ними искать неудобно…
Да, резон есть. Только в распечатанном виде гифки не шевелятся 🙂
Ну, тут уже ничего не поделать – пока прогресс не дошел до шевелений на обычной бумаге 🙂
Алексей, тема интересная, спасибо!
PS Раз так много скриншотов, то может было бы проще веб-каст сделать?
Пожалуйста.
А с веб-кастами у меня как-то не срастается 🙁 Мне проще печатным словом 🙂
З.Ы.
Если кто-нибудь сможет что-то добавить или поправить буду только рад.
Ёп…ерный театр…ты издеваешься что-ли над нашими глазами? лучше малость колесико мышки “прогреть” чем зомбироваться 2хсекундными заготовками
Ладно, мнение читателей учтено 🙂 На будущее попробую еще что-нибудь придумать 🙂
…но эту переделывать уже не буду…
Мне кажется лучшей идеей расположение превьющек маленьких, с ссылкой на оригинальный. Для печати это врядли подойдет, но что уж делать…
Коллеги!
Дошли руки до переделки поста – в общем количество скриншотов немного уменьшилось, но теперь они приведены в нормальном варианте. Т.к. времени было немного, то источником скриншотов выступает персональный блог.