随着越来越多的企业希望为员工提供灵活的工作环境,无论是采用台式机还是移动设备,无论是在办公室还是在野外环境,IT部门都不得不使用控制平台来整合硬件管理。
考虑到IT目标,微软公司在2011年推出了Intune云服务,以满足工作场所新兴的企业移动性管理(EMM)需求。
而在8年之后,微软公司决定将其Intune统一端点管理(UEM)平台与其System Center配置管理器(ConfigMgr)结合在一起,使用户只需一个界面就可以访问这两个平台。
其合并之后的产品现在称为Endpoint Manager,使Intune的许可权限可用于所有ConfigMgr客户以共同管理Windows设备。微软公司表示,这两种云计算服务目前管理着全球2亿多台设备。
除了用于ConfigMgr和Intune的单一管理界面之外,Endpoint Manager还包括设备管理中心(DMAC)和桌面分析等功能。
该软件为IT管理员提供了内部部署和云计算管理工具,以及在整个组织范围内配置、部署、管理和保护端点(台式机、移动设备和应用程序)。
简单地说,Endpoint Manager的设计目的是使管理各种设备变得更加容易,从而保护数据,同时仍然允许员工使用公司和个人设备完成工作。它将移动设备管理(MDM)与移动应用程序管理(MAM)结合起来,虽然它与Windows 10和其他微软产品绑定在一起,但它可以管理运行其他操作系统的硬件。
调研机构Gartner公司研究副总裁Chris Silva表示,今年对于Intune的品牌重塑产生了一些积极影响。另一方面,所有使用ConfigMgr的客户都可以使用Windows设备访问以前称为Intune的功能集,从而使这些电脑向统一端点管理(UEM)的方向发展。
微软公司将这两方面结合在一起,并解答了有关诸如SCCM/ConfigMgr之类的传统电脑管理工具是否最终消失的问题。
Silva表示,传统的管理工具将在共同管理需要传统生命周期任务(例如映像)以及使用移动应用程序管理(MAM)的电脑方面继续发挥作用。
Silva说:“尽管如此,目前由统一端点管理(UEM)/移动应用程序管理(MAM)单独管理的终端设备总数还不到5%。我们预计,由于目前微软公司已经回答了与计算机管理相关的一种或多种工具的问题,这一数字将增长更快。”
Intune于8年前问世,当时很多公司被迫应对访问其数据和网络设备的突然攻击,这是自从2007年苹果公司推出iPhone之后带来的自携设备(BYOD)发展趋势的影响。
微软公司安全产品营销总监Maura Hameroff表示:“即使工作人员都在企业办公室办公,如今开展业务的方式也需要采用不同的方法,这就是Intune的用武之地。我们从云计算解决方案开始,使员工能够在所需的设备上访问所需的一切。”
作为一项订阅服务,微软公司按每个用户/每月向企业收费。作为微软公司企业移动套件的一部分,每个用户的起价为8.74美元,该套件包括Azure活动目录、Azure权限管理服务和高级威胁分析。
UEM和Endpoint Manager如何融入EMM市场
在企业采用自携设备(BYOD)趋势的推动下,硬件管理正在从微软公司主导的世界转变为日益多样化的世界,其中包括iOS、Android和Apple设备。Gartner公司预测,到2020年,将有80%的工作在移动设备上进行,这将加快统一端点管理(UEM)的发展势头,这将允许从单个控制台管理所有面向用户的设备。
Gartner公司表示,到2022年,将使用企业移动性管理(EMM)软件或统一端点管理(UEM)工具管理企业拥有的配备Windows 10操作系统的电脑。这将有助于企业提高运营效率。对于许多人来说,最困难的部分是选择使用Intune之类的东西,还是将基于许多第三方供应商的软件构建的管理生态系统整合在一起。
Gartner公司表示,要想获得成功,任何全面的统一端点管理(UEM)产品都需要与客户端管理工具集成并达到以下目标:
·提供一个控制台来配置、管理和监视传统的移动设备、个人电脑和物联网资产的设备管理。
·统一数据保护、设备配置和应用程序的应用。
·提供多设备用户的单一视图,以提供更好的最终用户支持,并收集详细的工作场所分析。
·充当协调点,以协调相关端点技术(例如身份服务和安全基础设施)的活动。
移动设备管理(MDM)和统一端点管理(UEM)之间的最大区别在于:后者设想管理电脑硬件就像管理移动设备一样容易。
