корпоративные инструменты управления windows
Управление Windows 10 в вашей организации — переход к современным методам управления
Использование личных устройств для работы, а также удаленные сотрудники могут вызывать трудности с управлением устройствами в вашей организации. Для некоторых подразделений организации может потребоваться строгий детализированный контроль над устройствами, а для других подойдет более легкий метод управления на основе сценариев для современных работников. Windows 10 позволяет гибко реагировать на эти изменения требований и легко развертывается в смешанной среде. Вы можете постепенно менять процент устройств с Windows 10, следуя обычным графикам обновления, которые применяются в вашей организации.
В вашей организации могли рассматривать возможность приобретения устройств с Windows 10 и их возврата к Windows 7, пока все не будет готово к формальному процессу обновления. Хотя может показаться, что это позволит сократить расходы из-за стандартизации, большей экономии можно добиться, предотвратив простои и используя преимущества Windows 10. Поскольку устройствами с Windows 10 можно управлять с помощью тех же процессов и технологий, которые используются для предыдущих версий Windows, разные версии легко могут сосуществовать.
Организация может поддерживать различные операционные системы в широком диапазоне типов устройств и управлять ими с помощью общего набора средств, таких как Microsoft Endpoint Configuration Manager, Microsoft Intune или другие сторонние продукты. Подобное «управляемое многообразие» позволяет пользователям воспользоваться преимуществами повышения производительности на их новых устройствах с Windows 10 (включая поддержку сенсорного и рукописного ввода), соблюдая при этом стандарты безопасности и управляемости. Это поможет вам и вашей организации гораздо быстрее воспользоваться преимуществами Windows 10.
В этом шестиминутном видео показано, как пользователи могут приобрести новое персональное устройство, подготовить его к работе с использованием персонализированных параметров и обеспечить управляемое взаимодействие в считанные минуты без подключения к корпоративной сети. В нем также показано, как ИТ-отдел может применять политики и конфигурации, чтобы обеспечить соответствие устройств требованиям.
Видео демонстрирует процесс конфигурации с помощью классического портала Azure, который удаляется. Клиентам следует использовать новый портал Azure. Узнайте, как использовать новый портал Azure для выполнения задач, которые раньше выполнялись на классическом портале Azure.
В этом разделе представлены рекомендации по стратегиям развертывания и управления Windows 10, в том числе для развертывания Windows 10 в смешанной среде. В разделе описаны варианты управления, а также четыре этапа жизненного цикла устройства:
Различные варианты управления в Windows 10
Windows 10 предлагает целый ряд средств управления, как показано на следующей схеме:
Как указано на схеме, Корпорация Майкрософт продолжает поддерживать глубокую управляемость и безопасность с помощью таких технологий, как group Policy, Active Directory и Microsoft Configuration Manager. Она также реализует подход, ориентированный на мобильные устройства и облачные технологии — это упрощенный, современный подход к управлению с использованием облачных решений для управления устройствами, таких как Microsoft Enterprise Mobility + Security (EMS). Будущих нововведения Windows, предоставляемые в рамках модели продаж «Windows как служба», дополняются облачными службами, такими как Microsoft Intune, Azure Active Directory, Azure Information Protection, Office 365 и Microsoft Store для бизнеса.
Развертывание и подготовка
В Windows 10 вы можете продолжить использовать традиционное развертывание ОС, но также можете воспользоваться «готовыми возможностями управления». Чтобы преобразовать новые устройства в полностью настроенные и управляемые устройства, вы можете:
Не переделывайтесь с помощью динамического обеспечения, включенного облачными службами управления устройствами, такими как Microsoft Autopilot или Microsoft Intune.
создать автономные пакеты подготовки с помощью конструктора конфигураций Windows;
Используйте традиционные методы визуализации, такие как развертывание пользовательских изображений с Microsoft Endpoint Configuration Manager.
У вас есть несколько вариантов обновления до Windows 10. Для существующих устройств с ОС Windows 7 или Windows 8.1 можно использовать надежный процесс обновления на месте, чтобы быстро и без проблем перейти на Windows 10, автоматически сохраняя существующие приложения, данные и параметры. Это может значительно снизить затраты на развертывание, а также повысить производительность, поскольку конечные пользователи немедленно смогут приступить к работе без перерывов. Конечно, вы также можете использовать традиционный подход с очисткой и загрузкой, если вы предпочитаете, с помощью тех же средств, которые вы используете сегодня с Windows 7.
