Wprowadzenie do programu Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Należący do pakietu rozwiązań Microsoft System Center program System Center 2012 Configuration Manager zwiększa wydajność działu IT dzięki redukcji liczby zadań wykonywanych ręcznie zwalniającej czas na wartościowe projekty, maksymalizacji inwestycji w sprzęt i oprogramowanie oraz zwiększeniu możliwości użytkowników końcowych przez zapewnienie im odpowiednich programów w odpowiednich momentach. Program Menedżer konfiguracji służy do zapewniania skuteczniejszych usług informatycznych dzięki umożliwieniu bezpiecznego i skalowalnego wdrażania oprogramowania, zarządzania ustawieniami zgodności oraz wszechstronnego zarządzania zasobami serwerów, komputerów stacjonarnych, laptopów i urządzeń przenośnych.
Program Menedżer konfiguracji współpracuje z istniejącymi technologiami i rozwiązaniami Microsoft, maksymalizując ich wydajność. Na przykład:
Program Menedżer konfiguracji używa usług domenowych Active Directory do zabezpieczeń, lokacji usług, konfiguracji i odkrywania urządzeń i użytkowników przeznaczonych do zarządzania.
Program Menedżer konfiguracji używa programu Microsoft SQL Server jako rozproszonej bazy danych do zarządzania zmianami oraz integruje się z usługami raportowania SQL Server Reporting Services (SSRS) w celu generowania raportów pozwalających na monitorowanie i śledzenie działań z zakresu zarządzania.
Wiele ról systemu lokacji programu Menedżer konfiguracji oferuje funkcje zarządzania wykorzystujące usługi sieci Web serwera Internet Information Services (IIS).
Usługi inteligentnego transferu w tle oraz BranchCache pozwalają na zarządzanie dostępna przepustowością sieci.
Dodatkowo program Menedżer konfiguracji integruje się z usługą Windows Server Update Services (WSUS), funkcją Ochrona dostępu do sieci (NAP), usługami certyfikacyjnymi, oprogramowaniem Exchange Server i Exchange Online, zasadami grupy, rolą serwera DNS, zestawem zautomatyzowanej instalacji systemu Windows (Windows AIK) i narzędziem do migracji stanu użytkowników (USMT), usługą wdrażania systemu Windows (WDS) oraz Pulpitem zdalnym i Pomocą zdalną.
Aby skutecznie skorzystać z programu Menedżer konfiguracji należy najpierw dokładnie zaplanować i przetestować funkcje zarządzania. Dopiero następnie warto wdrożyć program Menedżer konfiguracji w środowisku produkcyjnym. Ponieważ program Menedżer konfiguracji jest zaawansowaną aplikacją do zarządzania, może mieć ona wpływ na każdy komputer w organizacji. Dokładne zaplanowanie i przygotowanie wdrożenia programu Menedżer konfiguracji pozwoli na wykorzystanie programu Menedżer konfiguracji do zredukowania narzutów administracyjnych i łącznego kosztu posiadania.
Więcej informacji możesz o programie Menedżer konfiguracji można znaleźć w następujących sekcjach:
Funkcje zarządzania w programie Configuration Manager
Konsola programu Configuration Manager
Katalog aplikacji, Centrum oprogramowania i Portal firmy
- Właściwości programu Configuration Manager (klienta)
Przykładowe scenariusze programu Configuration Manager
Przykładowy scenariusz: Zwiększenie możliwości dostępnych dla użytkowników przez zapewnienie im dostępu do aplikacji z dowolnego urządzenia
Przykładowy scenariusz: jednolite zarządzanie zgodnością urządzeń
Przykładowy scenariusz: uproszczenie zarządzania zgodnością urządzeń
Następne kroki
Funkcje zarządzania w programie Configuration Manager
Poniższa tabela zawiera szczegółowe informacje o najważniejszych funkcjach zarządzania programu Menedżer konfiguracji. Każda możliwość ma oddzielne wymagania wstępne. Wybrane możliwości mogą mieć wpływ na projekt i sposób wdrożenia hierarchii programu Menedżer konfiguracji. Przykładowo przy wdrożeniu oprogramowania na urządzenia w hierarchii konieczna jest instalacja roli systemu lokacji punktu dystrybucji.
