ניהול באמצעות Microsoft Endpoint Manager

ניהול מכונות, התקנים ומכשירי קצה ימשיך להיות חלק מהותי גם בשנת 2020 ואף יתרחב באופן משמעותי, לצד זה חשוב להדגיש כי התרחבות התחום מגיעה בעקבות הצורך במימוש Zero-Trust.

לאחרונה (דצמבר 2019) יצאו מספר דוחות וטנרדים לגבי כלל הטכנולוגיות בינהם תחום המובייל ועדיין הקטגוריה של EMM רלוונטית ואף תתרחב בשנת 2020.

חשוב להדגיש כי תחום המובייל אינו רק מכשירים חכמים ומתמקד בנוסף במערכות נוספות כולל IoT ומערכות Linux, ניהול המכשירים ממקום אחד וחשוב מכל שילוב מול מנגנון Zero Trust במטרה לתת אכיפה ומדיניות אבטחה לכל מכשיר שמעונין להתחבר למשאב ארגוני.

EMM-Trends

מתוך הדוח באתר של marketresearchstore

איך זה קשור אל Microsoft Endpoint Manager? אם נביט באופן כללי או נבחר להעמיק בהכרזות האחרונות של Microsoft בנושא Mobile ניתן לראות ולהבין את ההשקעה העצומה בתחום המובייל או ליתר דיוק Endpoints, ומכאן זה לוקח אותנו אל הפלטפורמה של Microsoft Endpoint Manager.

מאמר רשאון בסדרה של Microsoft Endpoint Manager.

מהו Microsoft Endpoint Manager

מהו Microsoft Endpoint Manager? בקצרה, תשתית ענן לניהול Endpoints התמבססת על טכנולוגיות כגון: Intune וכן ConfigMGR ומטרתה לנהל את כלל המכשירים והפעולות מתוך ממשק אחד. מהו MEM לא בקצרה? בואו נתחיל.

הצורך של ניהול כלל המכשירים מתוך מקום אחד, תוך דגש על אבטחת מידע ושילוב של מספר טכנולוגיות לוקח את הפלטפורמה של Microsoft Endpoint Manager כמה צעדים קדימה.

הפלטפורמה של Microsoft Endpoint Manager מאחדת בתוכה מספר תשתיות וטכנולוגיות מוכרות לפלטפורמה אחת שעובדת יחדיו ומנוהלת מתוך ממשק אחיד, ולכן נקראת Microsoft Endpoint Manager.

הפלטפורמה של Microsoft Endpoint Manager מאגדת בתוכה מספר טכנולוגיות:

  • Intune
  • ConfigMGR
  • Desktop Analytics
  • Co-Management
  • Autopilot
  • DMAC

לצד זה ישנו ממשק ניהול אחיד לכלל הטכנולוגיות בין אם מדובר בניהול מבוסס Intune או ניהול של ConfigMGR או שניהם יחדיו.

הממשק נקרא Microsoft Endpoint Manager Admin Center ומטרתו לנהל גם מכשירי קצה שהיו בניהול של ממשק DMAC או אפילו שרתי SCCM מקומיים.

2019-12-23_10h03_35.png

הערה: חשוב להדגיש כי ישנו רישוי לטובת כלל הטכנולוגיות והרישוי הבסיסי של MEM הוא Intune + ConfigMGR בלבד.

בנוסף לפלטפורמה החדשה והשם החדש שמאגד בתוכו מספר טכנולוגיות ישנו רישוי חדש שמבוסס על Microsoft Endpoint Manager.

לצד היכולות הנ"ל של MEM ניתן להרחיב את האפשרויות מול טכנולוגיות נוספות כדוגמת:

  • Azure Active Directory Conditional Access
  • Microsoft Defender ATP
  • Tenant-attached Helpdesk

הפלטפורמה של Microsoft Endpoint Manager אינה באה לספק MDM API במקום Group Policy והיא מביאה איתה בשורה משמעותית של איסוף מידע מכל הסנסורים הקיימים אשר מחוברים לתשתית, למידת מכונה וביצוע אנליטיקות על כל המידע הקיים, שימוש בכל סויג המידע הקיימים של MEM בענן.

משהו שעדיין אינו רשמי, במהלך ההכרזה ניתנו שמות נוספים לתשתיות של MEM עם Intune או MEM עם ConfigMGR, ובין היתר יתן לראשות שמות מתויגים כדוגמת הבאים:

Microsoft Endpoint Manager Microsoft Intune > MEMMI > MEM Intune
Microsoft Endpoint Manager Configuration Manager > MEMCM > MEM CM

ארכיטקטורה

הארכיטקטורה של MEM בנויה על גבי מספר רכיבים כאשר המיקוד הוא בענן, וגם כאשר ישנו SCCM בתשתית. התשתית בנויה מהרכיבים הבאים:

  • תשתית Intune בענן
  • רכיב לניהול מכשירים קצה (W10, iOS, Android)
  • רכיב לשמירת כלל המידע על גבי Data Store
  • רכיב Gateway או יותר נכון CMG שנועד לנהל תחנות SCCM בענן
  • רכיב לביצוע פעולות (כלל הפעולות אשר מתבצעות מתוך Compliance ונוספים)
  • רכיב ניהול MEMAC
  • רכיב Azure AD
  • שרת ConfigMGR

mem-architecture.png

התצורה של Microsoft Endpoint Manager יכולה לעבוד בצורות שונות, בין היתר:

  • תצורת Azure AD Hybrid עם MEM בלבד ובמצב כזה מנצלים רק את Intune לניהול של מכונות פנימיות וחיצוניות כאחד
  • בתצורת Azure AD Joined ובתרחיש כזה Intune מבצע ניהול על מערכות חיצוניות בלבד
  • תצורה של cloud attach אשר נחלקת לשניים Tenant Attach או Client Attach ובשניהם משלבים תצורה היברידית של Intune + ConfigMGR בכדי לנהל Endpoints או בכדי לנהל את כלל המשאבים מתוך ממשק MEM.
    לדוגמה תצורת Client Attach המאפשרת תצורה היברידית המבוססת על Co-management ושם הניהול של SCCM ושל Intune נעשה מתוך הענן כולל תחנות אשר מאומתות מול SCCM.