Идентификация и проверка подлинности
Вы можете использовать Windows 10 и такие службы, как Azure Active Directory, новыми способами для облачной идентификации, проверки подлинности и управления. Вы можете дать пользователям возможность «принести свое устройство» (BYOD) или «выбрать свое устройство» (CYOD) из списка доступных устройств. В то же время вы можете управлять компьютерами и планшетами, которые должны быть присоединены к домену из-за отдельных приложений или ресурсов.
Управление пользователями и устройствами можно разделить на следующие две категории.
Корпоративные (CYOD) или личные устройства (BYOD), с которыми работают мобильные пользователи для SaaS-приложений, таких как Office 365. При использовании Windows 10 ваши сотрудники смогут самостоятельно подготовить свои устройства:
для корпоративных устройств можно настроить доступа с помощью присоединения к Azure AD. Если вы позволяете им присоединиться к Azure AD с автоматической регистрацией в Intune MDM, пользователи могут перевести устройства в состояние, управляемое на корпоративном уровне, за один шаг — и все это в облаке.
Присоединение к Azure AD — также прекрасное решение для временных сотрудников, партнеров или других работающих с частичной занятостью. Эти учетные записи могут храниться отдельно от локального домена AD, но по-прежнему получать доступ к корпоративным ресурсам;
в свою очередь для личных устройств сотрудники могут использовать новый, упрощенный процесс BYOD для добавления своей рабочей учетной записи в Windows и доступа к рабочим ресурсам на устройстве.
Присоединенные к домену компьютеры и планшеты, используемые для традиционных приложений и доступа к важным ресурсам. Это могут быть традиционные приложения и ресурсы, для которых требуется проверка подлинности или доступ к строго конфиденциальным локальным ресурсам. В Windows 10, если у вас есть локальный домен Active Directory, интегрированный с Azure AD, то после присоединения устройств сотрудников они автоматически регистрируются в Azure AD. Это дает следующие возможности:
единый вход для облачных и локальных ресурсов где угодно;
условный доступ к корпоративным ресурсам в зависимости от работоспособности или конфигурации устройства;
С помощью клиента или групповой политики диспетчера конфигурации можно продолжать управлять компьютерами и планшетами, присоединив к домену компьютеры и планшеты.
Дополнительные сведения о том, как Windows 10 и Azure AD оптимизируют доступа к рабочим ресурсам благодаря сочетанию устройств и сценариев, см. в разделе Использование устройств Windows 10 на рабочем месте.
При анализе ролей в вашей организации можно использовать следующее универсальное дерево принятия решений, чтобы определить пользователей или устройства, которые нужно присоединить к домену. Рассмотрите возможность переноса остальных пользователей в Azure AD.
Параметры и конфигурация
Требования к конфигурации определяются множеством факторов, включая необходимый уровень управления, контролируемые устройства и данные, а также требования отрасли. Тем временем сотрудников беспокоит применение строгих ИТ-политик к личным устройствам, но им по-прежнему требуется доступ к корпоративной электронной почте и документам. В Windows 10 можно создать согласованный набор конфигураций для всех компьютеров, планшетов и телефонов с помощью общего уровня MDM.
MDM: MDM позволяет настроить параметры нужным образом, не предоставляя доступ ко всем существующим настройкам. (Групповая политика же предоставляет детальные параметры, которые вы управляете по отдельности.) Одно из преимуществ MDM состоит в том, что вы можете применять более широкие параметры управления конфиденциальностью, безопасностью и приложениями с помощью более простых и эффективных инструментов. MDM также позволяет нацелить подключенные к Интернету устройства для управления политиками без использования GP, которая требует локально подключенных к домену устройств. Это делает MDM оптимальным вариантом для устройств, которые постоянно используют в дороге.
Групповой политики и Microsoft Endpoint Configuration Manager. Возможно, вашей организации по-прежнему потребуется управлять компьютерами, присоединиемыми к домену, на более детальном уровне, например с настраиваемыми настройками групповой политики Internet Explorer в 1500. Если это так, групповые политики и диспетчер конфигурации по-прежнему будут отличным выбором управления:
Групповая политика — лучший способ детализированной настройки присоединенных к домену компьютеров и планшетов с Windows, которые подключены к корпоративной сети, с помощью средств для Windows. Корпорация Майкрософт продолжает добавлять параметры групповой политики в каждую новую версию Windows.