Możliwości zarządzania |
Opis |
Więcej informacji |
|---|---|---|
Zarządzanie aplikacjami |
Obejmują zestaw narzędzi i zasobów ułatwiających tworzenie, wdrażanie i monitorowanie aplikacji w przedsiębiorstwie. |
Wprowadzenie do zarządzania aplikacjami w programie Configuration Manager |
Dostęp do zasobów firmy |
Dla programu System Center 2012 R2 Configuration Manager i nowszych wersji: Obejmują zestaw narzędzi i zasobów, dzięki którym można umożliwić użytkownikom w organizacji dostęp do danych i aplikacji z lokalizacji zdalnych. Narzędzia te zawierają następujące funkcje:
|
|
Ustawienia zgodności |
Obejmują zestaw narzędzi i zasobów pozwalających na ocenę, śledzenie i usuwanie problemów ze zgodnością konfiguracji w urządzeniach klienckich w przedsiębiorstwie. |
Wprowadzenie do ustawień zgodności w programie Configuration Manager |
Program Endpoint Protection |
Obejmuje zarządzanie bezpieczeństwem, oprogramowaniem chroniącym przed złośliwym kodem oraz zaporą systemu Windows w komputerach przedsiębiorstwa. |
Wprowadzenie do programu Endpoint Protection w programie Configuration Manager |
Stan zapasów |
Obejmują zestaw narzędzi do identyfikacji i monitorowania zasobów:
|
Zapoznaj się z następującymi dokumentami: |
Wdrożenie systemu operacyjnego |
Obejmuje narzędzia do tworzenia obrazów systemu operacyjnego: Obrazy te można następnie wdrożyć na komputerach zarządzanych przez program Menedżer konfiguracji oraz komputerach niezarządzanych, używając rozruchu przez środowisko PXE lub nośnika rozruchowego, takiego jak zestaw pływ CD, DVD lub dysk flash USB. |
Wprowadzenie do wdrażania systemu operacyjnego w programie Configuration Manager |
Zarządzanie poza pasmem |
Integracja z technologią zarządzania aktywnego firmy (Intel AMT) pozwala na zarządzanie komputerami stacjonarnymi i laptopami niezależnie od klienta programu Menedżer konfiguracji lub systemu operacyjnego komputera. |
Wprowadzenie do zarządzania poza pasmem w programie Configuration Manager |
Zarządzanie energią |
Obejmuje zestaw narzędzi i zasobów ułatwiających zarządzanie poborem mocy przez klientów w przedsiębiorstwie i monitorowanie go. |
Wprowadzenie do zarządzania energią w programie Configuration Manager |
Kwerendy |
Obejmuje narzędzia do pobierania informacji o zasobach w hierarchii oraz danych o zapasach i komunikatów o stanie. Istnieje możliwość użycia tych informacji do tworzenia raportów i definiowania kolekcji urządzeń oraz użytkowników w celu wdrożenia oprogramowania oraz ustawień konfiguracji. |
|
Profile połączenia zdalnego |
Dla programu System Center 2012 R2 Configuration Manager i nowszych wersji: Obejmuje zestaw narzędzi i zasobów do tworzenia, wdrażania i monitorowania ustawień połączeń zdalnych w urządzeniach należących do organizacji. Wdrażając te ustawienia, można ułatwić użytkownikom końcowym łączenie się z zasobami w sieci firmowej. |
Wprowadzenie do profili połączenia zdalnego w programie Configuration Manager |
Zdalne sterowanie |
Obejmuje narzędzia do zdalnego zarządzania klientami z konsoli programu Menedżer konfiguracji. |
Wprowadzenie do zdalnego sterowania w programie Configuration Manager |
Raportowanie |
Obejmuje zestaw narzędzi i zasobów pomagających w realizacji zaawansowanych raportów w ramach usługi raportowania SQL Server Reporting Services z konsoli programu Menedżer konfiguracji. |
Wprowadzenie do raportowania w programie Configuration Manager |
Pomiar użytkowania oprogramowania |
Obejmuje narzędzia do monitorowania i zbierania danych o użytkowaniu oprogramowania za pomocą klienta Menedżer konfiguracji. |
Wprowadzenie do oprogramowania zliczania w programie Configuration Manager |
Aktualizacje oprogramowania |
Obejmuje zestaw narzędzi i zasobów ułatwiających tworzenie, wdrażanie i monitorowanie aktualizacji oprogramowania w przedsiębiorstwie. |
Wprowadzenie do aktualizacji oprogramowania w programie Configuration Manager |
Zarządzanie przy użyciu usługi Microsoft Intune |
Za pomocą programu Menedżer konfiguracji można zarządzać urządzeniami z systemami iOS, Android (w tym Samsung KNOX), Windows Phone i Windows, korzystając z usługi Microsoft Intune. Mimo korzystania z usługi Microsoft Intune, zadania zarządzania wykonuje się za pomocą roli systemu lokacji łącznika usługi Microsoft Intune dostępnej za pośrednictwem konsoli programu Menedżer konfiguracji. Program System Center 2012 R2 Menedżer konfiguracji udostępnia też możliwość zarządzania urządzeniami z systemem Windows 8.1 w taki sam sposób jak urządzeniami przenośnymi, które nie mają zainstalowanego klienta programu Menedżer konfiguracji. |
Więcej informacji dotyczących planowania i wykonywania instalacji programu Menedżer konfiguracji pod kątem obsługi tych funkcji zarządzania w określonym środowisku znajduje się w dokumencie Wprowadzenie do administrowania lokacją w programie Configuration Manager.
