Знакомство с Enterprise Mobility Suite (часть 2)
- Знакомство с Enterprise Mobility Suite (часть 5)
Введение
В первой части этой серии мы говорили о том, как EMS — новое решение Microsoft для управления мобильными устройствами — предлагает организациям более мобильный, ориентированный на облачные технологии способ ведения бизнеса. Мы обсудили компоненты EMS: Microsoft Active Directory Premium, Microsoft Intune и Управление правами Microsoft Azure, а также представили обзор того, что каждый из них представляет собой, делает и как он вписывается в решение.
Развертывание Azure AD Premium
Azure AD предоставляет вашей организации Active Directory, которая находится в облаке, предлагая те же услуги, что и ваша локальная Active Directory, и фактически вы можете синхронизировать свою локальную AD с Azure AD и даже настроить федеративное доверие между AD, который работает на ваших локальных контроллерах домена, и AD, который работает на контроллерах домена Azure.
Office 365 и некоторые другие облачные службы Microsoft работают с Azure AD. Учетная запись пользователя, которую вы используете для входа в Office 365, — это учетная запись Azure AD. Каждая организация, имеющая учетную запись Office 365, имеет настроенную для нее Azure AD. Администратор учетной записи Office 365 может добавлять пользователей в свою AD, управлять их паролями, назначать роли и устанавливать для них разрешения, как это делает администратор домена для пользователей через локальную AD. Пользователи получают возможность единого входа (SSO) во все приложения Office 365 через свои учетные записи Azure AD. Обратите внимание, что Azure AD, входящий в состав Office 365, не нужно приобретать или развертывать отдельно; это часть подписки на Office 365.
Итак, что еще вы можете сделать с Azure AD? Вы можете расширить существующую локальную службу Active Directory в облаке, синхронизировав ее с Azure AD с помощью инструмента DirSync. Это позволяет Active Directory работать в гибридной облачной среде, чтобы вы могли использовать облачные приложения и службы, не влияя на работу пользователей при доступе к локальным ресурсам. При настройке федеративного доверия между двумя каталогами и использовании федеративных служб Active Directory (AD FS) учетные записи пользователей по-прежнему создаются и управляются через локальные контроллеры домена.
Хотя Azure AD можно легко интегрировать с локальной службой AD, они не идентичны; то есть Azure AD — это не просто Windows Server AD, работающий на машине в облаке. Microsoft внесла ряд изменений, чтобы сделать Azure AD более масштабируемой и доступной. Azure AD был переработан, чтобы иметь возможность подключаться ко многим внешним приложениям, которыми управляют третьи стороны, а новый интерфейс графа каталогов позволяет разработчикам создавать приложения, которые интегрируются с Azure AD. Azure AD изначально разрабатывался для интеграции со службой учетных записей Microsoft, Google, Yahoo и Facebook.
Если вы знакомы с облачными службами и мультитенантностью, вы уже знаете, что это архитектурный термин, который используется для описания одного программного приложения или службы, используемой несколькими клиентами, но каждый экземпляр которой изолирован от других. Арендатор — это группа пользователей с общим доступом.
Первым шагом в развертывании Azure AD является получение арендатора, который в контексте Azure AD относится к выделенному экземпляру Active Directory вашей компании, который вы получаете при подписке на Azure, Office 365, Intune и т. д. и, конечно же, один из трех компонентов Microsoft Enterprise Mobility Suite. Арендатор — это место, где хранится вся информация о ваших пользователях (например, их имена пользователей, пароли, информация профиля и разрешения на доступ). Пользователи в арендаторе могут получить доступ к приложениям, которые там зарегистрированы и опубликованы.
Вам нужно будет назначить лицензии своим пользователям, когда вы добавите их в каталог. Если вы впервые приобретаете лицензионный план, вам может потребоваться активировать лицензионный план, следуя инструкциям в электронном письме, которое вы получите после покупки первого лицензионного плана. Это потребует заполнения профиля для использования Microsoft Online Services.
Вы получите еще одно электронное сообщение после того, как лицензии будут подготовлены для вашей Active Directory. Если у вас уже есть учетная запись Azure, перейдите на портал управления и войдите в систему. Если нет, вам нужно будет перейти по ссылке в электронном письме или на странице активации «Доступ к Azure Active Directory». Это проведет вас через необходимые шаги для доступа к вашему каталогу.
Вам будет предложено указать номер мобильного телефона, который будет использоваться для многофакторной аутентификации. Вы можете выбрать, чтобы Azure отправил вам текстовое сообщение или позвонил вам, чтобы подтвердить номер телефона. После этого доступ будет активирован, и вы сможете перейти на портал управления, чтобы настроить Azure AD и управлять им.