2019-12-23_10h54_56.png

ההבדלים בין Tenant לבין Cient הם מהותיים כי הגדרת Tenant היא משמעותית ומדובר על תהליך היברידי ואינטגרציה ברמת SCCM Sites המאפשר חיבור מול תשתיות ענן נוספות ותהליך כזה עלול לקחת זמן רב.

2019-12-23_11h04_20.png

אינטגרציה ויישום

האינטגרציה של Microsoft Endpoint Manager עם הטכנולוגיות הנוספות יכול להיעשות בתרחישים מסוימים, בין אם חלק מתצורת MEM מסוימת או תצורת MEM מורחבת, כלומר MEM במצב Standalnoe או MEM בתצורה היברידית.

לצורך הענין הטכנולוגיות הבאות הם חלק מתוך אינטגרציה ליישום MEM בתצורה שלשמה הוא נועד, אך יכול להיות בתרחישים נוספים, הטכנולוגיות שמיושמות בחלק מתוך הפלטפורמה הכללית של MEM:

  • ConfigMGR
  • Desktop Analytics
  • Co-Management
  • Autopilot
  • DMAC

איך יודעים איזה טכנולוגיה ניתן ליישם? על סמך התרחיש שהנדרש ניתן לדעת מהם הטכנולוגיות הנדרשות ליישום. בשורה התחתונה ועם כל החידושים שמביא איתו MEM כל היישומים הקיימים ניתנים לביצוע על סמך היישום של Intune או של ConfigMGR יחד עם Co-Management.

2019-12-23_14h10_03.png

הערה: במצבים מסוימים ניתן ליישם Client Attach עם Intune בלבד

הגדרות בודדות של אינטגרציה של SCCM עם MEM

2019-12-23_14h14_14

2019-12-23_14h15_062019-12-23_14h15_06(1)

שאלות

מאז שיצא נשאלתי המון שאלות לגבי Intune, MEM, ניהול מכשירי קצה ועוד שאלות מעניינות שאת חלקם הייתי צריך לבדוק. אז כמה מתוך אותם שאלות והבהרות בנוגע לתשתית MEM.

האם יהיה ניתן לרכוש את Intune בנפרד? כן, יהיה ניתן לעבוד עם Intune בנפרד עם על היכולות המוכרות.

האם הגדרות עדיין Co-Management רלוונטיות? נכון לרבעון הקרוב הגדרות Co-Management רלוונטיות.

האם ישנה תמיכה בשרתים? תשתית MEM לא תספק תמיכה בשרתים אבל תוכל להראות שרתים בממשק המגיעים מתוך SCCM.

האם חייבים Azure AD בתשתית MEM? כן, תשתית Azure AD היא חובה ליישום MEM.

האם BitLocker נתמך? כן, גרסת ביטלוקר (ויכולות אבטחה נוספות) של Windows 10 בילד 1909 ניתנות לניהול מתוך ממשק MEMAC.

אבטחת מידע

אבטחת מידע היא חלק מרכזי ביישום של תשתית MEM ולכן כלל ההגדרות של Intune הם חלק מתוך תשתית MEM כולל טכנולוגיות נלוות, כמה דגשים מרכזיים בממשק MEMAC:

Endpoint Security מאגד למקום אחד את כל יכולות האבטחה התמקדמות שניתן ליישם מול Windows 10 כולל פעולות שניתן להריץ באמצעות Microsoft Defender ATP (כולל TVM) ופעולות להקשחה.

2019-12-23_14h29_08.png

הגנה על אפליקציות ומידע ניתן ליישום מתוך הגדרות Apps שמורכזות במקום אחד, וכמו שהיה ניתן לבצע לפני כן גם בתשתית MEM ניתן ליישם את כלל היכולות של הגנה מפני לזיגת מידע לאפליקציות מסוימות כלל המכשירים.

2019-12-23_14h34_41

יתר הגדרות Intune נשארות ללא הבדלים, אך ישנם מספר הגדרות שקיבלו שיפור ברמת Enrollment, Configuration, Enrollment ונוספים.

לסיכום

הפלטפורמה החדשה של Microsoft Endpoint Manager מביאה איתה בשורות חדשות של ניהול כלל המכונות בארגון מתוך מקום אחד ומימוש יכולות מתקדמות של Machine Learning ואנליטיקות נוספות לניהול מתקדם של Endpoints.

לצד זה ניתן לעבוד עם האפשרויות הקיימות לניהול Endpoint, ולהחיל עליהם את כלל האפשרויות הן מבחינת ניהול, אבטחת מידע ושיפור חווית המשתמש.

בתקופה הקרובה של רבעון ראשון לשנת 2020 יועברו מספר הדרכות (workshop) ממוקדות בנושא תשתית MEM ובעיקר ביישום Intune ויכללו את הנושאים המוכרים והחדשים ליישום לניהול.

בנוסף נעביר מספר סשנים בקהילות הטכנולוגיות של Microsoft Communities Israel.

מידע נוסף

Use the power of cloud intelligence to simplify and accelerate IT and the move to a modern workplace



:קטגוריותMicrosoft Endpoint Manager

תגים: , , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.