Konsola programu Configuration Manager
Po instalacji programu Menedżer konfiguracji, należy użyć konsoli programu Menedżer konfiguracji do konfiguracji lokacji i klientów oraz uruchomienia zadań zarządzania i monitorowania ich. Konsola jest głównym punktem administracyjnym, który pozwala na zarządzanie wieloma lokacjami. Za pomocą konsoli można uruchomić konsole dodatkowe pozwalające na obsługę konkretnych zadań zarządzania, takich jak:
Eksplorator zasobów do wyświetlenia informacji o zapasach sprzętu i oprogramowania.
Zdalne sterowanie do zdalnego łączenia się z klientami i usuwania problemów.
Zarządzanie poza pasmem do łączenia się z kontrolerem zarządzania AMT w komputerach obsługujących technologię Intel AMT oraz realizacji zadań z zakresu zarządzania energią i rozwiązywania problemów.
Konsolę programu Menedżer konfiguracji można zainstalować na dodatkowych serwerach i stacjach roboczych, wprowadzając ograniczenia informacji dostępnych w konsoli dla poszczególnych użytkowników administracyjnych. Służy do tego oferowana przez program Menedżer konfiguracji funkcja administracji opartej na rolach.
Więcej informacji znajduje się w sekcji Instalowanie konsoli programu Configuration Manager w temacie Instalowanie lokacji i tworzenie hierarchii programu Configuration Manager.
Katalog aplikacji, Centrum oprogramowania i Portal firmy
Wykaz aplikacji programu Menedżer konfiguracji to strona, z której użytkownicy mogą wyszukać programy dla komputerów z systemem Windows i zażądać ich. Aby ta strona była dostępna, w lokacji musisz zainstalować punkt usługi sieci Web wykazu aplikacji oraz punkt witryny sieci Web wykazu aplikacji.
Centrum oprogramowania jest wprowadzane razem z instalacją klienta programu Menedżer konfiguracji na komputerach z systemem Windows. Za pomocą tej aplikacji użytkownicy mogą żądać nowych programów oraz obsługiwać wdrożonymi programami z poziomu oprogramowania Menedżer konfiguracji. Centrum oprogramowania pozwala na realizację następujących zadań:
Przeglądanie i instalacja oprogramowania z Katalogu aplikacji.
Wyświetlenie historii żądań oprogramowania.
Ustalenie, kiedy program Menedżer konfiguracji może instalować oprogramowanie na urządzeniach.
Konfigurowanie ustawień dostępu do zdalnego sterowania (pod warunkiem jego włączenia przez użytkownika administracyjnego).
Portal firmy to aplikacja lub witryna sieci Web zapewniająca funkcje podobne do Katalogu aplikacji, ale przeznaczone dla urządzeń przenośnych zarejestrowanych za pomocą usługi Microsoft Intune.
Więcej informacji znajduje się w temacie Wprowadzenie do zarządzania aplikacjami w programie Configuration Manager.
Właściwości programu Configuration Manager (klienta)
Instalacja klienta programu Menedżer konfiguracji na komputerze z systemem Windows powoduje także instalację funkcji Menedżer konfiguracji w Panelu sterowania. Przeważnie konfiguracja tej aplikacji nie jest konieczna. Konfiguracja klienta jest wykonywana w konsoli programu Menedżer konfiguracji. Za pomocą tej aplikacji użytkownicy administracyjni oraz pomoc techniczna może rozwiązywać problemy u poszczególnych klientów.
Więcej informacji dotyczących wdrażania klienta znajduje się w temacie Wprowadzenie do wdrażania klientów w programie Configuration Manager.
Przykładowe scenariusze programu Configuration Manager
W poniższych scenariuszach została pokazana firma Trey Research, która za pomocą programu System Center 2012 Configuration Manager chce zwiększyć wydajność użytkowników, ujednolicić zarządzanie zgodnością, usprawnić czynności administracyjne oraz uprościć zarządzanie urządzeniami w celu zredukowania kosztów działu IT. We wszystkich scenariuszach głównym administratorem programu Menedżer konfiguracji jest Adam.
