Panoramica di Windows Intune
Windows Intune è il nuovo servizio di gestione dei PC, aziendali e non, interamente gestito nel cloud di Microsoft, lanciato ufficialmente il 23 Marzo 2011 e disponibile in demo gratuita per 30 giorni per un massimo di 25 PC.
Ma cosa è esattamente Windows Intune? Windows Intune è un sistema di gestione centralizzato per i PC senza la necessità di avere server in sede, gli agent installati nei PC infatti comunicano direttamente con i server Microsoft nel cloud e tutta l’interfaccia di gestione è interamente via web.
E’ quindi evidente che il target di questo servizio risulta essere la piccola e media impresa che non dispone di server e che con questo servizio può gestire, o far gestire a un consulente esterno, il parco macchine senza più preoccuparsi di aggiornamenti o policy.
Ovviamente l’azienda che invece ha già un dominio Active Directory e quindi almeno un server non avrà grossi benefici con Windows Intune.
Le principali funzionalità di Windows Intune sono:
- Gestione degli aggiornamenti di Windows
- Protezione dei PC dai virus
- Monitoraggio proattivo dei PC
- Assistenza remota
- Inventario hardware e software
- Configurazione di Policy di sicurezza
I sistemi sui quali può essere installato l’Agent e quindi gestibili da Windows Intune sono soltanto quelli client e in particolar modo:
- Windows 7 Enterpise, Ultimate e Professional
- Windows Vista Enterprise, Ultimate e Business
- Windows Xp Professional SP2 e SP3
Il servizio ha un costo mensile di € 11,00 per ogni postazione e oltre al servizio stesso da diritto ad installare Windows 7 Business in ogni PC che viene inserito nel contratto.
Ma vediamo ora in dettaglio il servizio. Una volta registrati per la demo e inserito il nostro Windows Live ID all’indirizzo http://manage.microsoft.com ci troveremo di fronte alla schemata principale di Windows Intune:
nella colonna di sinistra ci sono le varie sezioni disponibili e nella parte destra il contenuto dinamico relativo alla sezione scelta.
La prima operazione da compiere è andare nella sezione Amministrazione e scaricare l’agent da installare nei PC.
il file è un archivio compresso contenente due file, l’eseguibile vero e proprio e un certificato utilizzato per associare il computer all’account Windows Live.
L’installazione dell’agent installa anche l’antivirus Windows Intune Endpoint Protection e quindi potrebbe richiedere qualche minuto nel caso la connessione ad Internet non sia velocissima, al termine sarà visibile una nuova icona utilizzata per lanciare la maschera di gestione dell’agent.
Da qui possiamo controllare gli aggiornamenti resi disponibile dall’amministrazione del sistema, aprire il Windows Intune Endpoint Protection e richiedere l’assistenza remota.
Dopo qualche minuto l’agent invierà tutti i dati del PC ai server e sarà visibile all’interno della console di gestione.
Le sezioni disponibili nella console di gestione sono:
- Panoramica sistema
- Computer
- Aggiornamenti
- Endpoint Protection
- Avvisi
- Software
- Licenze
- Criteri
- Report
- Amministrazione
Vediamole in dettaglio:
Panoramica sistema
Nella panoramica sistema viene visualizzato un quadro riepilogativo del sistema, con lo stato dell’Endpoint Protection, dell’Integrità dell’agente, dello stato degli aggiornamenti e se ci sono avvisi presenti (qui vengono visualizzate anche le richieste di assistenza remota).
Computer
All’interno della sezione computer vengono visualizzati gli stati dei computer con indicazioni sul sistema operativo installato e l’ultima data di contatto. Selezionano una macchina vengono visualizzate informazioni dettagliate tipo lo stato degli avvisi e degli aggiornamenti necessari.
In questa sezioni abbiamo anche la possibilità di creare dei gruppi, anche a più livelli, a cui assegnare i computer per poter essere poi gestiti in modo indipendente.
Cliccando su un computer è possibile visualizzare anche l’inventario hardware e software della macchina.
Aggiornamenti
La sezione aggiornamenti ci consente di gestire tutto quello che riguarda gli aggiornamenti del sistema. L’interfaccia è molto simile a quella del WSUS dove troviamo le varie classificazioni degli aggiornamenti (critici, della protezione, definizione antivirus, service pack, etc) con l’indicazione dei computer che necessitano l’aggiornamento, lo stato di approvazione e il dettaglio dell’aggiornamento stesso.