Gartner公司移动、端点和可穿戴计算团队副总裁Chris Silva表示,大多数支持统一端点管理(UEM)的软件供应商都来自移动设备管理(MDM)和企业移动性管理(EMM)市场,并且在过去的几年中,许多供应商都在增加微软产品的管理功能。
Silva在电子邮件中表示:“许多公司最近也扩展了对ChromeOS和macOS平台的支持,使它们能够同时管理多种类型的传统端点以及它们管理的移动端点。传统客户端管理工具供应商(CMT)的板块在扩展其传统电脑管理工具以处理移动设备和现代操作系统方面进展较慢。简而言之,该领域看起来与过去对移动设备管理(MDM)/企业移动性管理(EMM)空间的分析非常相似。”
除了微软公司之外,其他提供统一端点管理(UEM)解决方案的供应商还包括Blackberry、IBM、MobileIron和VMware等公司。
Gartner公司移动、终端和可穿戴计算团队的研究总监Bryan Taylor表示,特别是VMware公司的AirWatch在其提供的功能方面一直很出色,特别是使企业能够弥合传统客户端管理软件(如System Center Configuration Manager(SCCM)或LANDESK)与现代工具之间的鸿沟。
Taylor在谈到Endpoint Manager的前身Intune时说:“Intune和AirWatch都具有更大的特性集,旨在帮助企业过渡到现代管理。”
Gartner公司表示,从传统的个人电脑管理向企业移动性管理(EMM)/统一端点管理(UEM)工具的迁移对于企业来说是“关键的战略要务”,但是部署的时间表很大程度上取决于企业希望朝这个方向发展的速度以及他们愿意投入多少资金。
该公司建议,从今年起,那些在采用新技术方面最积极(约占所有企业的10%)的“A型”组织应该已经开始转向统一端点管理(UEM)。这些组织相信新技术是一种战略差异。
“C型”组织,或者最不可能迅速采用新技术的组织(约占企业的20%),应在2022年之前考虑使用统一端点管理(UEM)工具。
大部分企业(“B型”或组织的70%)位于二者中间。他们目前使用多种技术方法,今年只有少数人积极进入统一端点管理(UEM)。Gartner公司表示,大多数人继续维护单独的电脑管理工具和过程。
Taylor说,“我们在明年将开始看到更多的测试。但对于大多数公司来说,不会在未来2到3年内开始将Windows和Mac的重要部分转向现代管理模式。”
广泛可用,但却很少使用
50%以上的大型企业已经拥有统一端点管理(UEM)工具,大部分是通过全面的许可协议进行的,但如今只有5%的企业实际使用了这些工具。
Taylor说:“大多数组织只是试图弄清开始这一旅程的意义。他们正在规划、制定战略和进行试验。”
他说,在将Intune纳入Endpoint Manager之前,其采用率一直是惊人的,主要是因为它附带了微软巴顿的企业协议(EA),该协议是该公司针对拥有500个或更多用户的组织的批量许可包。Intune与EA中的Azure Active Directory(AD)捆绑在一起。
Taylor说:“企业需要Azure Active Directory才能使他们的最新一代产品正常工作。因此对于大多数组织来说,这是一个机会。”
微软公司基于订阅的软件套件Office 365的日益普及也推动了采用,这也要求Azure Active Directory(AD)发挥作用。
Endpoint Manager的好处在于,微软公司要求它为Office 365移动应用程序设置数据保护策略,特别是为任何文档设置 “另存为”命令。iOS和Android操作系统并不知道如何处理Microsoft Office中的“另存为”命令。
Taylor说,不足为奇的是,Intune/Endpoint Manager在过去一年里发展迅速,因为微软公司已经着手解决它的许多缺点;微软团队似乎已经对移动的速度有了“信仰”,并开始跟上其他领先的统一端点管理(UEM)供应商,如AirWatch和MobileIron的发展。
他说:“我从没见过微软公司的产品团队如此迅速地行动。”
Endpoint Manager可以做什么