Przykładowy scenariusz: Zwiększenie możliwości dostępnych dla użytkowników przez zapewnienie im dostępu do aplikacji z dowolnego urządzenia
Firma Trey Research chce, aby wszyscy pracownicy mieli szybki i wydajny dostęp do potrzebnych aplikacji. Adam mapuje te wymagania firmy do następujących scenariuszy:
Wymaganie |
Bieżący stan zarządzania klientami |
Przyszły stan zarządzania klientami |
|---|---|---|
Nowi pracownicy mogą być wydajni od pierwszego dnia w pracy. |
Nowi pracownicy muszą po pierwszym zalogowaniu się poczekać na zainstalowanie aplikacji. |
Nowi pracownicy mają po zalogowaniu dostępne i gotowe do pracy wszystkie potrzebne aplikacje. |
Pracownicy mogą szybko i wygodnie prosić o potrzebne dodatkowe programy. |
Pracownicy, którzy potrzebują dodatkowych programów, muszą założyć zgłoszenie w pomocy technicznej i poczekać około dwóch dni na jego przetworzenie oraz zainstalowanie potrzebnych aplikacji. |
Pracownicy, który potrzebują dodatkowych programów, mogą ich zażądać bezpośrednio z witryny sieci Web. Jeśli tylko nie występują ograniczenia licencyjne, odpowiednie programy zostaną od razu zainstalowane. Jeśli występują takie ograniczenia, użytkownicy muszą najpierw uzyskać odpowiednią zgodę na instalację aplikacji. W witrynie sieci Web wyświetlane są tylko te aplikacje, które mogą zostać zainstalowane przez użytkownika. |
Pracownicy mogą używać urządzeń przenośnych w pracy, o ile urządzenia te są zgodne z monitorowanymi i wymuszanymi zasadami bezpieczeństwa. Zasady te obejmują następujące elementy:
|
Pracownicy obsługują pocztę e-mail za pomocą serwera programu Exchange. Jednak funkcje raportowania są ograniczone do sprawdzania zgodności z zasadami bezpieczeństwa skonfigurowanymi jako domyślne zasady skrzynki pocztowej Exchange ActiveSync. Używanie prywatnych urządzeń przenośnych jest niedozwolone, chyba że dział IT potwierdzi ich zgodność z tymi zasadami. |
Dział IT może sprawdzać zgodność urządzeń przenośnych z wymaganymi ustawieniami. Dzięki temu użytkownicy mogą nadal używać tych urządzeń w pracy. Użytkownik może zdalnie wyczyścić utracone lub ukradzione urządzenie przenośne, a pomoc techniczna może to zrobić dla każdego zgłoszonego urządzenia. Rejestracja urządzeń przenośnych w środowisku PKI zwiększa bezpieczeństwo i poziom kontroli. |
Pracownicy mogą być produktywni nawet, jeśli nie znajdują się przy własnym biurku. |
Pracownicy, którzy nie siedzą przy biurku i nie dysponują komputerami przenośnymi, nie mają dostępu do swoich aplikacji z kiosków rozmieszczonych po całej firmie. |
Pracownicy mogą korzystać z komputerów publicznych, aby uzyskać dostęp do aplikacji i danych. |
Ciągłość biznesowa ma z reguły pierwszeństwo przed instalowaniem wymaganych aplikacji i aktualizacji oprogramowania. |
Wymagane aplikacje i aktualizacje oprogramowania są instalowane w ciągu dnia i zakłócają pracę użytkowników, ponieważ spowalniają komputer lub uruchamiają go ponownie w czasie instalacji. |
Użytkownicy mogą skonfigurować godziny pracy, aby uniemożliwić instalowanie wymaganego oprogramowania podczas korzystania z komputera. |
Aby spełnić te wymagania, Adam wykorzystuje te możliwości zarządzania i opcje konfiguracji w programie Menedżer konfiguracji:
Zarządzanie aplikacjami
Zarządzanie urządzeniami przenośnymi
Implementuje te wymagania przy użyciu kroków konfiguracji opisanych w poniższej tabeli.
Kroki konfiguracji |
Wynik |
|---|---|
Adam sprawdza, czy nowi użytkownicy mają konta użytkowników w usłudze Active Directory i tworzy dla nich nową kolekcję na podstawie kwerendy w programie Configuration Manager. Następnie określa dla tych użytkowników koligację urządzenia użytkownika, tworząc plik mapujący te konta użytkowników na komputerach podstawowych, z których będą korzystali, a następnie importuje ten plik do programu Configuration Manager. Aplikacje, które muszą mieć nowi użytkownicy, zostały już utworzone w programie Menedżer konfiguracji. Adam wdraża następnie te aplikacje do kolekcji zawierającej nowych użytkowników, których cel to Wymagane. |
Ze względu na informacje o koligacji urządzenia użytkownika aplikacje zostaną zainstalowane na komputerach podstawowych wszystkich użytkowników przed ich zalogowaniem się. Po pomyślnym zalogowaniu się użytkownika aplikacje są gotowe do użycia. |
Adam instaluje i konfiguruje role systemu lokacji katalogu aplikacji, aby użytkownicy mogli przeglądać w poszukiwaniu aplikacji, które mają być zainstalowane. Tworzy wdrożenia aplikacji, których cel to Dostępne, a następnie wdraża te aplikacje do kolekcji zawierającej nowych użytkowników. Adam konfiguruje aplikacje z ograniczoną liczbą licencji tak, aby wymagały zatwierdzenia. |