Configuration Manager остается рекомендуемым решением для детальной конфигурации и надежного развертывания программного обеспечения, обновлений Windows и операционной системы.
Обновление и обслуживание
При использовании модели «Windows как служба» вашему ИТ-отделу больше не потребуются сложные процессы создания образов (очистка и загрузка) с каждым новым выпуском Windows. Для ветвей current branch (CB) и current branch for business (CBB) устройства получают последние обновления компонентов и качества с помощью простых — часто автоматических — процессов исправления. Дополнительные сведения см. в разделе Сценарии развертывания Windows 10.
MDM с Intune предоставляют средства для применения обновлений Windows на клиентских компьютерах в вашей организации. Configuration Manager предоставляет широкие возможности управления и отслеживания этих обновлений, включая окна обслуживания и правила автоматического развертывания.
Дальнейшие действия
Вы можете выполнить различные действий, чтобы начать процесс модернизация управления устройствами в вашей организации.
Оценка текущих методов управления и поиск инвестиций, которые можно сделать уже сегодня. Какие из текущих методов нужно сохранить, а какие можно изменить? В частности, какие элементы традиционного управления необходимо сохранить, а где возможна модернизация? Вы можете свести к минимуму создание специальных образов, повторно оценить управление параметрами или проверку подлинности и соответствие требованиям — в любом случае преимущества можно получить практически немедленно. С помощью средства анализа миграции MDM (MMAT) можно определить, какие групповые политики задают целевому пользователю или компьютеру, и соединим их со списком доступных политик MDM.
Оценка разных вариантов использования и потребностей в управлении вашей среде. Существуют ли группы устройств, которым пойдет на пользу упрощенное и более эффективное управление? Личные устройства (BYOD), например — естественные кандидаты для облачного управления. Пользователям или устройствам, обрабатывающим данные с более высоким уровнем регулирования, может потребоваться локальный домен Active Directory для проверки подлинности. Configuration Manager и EMS позволяют постепенно реализовать современные сценарии управления для различных устройств так, как вам будет удобно.
Изучение деревьев принятия решений в этой статье. Благодаря различным возможностям Windows 10, а также Configuration Manager и Enterprise Mobility + Security вы получаете гибкие возможности для работы с образами, проверкой подлинности, параметрами и средств управления для любого сценария.
Оптимизация существующих инвестиций. На пути от традиционного локального управления к современному облачному управлению воспользуйтесь гибкой гибридной архитектурой Configuration Manager и Intune. Начиная с Configuration Manager 1710, совместное управление позволяет одновременно управлять устройствами Windows 10 с помощью диспетчера конфигурации и Intune. Подробные сведения см. в этих разделах.
Лучшие инструменты Microsoft для администраторов и опытных пользователей Windows 10
В некоторых случаях компания официально даже не объявляла о выходе новой утилиты, и пользователи самостоятельно находили новинки в системе.
В данной статье мы собрали список новых приложений и инструментов, которые пригодятся опытным пользователям для получения расширенного контроля над Windows 10.
Сниффер сетевых пакетов Pktmon
В Windows 10 есть встроенный сниффер сетевого трафика под названием Pktmon. Данный инструмент был внедрен в систему еще в обновлении Windows 10 October 2018 Update. Он позволяет пользователям отслеживать сетевую активность приложений и диагностировать потенциальные проблемы с сетью.
В Windows 10 May 2020 Update (версия 2004) Microsoft добавила в Pktmon две дополнительные функции: просмотр перехваченных пакетов в реальном времени и преобразование журналов Pktmon в дамп PCAPNG. В новых версиях Pktmon вы можете включить мониторинг в реальном времени с помощью аргумента -l real-time.
Поскольку дампы сетевых пакетов PCAPNG поддерживаются во многих программах для мониторинга сети, таких как Wireshark, то пользователям теперь доступны дополнительные возможности для анализа журналов.
Пакетный менеджер Winget
В прошлом году Microsoft выпустила менеджер пакетов для Windows 10 под названием Winget. Данный инструмент позволяет устанавливать и управлять приложениями непосредственно из командной строки.