通过Endpoint Manager(Intune)的控制台,IT管理员可以执行统一端点管理(UEM)策略,最终用户可以通过任何硬件平台登录,并可以应用规则来管理他们可以访问哪些应用程序和哪些数据。统一端点管理(UEM)在移动平台上使用MDM API来启用身份管理,无线管理、运营分析和资产管理。至少从理论上讲,统一端点管理(UEM)使IT团队能够通过单个管理控制台远程配置,控制和保护从智能手机到平板电脑、笔记本电脑、台式机以及现在的物联网(IoT)设备的所有内容。
一些统一端点管理(UEM)产品还允许移动应用程序管理(MAM),使IT管理员可以控制对特定业务应用程序及其相关内容的访问,而无需控制整个物理设备。
现在,可以通过该操作系统的企业移动性管理(EMM)控制台来完成运行Windows 10的商务笔记本电脑和台式机所需的许多基本应用程序和系统配置功能,该控制台由微软公司的Intune协议启用。这意味着具有最新Windows操作系统部署的组织可以通过统一端点管理(UEM)使用整合的管理工具以及统一的策略和配置平台。
例如,该软件与Microsoft的Azure AD和Azure信息保护的集成使管理员能够通过应用访问规则和条件对文档和电子邮件进行分类(并选择性地进行保护)。Intune与Azure数据保护的集成让管理员可以在移动设备拍摄的图像上添加水印,无论是企业发布的还是通过自携设备(BYOD)策略使用的。
为了简化设备管理(尤其是对于Windows商店),微软公司去年通过Intune将固有的企业移动性管理(EMM)功能添加到Windows 10的移动操作系统中。这是Windows 10移动操作系统的补充,该系统具有内置的设备管理客户端,可用于部署、配置、维护和支持智能手机。
在Windows 10的所有版本中,包括台式机、移动设备和物联网(IoT)硬件的版本,客户端都提供一个界面,Intune可以通过该界面管理任何使用Windows 10系统的设备。
Intune支持有条件访问,包括拒绝访问不是由其管理或不符合企业IT策略的设备;Office 365和Office移动应用程序的管理;以及管理运行Windows Vista或更新的Windows版本的电脑。
开放的API还允许第三方软件提供商(例如SAP)将其应用程序访问控制打包到Intune的用户界面(UI)中。
微软公司的Hameroff说:“我们还使用了适用于任何可能的Android容器的AppConfig,因此我们可以为需要通过Intune保护的任何应用迁移操作系统功能。由于我们对应用程序进行了深度集成管理,因此我们也在保护应用程序中的数据。例如,可以强制执行复制和粘贴块之类的操作。我们的SDK也具有该功能,因此任何应用程序可以使用它打包并进行复制粘贴。”
运行Windows 10操作系统的商务笔记本电脑和台式机所需的许多基本应用程序和系统配置功能也可以通过企业移动性管理(EMM)控制台执行。Endpoint Manager与基于代理的SCCM一起使用,以支持更高级的电脑和服务器管理功能。主要订阅包括对SCCM的使用权利,这使组织可以通过同一管理控制台管理台式机和移动设备,这是统一端点管理(UEM)策略的另一个好处。
Carhartt采用Intune遇到了问题
工作服生产厂商Carhartt公司首席信息官John Hill使用Intune管理其手机环境,这是Office 365推出的一部分。但在遇到一些问题之后,该公司的团队放弃使用Intune,转而使用一个更全面的平台。
Carhartt公司拥有1850个电脑客户,300个采用智能手机的客户,其中95%的智能手机运行iOS。
作为2016年内部安全计划升级的一部分,Carhartt公司通过其微软企业协议推出了Intune。Hill承认并没有做过很多研究,并假设Iunune很容易应用到现有的微软环境中。Intune的设备管理控制面板,可以在其中选择安全性参数。
Carhartt公司基础设施总监Chris Walker表示,该公司更倾向于自携设备(BYOD)政策,因此移动设备管理(MDM)战略很有吸引力,因为员工使用的硬件平台将无济于事。但是由于Intune出现了问题,因此Carhartt公司最终将其部署限制在其移动环境中。
Walker说:“我们在移动设备方面遇到了很多问题,以至于无法在其中添加桌面。”
他解释说,大多数问题涉及策略控制、策略部署和整体管理。他表示,一些最终用户失去对所有应用程序和数据的访问权限;然后,IT人员必须在设备上卸载并重新安装Intune,或者将用户从组中移出并返回到组中以重新获得访问权限。