Po skonfigurowaniu aplikacji jako dostępnych dla tych użytkowników i użyciu katalogu aplikacji użytkownicy mogą przeglądać aplikacje, których instalację mogą przeprowadzić. Użytkownicy mogą następnie natychmiast zainstalować aplikacje lub zażądać zatwierdzenia i wrócić do katalogu aplikacji, aby zainstalować je po zatwierdzeniu żądania przez dział pomocy technicznej. |
Adam tworzy łącznik serwera Exchange w programie Menedżer konfiguracji, aby zarządzać urządzeniami przenośnymi łączącymi się z firmowym serwerem lokalnym Exchange. Konfiguruje ten łącznik przy użyciu ustawień zabezpieczeń wymagających silnego hasła i blokujących urządzenie przenośne po okresie braku aktywności. Adam ma program Menedżer konfiguracji SP1. Aby móc dodatkowo zarządzać urządzeniami z systemem Windows Phone 8, Windows RT i iOS, kupuje subskrypcję programu Microsoft Intune, a następnie instaluje rolę systemu lokacji łącznika usługi Microsoft Intune. To rozwiązanie dotyczące zarządzania urządzeniami przenośnymi zwiększa możliwości firmy w zakresie obsługi zarządzania tymi urządzeniami. Obejmuje udostępnianie aplikacji użytkownikom, aby mogli je instalować na tych urządzeniach, oraz rozbudowane zarządzanie ustawieniami. Połączenia z urządzeniami przenośnymi są ponadto zabezpieczone za pomocą certyfikatów PKI automatycznie generowanych i wdrażanych przez program Intune. Po skonfigurowaniu łącznika usługi Microsoft Intune Adam wysyła posiadaczom tych urządzeń przenośnych wiadomość e-mail. Po kliknięciu zawartego w niej linku zostanie rozpoczęty proces rejestracji. Adam stosuje ustawienia zgodności dla urządzeń przenośnych, które mają być zarejestrowane przez program Intune, aby skonfigurować ustawienia zabezpieczeń tych urządzeń. Te ustawienia wymagają między innymi skonfigurowania silnego hasła i blokowania urządzenia przenośnego po okresie braku aktywności. |
Te dwa rozwiązania w zakresie zarządzania urządzeniami przenośnymi umożliwiają działowi IT organizacji użytkownika dostarczanie informacji o raportowaniu dotyczących urządzeń przenośnych stosowanych w sieci firmowej i ich zgodności ze skonfigurowanymi ustawieniami zabezpieczeń. Użytkownicy są instruowani, w jaki sposób zdalnie czyścić zawartość urządzeń przenośnych za pomocą katalogu aplikacji lub portalu firmy w przypadku utraty lub kradzieży urządzenia. Także dział pomocy technicznej jest instruowany, w jaki sposób zdalnie czyścić zawartość urządzenia przenośnego na prośbę użytkownika za pomocą konsoli programu Menedżer konfiguracji. W przypadku urządzeń przenośnych zarejestrowanych przez program Intune Adam może ponadto w obecnej wersji programu wdrażać aplikacje do urządzeń przenośnych, aby umożliwić użytkownikom ich zainstalowanie, zbierać więcej danych dotyczących zapasów z tych urządzeń oraz lepiej zarządzać tymi urządzeniami dzięki dostępowi do większej liczby ustawień. |
Firma Trey Research ma kilka komputerów publicznych, z których korzystają pracownicy odwiedzający biuro. Pracownicy oczekują, aby aplikacje były dostępne po zalogowaniu się. Adam nie chce jednak instalować lokalnie wszystkich aplikacji na każdym komputerze. Z tego względu Adam tworzy wymagane aplikacje z dwoma typami wdrożenia:
|
Gdy pracownicy odwiedzający biuro logują się do komputera publicznego, widzą wymagane aplikacje jako ikony na pulpicie. Po uruchomieniu aplikacji jest ona przesyłana strumieniowo jako aplikacja wirtualna, co zapewnia użytkownikom taką samą produktywność jak na komputerze stacjonarnym. |
Adam powiadamia użytkowników o możliwości konfigurowania godzin pracy w programie Software Center i wybrania opcji uniemożliwiających wdrażanie oprogramowania w tym okresie oraz jeśli komputer jest w trybie prezentacji |
Mając możliwość określenia czasu wdrażania przez program Menedżer konfiguracji oprogramowania na komputerach, użytkownicy mogą pracować efektywniej w godzinach roboczych. |
Te czynności konfiguracyjne i wyniki sprawiają, że firma Trey Research może łatwo udostępniać pracownikom aplikacje na dowolnym urządzeniu.
Przykładowy scenariusz: jednolite zarządzanie zgodnością urządzeń
Firma Trey Research oczekuje jednolitego rozwiązania w zakresie zarządzania klientami obejmującego aktualizowane automatycznie oprogramowanie antywirusowe. To rozwiązanie powinno działać w ten sposób, że Zapora systemu Windows zostanie włączona, krytyczne aktualizacje oprogramowania będą instalowane, określone klucze rejestru zostaną odpowiednio ustawione, a zarządzane urządzenia przenośne nie będą mogły instalować ani uruchamiać niepodpisanych aplikacji. Ponadto firma chce rozszerzyć tę ochronę na komputery przenośne łączące się zarówno z siecią intranet jak i Internetem.