Чтобы установить программу с помощью Winget, введите команду winget search для поиска приложений и winget install для его установки.
Microsoft создала репозиторий с тщательно отобранными приложениями, которые можно установить с помощью Winget.
При поиске вы можете использовать ключевые слова. Например, если вы хотите найти альтернативу системному блокноту, используйте поиск по слову «note»:
Вам будет предложено установить Notepad ++ и другие приложения с «note» в названии. Если вы хотите увидеть список всех доступных пакетов, наберите команду winget search без каких-либо аргументов.
Подсистема Windows для Linux 2 (WSL2)
Windows 10 теперь поставляется с новой подсистемой Windows для Linux 2, которая включает улучшения производительности и улучшенную совместимость с более широким спектром приложений Linux.
WSL2 получила полноценное встроенное ядро Linux на базе версии 4.19 с Kernel.org. WSL 2 также обеспечивает полный доступ к стандартным системным вызовам, улучшает совместимость приложений Linux, увеличивает производительность файловой системы и многое другое.
WSL2 предлагает следующие функции:
Windows File Recovery tool
В Windows 10 интегрирован инструмент командной строки Windows 10 File Recovery, который позволяет восстанавливать удаленные файлы с жесткого диска, USB-накопителя и SD-карты.
Инструмент поможет в случаях, когда вы случайно удалили важный файл, по ошибке очистили жесткий диск или хотите восстановить поврежденные данные. Он представляет собой файл командной строки с именем winfr.exe.
Windows 10 File Recovery поддерживает два режима восстановления:
Microsoft Powertoys
На данный момент набор утилит включает следующие инструменты:
Windows Terminal
Windows Terminal — консольная программа с открытым исходным кодом с поддержкой вкладок, которая позволяет работать сразу с несколькими оболочками и консольными интерфейсами в Windows 10.
Например, в одной вкладке Windows Terminal можно открыть PowerShell, а в другой работать с оболочкой WSL2 Ubuntu.
Программа может похвастаться поддержкой гиперссылок, поддержкой мыши, фонов рабочего стола и возможностью отображать команды с клавиатуры.
В последней версии Windows Terminal Preview вы можете включить новую страницу настроек с графическим интерфейсом.
Если вы привыкли работать с консольными интерфейса, то вы полюбите Windows Terminal.
PowerShell 7
В PowerShell 7 Microsoft представила ряд новых функций, включая автоматические уведомления о новых версиях и поддержку структурированных данных форматов JSON, CSV, XML.
PowerShell 7 доступен для скачивания из магазина Microsoft Store.
Windows Sysinternals Tools
Windows Sysinternals Tools — набор бесплатных утилит, разработанных компанией «Winternals Software LP», которую Microsoft приобрела в 1996 году, позволяет опытным пользователям диагностировать и устранять неполадки и управлять операционной системой.
Одна из самых популярных утилит набора Process Explorer предоставляет подробный список запущенных процессов и их загруженных дескрипторов и библиотек DLL. Используя этот список процессов, вы можете быстро найти проблемные и ресурсоемкие процессы и при необходимости завершить их работу.
Среди расширенных функций Process Explorer: возможность отслеживать проблемы с версиями DLL и обрабатывать утечки. Инструмент удобен при проверке подозрительных процессов, которые могут оказаться вредоносными.
Другой инструмент в составе набора Process Monitor отслеживает активность запущенных процессов в файлах, а утилита Sysmon позволяет отслеживать различные действия на компьютере. С помощью Sysmon вы можете обнаружить попытки вмешательства в процессы, регистрировать данные, копируемые в буфер обмена Windows, вести журнал запросов DNS и автоматически создавать резервные копии удаленных файлов.
Новая версия Windows 10: взгляд сисадмина
Наверняка вы уже слышали, что сегодня официально выходит Windows 10 Creators Update. В этой статье мы решили быть на шаг впереди и рассказать вам про новые фичи для сисадминов в следующем обновлении Windows 10 (1703).
Конфигурирование
Конструктор Windows Configuration Designer
Ранее этот компонент назывался Windows Imaging and Configuration Designer, ICD и использовался для создания пакетов подготовки. В этой версии он получил новое название Windows Configuration Designer. В предыдущих версиях Windows, его можно установить в составе комплекта средств для развертывания и оценки Windows ADK.