Hill说,他甚至联系了两个已有微软实践的行业合作伙伴,以寻求建议和帮助。但这两家公司都无法解决问题。
Hill认为“荒谬”的另一个问题涉及在Intune上使用的管理工具太少,导致所有移动和应用程序控件都被立即部署。因为企业采用自携设备(BYOD)政策,并且企业发行的设备中有80%用于个人通信。他表示,不想让手机删除所有数据,因为这些数据存储位置错误或输入了太多的错误密码。
他说:“我们不想对其他事情产生影响:他们的联系人、个人照片以及使人们对在手机上使用管理工具持谨慎态度的那些事情。显然,我们在设备管理方面做得很少,这显然会产生问题。企业应该能够加载MDM(工具集),并且实际上能够关闭所有策略。我们只是在试图简化流程。这就是InTune的构建方式;它包含大量不同选项的列表,只需打开或关闭它们即可,但无法减少控件的数量,”
去年年初,Carhartt公司放弃使用Intune专用许可,并购买了微软的企业移动套件,该套件包括Intune许可,同时还提供移动应用管理(MAM)。
Hill说:“它运行得非常好并且易于部署。因此,我们基本上摆脱了独立的Intune许可证,转而使用了所有企业移动性和安全性(EMS),这提供了我们所需的这些功能。这使我们的工作和生活变得更加轻松。无论在容器中放入什么应用程序,都不会影响设备的其他部分。”
该公司仍在研究的一个问题是,提供在一个管理控制台下支持Windows、Apple和Chrome设备的能力。Walker说:“企业确实需要三种解决方案来进行管理。这两家公司的合作并不顺利,也许这是故意的。”
兄弟国际公司的云整合计划
兄弟国际公司(Brother International)信息技术副总裁Tony Serignese表示,该公司推出了Intune来管理其移动设备环境。在五年前部署Office 365之后,他后来了解到其中包括Intune的许可包。
因此,在2016年,该公司与Microsoft Azure一起推出了该产品。兄弟国际公司拥有约1,800个Windows桌面客户端以及近500个移动用户,其中大多数使用iOS,而使用Android的用户很少。
在使用Intune之前,兄弟国际公司曾使用MobileIron公司的移动设备管理(MDM)平台数年的时间。但是,随着用于工作相关功能的移动设备数量的增加,软件许可的成本也随之增加。
Serignese说:“我们得到的支持也不是很好。”
网络系统基础设施管理员Kai Fan说:“与Intune相比,当时对Android的支持还没有那么强大。例如,我们必须下载单独的应用程序才能使电子邮件在Android上运行。对于Intune,使用Outlook应用程序,我们可以在Android设备上配置本机电子邮件客户端。”
Serignese说,“成本是其应用的主要推动力。一个好消息是,它不会花费更多的费用,这是Office 365许可协议的一部分。”
但是,IT团队的投诉之一涉及生成报告的问题。Kai Fan说:“他们需要改善报告,了解其设备,可以看到所有内容,但是要对数据进行处理将会非常困难。”
他表示,例如只是列出设备上运行的所有Android应用程序对于Intune是一项艰巨的任务。
另一个用户抱怨的问题是完成安装需要很多工作量。该公司花了两个月才部署完毕,兄弟国际公司每周举行两次Intune部署聚会,并从预定部门吸引最终用户。
兄弟国际公司负责微软公司和云平台的高级技术主管Kirit Nayee说:“每个用户大约需要15分钟来设置Intune。最耗时的部分是人们弄清楚他们的Apple ID是什么。”
Fan表示,实现Intune的配置和拓扑以及设置其管理策略非常简单。
采用基于云计算的服务一直是兄弟国际公司的持续主题,现在兄弟国际公司在企业资源计划(ERP)和客户关系管理(CRM)环境中都使用外部服务。它还计划从明年春季开始迁移到AWS云平台。
Serignese说:“我可以说,对于员工来说,要做的事情比服务器内存损坏或备份运行还要担心。”
使用像Intune这样的基于云计算的移动管理平台,可以使IT部门更好地控制其移动环境,并且可以提供以前的移动设备管理(MDM)平台无法提供的新的安全功能。
Serignese说:“我们现在才开始研究Intune的安全性。通过使用它,我们可以查看更多功能,而不必购买其他产品。”
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号