Adam mapuje te wymagania firmy do następujących scenariuszy:
Wymaganie |
Bieżący stan zarządzania klientami |
Przyszły stan zarządzania klientami |
|---|---|---|
Na wszystkich komputerach działa oprogramowanie chroniące przed złośliwym kodem z aktualnymi plikami definicji i jest włączona Zapora systemu Windows. |
Na różnych komputerach działają różne rozwiązania chroniące przed złośliwym kodem, które nie zawsze są aktualne. Choć Zapora systemu Windows jest domyślnie włączona, użytkownicy czasami ją wyłączają. W przypadku wykrycia na komputerze złośliwego oprogramowania użytkownicy mają się kontaktować z działem pomocy technicznej. |
Na wszystkich komputerach działa to samo oprogramowanie chroniące przed złośliwym kodem, automatycznie pobierające najnowsze pliki aktualizacji definicji i automatycznie włączające Zaporę systemu Windows w razie wyłączenia jej przez użytkownika. W przypadku wykrycia złośliwego oprogramowania dział pomocy technicznej jest powiadamiany automatycznie za pomocą poczty elektronicznej. |
Krytyczne aktualizacje oprogramowania są instalowane na wszystkich komputerach w ciągu miesiąca od ich wydania. |
Choć na komputerach są instalowane aktualizacje oprogramowania, na wielu komputerach krytyczne aktualizacje oprogramowania nie są instalowane automatycznie w ciągu dwóch lub trzech miesięcy od ich wydania. Przez ten czas komputery są narażone na ataki. W przypadku komputerów, na których krytyczne aktualizacje oprogramowania nie zostały zainstalowane, dział pomocy technicznej wysyła najpierw wiadomości e-mail, w których użytkownicy są proszeni o zainstalowanie aktualizacji. W razie zignorowania tej prośby inżynierowie działu pomocy technicznej łączą się zdalnie z odpowiednimi komputerami i instalują brakujące aktualizacje oprogramowania ręcznie. |
Zwiększenie obecnego stopnia zgodności w danym miesiącu do ponad 95% bez wysyłania wiadomości e-mail lub proszenia działu pomocy technicznej o ręczne instalowanie aktualizacji. |
Ustawienia zabezpieczeń określonych aplikacji są regularnie sprawdzane i w razie potrzeby korygowane. |
Na komputerach są zainstalowane złożone skrypty uruchamiania wymagające członkostwa w grupie komputerów w celu resetowania wartości rejestru określonych aplikacji. Ze względu na to, że skrypty są uruchamiane wyłącznie przy uruchamianiu systemu, a niektóre komputery nie są wyłączane przez kilka dni, dział pomocy technicznej nie może w odpowiedniej chwili sprawdzić, czy konfiguracja jest aktualna. |
Wartości rejestru są sprawdzane i automatycznie korygowane niezależnie od członkostwa w grupie komputerów lub ponownego uruchamiania komputera. |
Niebezpieczne aplikacje nie mogą być instalowane ani uruchamiane na urządzeniach przenośnych. |
Użytkownicy są proszeni o niepobieranie i nieuruchamianie potencjalnie niebezpiecznych aplikacji z Internetu, nie ma jednak mechanizmów monitorowania i wymuszania tej reguły. |
Urządzenia przenośne zarządzane za pomocą łącznika usługi Microsoft Intune lub programu Configuration Manager automatycznie uniemożliwiają instalowanie i uruchamianie niepodpisanych aplikacji. |
Komputery przenośne łączące się zarówno z siecią intranet jak i Internetem muszą być zabezpieczone. |
Użytkownicy, którzy podróżują, często nie są w stanie codziennie łączyć się przy użyciu sieci VPN, przez co komputer przenośny staje się niezgodny z wymaganiami bezpieczeństwa. |
Jedynym warunkiem, aby komputery przenośnie były zgodne z wymaganiami bezpieczeństwa, jest połączenie z Internetem. Użytkownicy nie muszą logować się ani korzystać z sieci VPN. |
Aby spełnić te wymagania, Adam wykorzystuje te możliwości zarządzania i opcje konfiguracji w programie Menedżer konfiguracji:
Program Endpoint Protection
Aktualizacje oprogramowania
Ustawienia zgodności
Zarządzanie urządzeniami przenośnymi
Internetowe zarządzanie klientami
Implementuje te wymagania przy użyciu kroków konfiguracji opisanych w poniższej tabeli.