Cliccando sui vari aggiornamenti è possibile approvarli o rifiutarli e nel caso di approvazione abbiamo la possibilità di selezionare a quale gruppo di computer deve essere destinata l’operazione.
Endpoint Protection
La sezione Endpoint Protection è sostanzialmente informativa dove possiamo trovar informazioni sullo stato della protezione Endpoint.
Avvisi
Nella sezione avvisi troviamo raccolti tutti gli avvisi possibili raccolti per tipologia: aggiornamenti, assistenza remota, criteri, notifiche, etc.
Software
La sezione software ci mette a disposizione uno strumento molto utile per creare un inventario dei software installati nelle macchine.
Licenze
Se si hanno delle licenze Microsoft acquistate con contratti Eopen o altro, è possibile inserire in questa sezioni i codici relativi in modo da poter tenere traccia delle licenze installate e di quelle ancora disponibili.
Criteri
Questa sezione ci consente di intervenire sulla configurazione di alcune parti dei client un pò come avviene con le Group Policy.
I criteri che possiamo creare sono di tre tipi:
- Impostazioni agente Windows Intune
Qui troviamo tutte le opzioni per la configurazione del client Endpoint Protection sul servizio, sulla protezione in tempo reale, sull’analisi pianificata, sulle opzioni di analisi, sulle azioni predefinite, sulle cartelle e i file da escludere, sui processi da escludere, etc. - Impostazioni di Windows Intune Center
Qui possiamo configurare le informazioni di contatto visualizzate in Windows Intune Center, compreso il nome, il numero di telefono, l’indirizzo di posta elettronica dell’amministratore. - Impostazioni di Windows Firewall
Qui possiamo configurare le impostazioni di Windows Firewall per ciascun tipo di profilo di rete e abilitare o meno le eccezioni predefinite.
Ogni criterio può essere associato a uno o più gruppi di computer creati nella sezione apposita.
Report
Nella sezione report possiamo creare diverse tipologie di report per diversi tipi di criteri:
I tipi di report sono:
- Report aggiornamenti
Il Report stato aggiornamenti consente di identificare rapidamente gli aggiornamenti che non è stato possibile installare nei computer dell’organizzazione, nonchè di visualizzare quanti aggiornamenti sono necessari per i computer e in quanti computer è installato un aggiornamento. - Report software
Nel report software viene visualizzato un elenco di applicazioni installate nei computer dell’organizzazione. Vengono visualizzate le applicazioni installate nei computer con i relativi numeri di versione. - Report acquisto licenza
Il Report acquisto licenza consente di confrontare i titoli dei software con contratto multilicenza inclusi nell’invenario rilevati nei nei gruppi di licenze selezionati con la copertura del contratto di licenza attuale per tali titoli in conformità con il Microsoft Volume Licensing Service. - Report installazione licenza
Il Report installazione licenza consente di confrontare il software individuato nei computer gestiti utilizzando il servizio con la copertura del contratto di licenza attuale per tali famiglie di prodotti.
Tutti i report possono essere poi stampanti o esportati in file CVS o HTML.
Amministrazione
In questa sezione possiamo visualizzare i dettagli dell’account in uso con le licenze acquistate e disponibili, scegliere le categorie di prodotto e le classificazioni degli aggiornamenti da gestire, creare regole di approvazione automatica, configurare gli avvisi e i destinatari a cui inviarli, aggiungere o eliminare amministratori per l’azienda e infine effettuare il download del software client.
Windows Intune include una funziona di amministrazione remota molto comoda che si basa su Microsoft Easy Assist. La richiesta può essere lanciata da qualunque computer sfruttando l’apposito link posta nella finestra dell’Agent.
Una volta richiesta l’assistenza nella console di gestione appirà il relativo avviso all’amministratore
dopodichè una volta accettata la richiesta verrà lanciata una sessione Microsoft Easy Assist e sarà possibile chattare con il client, trasferire file e visualizzare lo schermo remoto. Tutto questo da qualunque PC connesso a Internet.
Note
Windows Intune non permette di poter gestire i computer di più società all’interno dello stesso account, ma un account Windows Live ID può essere inserito come amministratore del profilo di diversi clienti, in questo modo all’ingresso verrà visualizzato un riepilogo delle società disponibili con il relativo stato:
Una volta scelta una società si accederà esclsivamente ai dati di quella società.