Теперь вам нужно назначить каждому пользователю в вашей организации лицензию, чтобы они могли использовать расширенные функции Azure AD. Это делается путем входа на портал в качестве глобального администратора, выбора Active Directory и каталога, в котором вы хотите назначить лицензии пользователям, а затем выберите вкладку Лицензии. Здесь вы выбираете Enterprise Mobility Suite и нажимаете «Назначить». Вы можете выбрать нескольких пользователей, отметив их флажками. Теперь вы готовы использовать AD Premium.
Развертывание Microsoft Intune
Intune — это решение Microsoft для облачного управления мобильными устройствами (MDM) и компьютерами, объединенное в одной службе. Intune использует Azure AD, в котором хранятся учетные записи пользователей и сведения об учетных записях, как и другие службы Microsoft. С помощью Intune вы можете управлять не только устройствами Windows, но и мобильными устройствами iOS и Android. Он настраивается и управляется через веб-портал.
Intune также можно интегрировать с Configuration Manager. Если вы пойдете по этому пути, вам придется управлять мобильными устройствами из консоли Configuration Manager, а не через портал управления Intune. У интеграции с Configuration Manager есть свои преимущества и недостатки. Здесь мы предполагаем, что вы развертываете Intune как отдельное решение, а не интегрируете его с Configuration Manager.
Ваш первый шаг — войти в Intune с помощью учетной записи вашей компании, а затем настроить Intune в качестве центра управления мобильными устройствами. Только одна служба управления может быть назначена авторитетной. Чтобы установить Intune в качестве центра MDM, в консоли выберите «Администратор », затем «Управление мобильными устройствами» и в списке «Задачи» нажмите «Установить центр управления мобильными устройствами» и установите флажок для Microsoft Intune, затем нажмите «Да».
Затем вам нужно включить регистрацию мобильных устройств для любых операционных систем, работающих на устройствах, которые будут использовать ваши пользователи. Вы можете настроить компьютеры Windows, ОС Windows Phone, устройства Android и iOS. Многие шаги одинаковы, но они различаются в зависимости от ОС. Мы рассмотрим, как настроить компьютеры с Windows, и я предоставлю ссылки для настройки регистрации для других операционных систем.
Возможно, вы захотите настроить псевдоним DNS для адреса сервера регистрации, чтобы пользователям было проще регистрировать свои устройства, но это необязательно. Для этого вы проверяете и создаете DNS CNAME. Вы также можете включить или отключить загрузку приложений (установка приложений из источников, отличных от Магазина Windows).
Прежде чем можно будет зарегистрировать какие-либо устройства, необходимо добавить пользователей в Intune. Это делается с помощью параметра «Добавить пользователей» на портале управления Intune. Вы можете добавить одного пользователя за раз или выполнить массовое добавление, создав файл значений, разделенных запятыми (.csv), и импортировав его. Вы также можете использовать средство DirSync для синхронизации локальной службы Active Directory с Azure AD.
Тогда у вас есть несколько вариантов. При желании вы можете создавать группы, добавлять политики для устройств для управления их функциями и устанавливать ограничение на количество устройств, которое каждый пользователь может зарегистрировать, с помощью правил регистрации в разделе «Управление MDM» на портале администрирования. Вы также можете настроить портал, указав название вашей компании и дополнительную информацию, такую как контактная информация ИТ-отдела, заявление о конфиденциальности организации, название веб-сайта и т. д. Вы можете опубликовать условия, с которыми ваши пользователи должны согласиться при первом входе на корпоративный портал.
Теперь пользователи могут регистрировать свои собственные устройства через веб-сайт корпоративного портала или приложение корпоративного портала, а вы можете регистрировать корпоративные устройства с помощью диспетчера регистрации устройств в Intune. После регистрации устройств вы сможете использовать функции Intune для получения информации об инвентаризации устройств, развертывания приложений на мобильных устройствах, управления параметрами и функциями на устройствах, управления доступом к ресурсам вашей организации и использования удаленной очистки и удаленной блокировки для защиты устройства и сеть компании, если устройство потеряно, украдено или пользователь покидает компанию.
Резюме
В этой части 2 нашей серии статей о знакомстве с Microsoft Enterprise Mobility Suite мы более подробно рассмотрели особенности развертывания первых двух из трех его служб: Azure Active Directory и Microsoft Intune. Мы завершим эту серию в части 3, рассмотрев, как развернуть Microsoft Azure Rights Management.
- Знакомство с Enterprise Mobility Suite (часть 5)