Kroki konfiguracji |
Wynik |
|---|---|
Adam konfiguruje ochronę punktu końcowego i włącza Zaporę systemu Windows oraz ustawienie klienta umożliwiające odinstalowywanie innych rozwiązań chroniących przed złośliwym oprogramowaniem. Konfiguruje zasady automatycznego wdrażania, aby komputery regularnie sprawdzały i instalowały najnowsze aktualizacje definicji. |
Pojedyncze rozwiązanie chroniące przed złośliwym kodem pomaga chronić wszystkie komputery, obniżając koszty administracyjne do minimum. W przypadku wykrycia złośliwego oprogramowania dział pomocy technicznej jest powiadamiany automatycznie za pomocą wiadomości e-mail, co umożliwia szybkie rozwiązanie problemów i pomaga zapobiegać atakom na inne komputery. |
Aby zwiększyć stopień zgodności, Adam korzysta z automatycznych zasad wdrażania, określa okna obsługi serwerów oraz sprawdza wady i zalety korzystania z funkcji Wake on LAN w przypadku komputerów z włączoną hibernacją. |
Zgodność w zakresie krytycznych aktualizacji oprogramowania zostaje zwiększona, przez co użytkownicy lub pracownicy działu pomocy technicznej muszą rzadziej instalować aktualizacje oprogramowania ręcznie. |
Adam korzysta z ustawień zgodności, aby sprawdzić, czy są obecne określone aplikacje. Po wykryciu aplikacji elementy konfiguracji sprawdzają wartości rejestru i korygują je automatycznie w razie niezgodności. |
W wyniku korzystania ze sprawdzających codziennie zgodność elementów i podstaw konfiguracji wdrożonych na wszystkich komputerach nie są już wymagane odrębne skrypty uzależnione od członkostwa komputera i jego ponownego uruchamiania. |
Adam korzysta z ustawień zgodności przeznaczonych do zarejestrowanych urządzeń przenośnych i konfiguruje łącznik serwera Exchange w taki sposób, aby na urządzeniach przenośnych nie można było instalować i uruchamiać niepodpisanych aplikacji. |
W wyniku zabronienia niepodpisanych aplikacji urządzenia przenośne są automatycznie chronione przed potencjalnie szkodliwymi aplikacjami. |
Adam sprawdza, czy serwery sytemu lokacji i komputery mają certyfikaty PKI wymagane przez program Configuration Manager do połączeń HTTPS, a następnie instaluje dodatkowe role systemu lokacji w sieci obwodowej, które akceptują połączenia klienckie z Internetu. |
Komputery łączące się zarówno z siecią intranet jak i Internetem będą nadal automatycznie zarządzane przez program Configuration Manager po uzyskaniu połączenia z Internetem. Te komputery nie są zależne od logujących się lub łączących się z siecią VPN użytkowników. Te komputery będą nadal zarządzane w zakresie ochrony przed złośliwym kodem, Zapory systemu Windows, aktualizacji oprogramowania i elementów konfiguracji, co przełoży się na automatyczne zwiększenie poziomów zgodności. |
Te czynności konfiguracyjne i wyniki sprawią, że firma Trey Research pomyślnie ujednolici zarządzanie zgodnością urządzeń.
Przykładowy scenariusz: uproszczenie zarządzania zgodnością urządzeń
Firma Trey Research oczekuje, że na wszystkich nowych komputerach będzie automatycznie instalowany podstawowy obraz komputera firmy z systemem Windows 7. Po zainstalowaniu na tych komputerach obrazu operacyjnego muszą one być zarządzane i monitorowane pod kątem dodatkowego oprogramowania instalowanego przez użytkowników. Komputery przechowujące poufne dane wymagają bardziej restrykcyjnych zasad zarządzania niż pozostałe komputery. Na przykład, inżynierowie działu pomocy technicznej nie mogą łączyć się z takimi komputerami zdalnie, w celu ich ponownego uruchomienia musi zostać wprowadzony numer PIN funkcji BitLocker i jedynie administratorzy lokalni mogą instalować na nich oprogramowanie.
Adam mapuje te wymagania firmy do następujących scenariuszy:
Wymaganie |
Bieżący stan zarządzania klientami |
Przyszły stan zarządzania klientami |
|---|---|---|
Na nowych komputerach musi być zainstalowany system Windows 7. |
Dział pomocy technicznej instaluje i konfiguruje system Windows 7 dla użytkowników, a następnie wysyła komputer w dane miejsce. |
Nowe komputery są wysyłane bezpośrednio w miejsce przeznaczenia, zostają podłączone do sieci, a instalowanie i konfigurowanie systemu Windows 7 odbywa się automatycznie. |
Komputery muszą być zarządzane i monitorowane. Dotyczy to również zapasów oprogramowania i sprzętu w celu określenia wymagań licencji. |
Klient programu Menedżer konfiguracji zostaje automatycznie wdrożony w trybie wypychania, a dział pomocy technicznej sprawdza niepowodzenia instalacji i klientów nie wysyłających danych dotyczących zapasów w oczekiwanej chwili. Często dochodzi do awarii ze względu na niespełnienie zależności instalacji i uszkodzenie usługi WMI na kliencie. |
Dane dotyczące instalacji klienta i zapasów zbierane z komputerów są bardziej niezawodne i wymagają mniejszej liczby interwencji pracowników działu pomocy technicznej. Raporty zawierają dane użycia oprogramowania umożliwiające uzyskanie informacji o licencji. |
Niektóre komputery muszą mieć bardziej rygorystyczne zasady zarządzania. |
Ze względu na bardziej rygorystyczne zasady zarządzania takie komputery nie są obecnie zarządzane przez program Menedżer konfiguracji. |
Program Menedżer konfiguracji umożliwia zarządzanie takimi komputerami bez dodatkowych kosztów administracyjnych związanych z wyjątkami. |
Aby spełnić te wymagania, Adam wykorzystuje te możliwości zarządzania i opcje konfiguracji w programie Menedżer konfiguracji:
Wdrożenie systemu operacyjnego
Wdrożenie klienta i stan klienta
Ustawienia zgodności
Ustawienia klienta
Analiza zapasów i zasobów
Administracja oparta na rolach
Implementuje te wymagania przy użyciu kroków konfiguracji opisanych w poniższej tabeli.
Kroki konfiguracji |
Wynik |
|---|---|
Adam przechwytuje obraz systemu operacyjnego z komputera z zainstalowanym systemem Windows 7, który jest skonfigurowany zgodnie ze specyfikacją firmy. Następnie wdraża system operacyjny na nowych komputerach za pomocą obsługi nieznanych komputerów i środowiska PXE. Instaluje również klienta Menedżer konfiguracji w ramach wdrożenia systemu operacyjnego. |
Nowe komputery są gotowe do działania szybciej bez żadnej interwencji ze strony zespołu pomocy technicznej. |
Adam konfiguruje automatyczną instalację wypychaną w całej lokacji, tak aby zainstalować klientów programu Menedżer konfiguracji na wszystkich wykrytych komputerach. Gwarantuje to, że wszystkie komputery, których obrazu nie utworzono z klientem, nadal instalują klienta, tak aby komputer mógł być zarządzany przez program Menedżer konfiguracji. Adam konfiguruje stan klienta tak, aby automatycznie korygował wszystkie wykryte problemy z klientem. Adam konfiguruje także ustawienia klienta, które włączają zbieranie wymaganych danych magazynu oraz konfigurowanie analizy zasobów. |
Instalacja klienta razem z systemem operacyjnym jest szybsza i bardziej niezawodna niż czekanie, aż program Menedżer konfiguracji wykryje komputer, a następnie spróbuje zainstalować na nim pliki źródłowe klienta. Jednak pozostawienie włączonej opcji automatycznej instalacji wypychanej stanowi zapasową metodę zainstalowania klienta na komputerze z poprzednio zainstalowanym systemem operacyjnym w momencie nawiązania przez ten komputer połączenia z siecią. Ustawienia klienta zapewniają, że klienci regularnie wysyłają do lokacji informacje o magazynie. W połączeniu z testami stanu klienta ułatwia to utrzymanie działania klientów przy minimalnej interwencji ze strony zespołu pomocy technicznej. Na przykład są automatycznie wykrywane i usuwane uszkodzenia usługi WMI. Raporty analizy zasobów ułatwiają monitorowanie wykorzystania i licencji oprogramowania. |
Adam tworzy kolekcję komputerów, które muszą mieć przypisane bardziej rygorystyczne ustawienia zasad, a następnie tworzy niestandardowe ustawienia urządzenia klienckiego dla tej kolekcji, takie jak wyłączenie możliwości zdalnej kontroli i włączenie wprowadzania numeru PIN funkcji BitLocker, oraz zezwala na instalowanie oprogramowania tylko administratorom lokalnym. Adam konfiguruje administrację opartą na rolach tak, aby inżynierowie działu pomocy technicznej nie widzieli tej kolekcji komputerów. Dzięki temu sprawia, że te komputery nie będą przypadkowo zarządzane jak standardowe komputery. |
Te komputery są teraz zarządzane przez program Menedżer konfiguracji, jednak przy użyciu konkretnych ustawień, które nie wymagają nowej lokacji. Kolekcja tych komputerów nie jest widoczna dla inżynierów działu pomocy technicznej, co zmniejsza prawdopodobieństwo przypadkowego wysłania do nich wdrożeń i skryptów przeznaczonych dla standardowych komputerów. |
Te czynności konfiguracyjne i wyniki sprawią, że firma Trey Research pomyślnie ujednolici zarządzanie urządzeniami klienckimi.
Następne kroki
Przed zainstalowaniem programu Menedżer konfiguracji należy zaznajomić się z niektórymi podstawowymi koncepcjami i terminami specyficznymi dla programu Menedżer konfiguracji.
Jeśli znasz program Configuration Manager 2007, zapoznaj się z dokumentem Co nowego w programie System Center 2012 Configuration Manager, ponieważ w porównaniu do starszej wersji oprogramowania wprowadzono pewne ważne zmiany dotyczące podstawowych koncepcji i funkcji.
Jeśli uaktualniasz z programu System Center 2012 Configuration Manager bez dodatku Service Pack do programu Menedżer konfiguracji SP1 lub z programu Menedżer konfiguracji SP1 do programu System Center 2012 R2 Configuration Manager, patrz Co nowego w programie System Center 2012 Configuration Manager SP1 i Co nowego w programie System Center 2012 R2 Configuration Manager, aby zapoznać się ze zmianami i aktualizacjami wprowadzonymi w nowszej wersji.
Szczegółowe techniczne omówienie programu System Center 2012 Configuration Manager znajduje się w dokumencie Podstawowe kwestie związane z programem Configuration Manager.
Jeśli znasz podstawowe koncepcje, użyj dokumentacji programu System Center 2012 Configuration Manager, aby ułatwić pomyślne wdrożenie i używanie programu Menedżer konfiguracji. Więcej informacji o dostępnej dokumentacji znajduje się w temacie Co nowego w dokumentacji programu Configuration Manager.