Для упрощённого создания пакетов подготовки в конструкторе Windows Configuration Designer в Windows 10 версии 1703 есть ряд новых мастеров.
В обеих версиях мастера — для настольных компьютеров и киосков — есть возможность удалить предустановленное ПО с использованием поставщика службы конфигураций CleanPC.
Массовое подключение к Azure Active Directory
Новые мастера из состава Windows Configuration Designer позволяют создавать пакеты подготовки для присоединения устройств к Azure Active Directory. Массовое подключение к Azure Active Directory доступно в мастерах для настольных компьютеров, мобильных устройств, киосков и устройств Surface Hub.
Windows Spotlight
Добавились новые групповые политики и параметры управления мобильными устройствами (MDM):
Структура меню Пуск, начального экрана и панели задач
Наверняка вы знаете, что предприятия могут менять вид меню Пуск, начального экрана и панели задач на компьютерах под управлением Windows 10 редакций Enterprise и Education. В версии 1703 эти модификации можно применить также к редакции Pro.
Ранее нестандартную панель задач можно было развёртывать только с помощью групповых политик или пакетов подготовки. В новой версии поддержка нестандартных панелей появилась в средстве управления мобильными устройствами (MDM).
Появились новые параметры политик MDM для управления меню Пуск и структурой начального экрана и панели задач. Параметры политик MDM:
Развёртывание
Утилита MBR2GPT.EXE
MBR2GPT.EXE — новый инструмент командной строки. Он преобразует MBR-диск (Master Boot Record) в раздел GPT (GUID Partition Table), не меняя и не удаляя данные на диске. Эта утилита предназначена для использования в командной строке среды предустановки Windows (Windows PE), но её можно использовать и в полнофункциональной операционной системе Windows 10.
Формат разделов GPT более новый и позволяет создавать больше разделов большего размера. Он также обеспечивает повышенную надежность данных, поддерживает дополнительные типы разделов и повышает скорость загрузки и выключения. После преобразования системного диска из MBR в GPT следует перенастроить компьютер для загрузки в режиме UEFI, поэтому перед преобразованием системного диска надо убедиться, что ваше устройство поддерживает UEFI.
После загрузки в режиме UEFI в Windows 10 становятся доступными следующие функции безопасности: безопасная загрузка, ранний запуск антивредоносного драйвера ELAM (Early Launch Anti-malware), надежная загрузка Windows, измеряемая загрузка, Охранник устройств, Охранник учетных данных и сетевая разблокировка BitLocker.
Безопасность
Windows Defender Advanced Threat Protection
Новые возможности Windows Defender Advanced Threat Protection (ATP) для Windows 10 версии 1703. Кстати, напоминаем, что недавно делились описанием функционала ATP на Хабре.
К основным улучшениям в области обнаружения атак относятся:
Корпоративные клиенты теперь могут воспользоваться полным набором функций безопасности Windows благодаря тому, что информация об обнаружении атак средствами Windows Defender Antivirus и блоки Охранника устройств отображаются в портале Windows Defender ATP.
Добавлены другие возможности, позволяющие получить целостную картину расследований. К другим улучшениям расследования атак относятся:
При обнаружении атаки группы реагирования могут предпринимать неотложные меры по изоляции бреши в системе безопасности:
Проверка состояния работоспособности сенсоров — проверка способности конечной точки предоставлять данные сенсора и взаимодействовать со службой Windows Defender ATP, а также устранять известные неполадки.
Windows Defender Antivirus
Защитник Windows получил новое название — Windows Defender Antivirus. Его новые возможности:
Параметры безопасности групповых политик
Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован (Interactive logon: Display user information when the session is locked) был обновлён и теперь работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.
Появился новый параметр политики безопасности — Interactive logon: Don’t display username at sign-in. Этот параметр определяет, нужно ли отображать имя пользователя во время входа в систему, и работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Other user.
Windows Hello для бизнеса
Теперь забытый PIN-код можно сбросить, не удаляя корпоративные данные или приложения, управляемые средствами Microsoft Intune. Администратор может инициировать удаленный сброс PIN-кода устройств под управлением PIN через портал Intune.
На настольных ПК пользователи могут сбросить забытый PIN-код в разделе Параметры > Учетные записи > Параметры входа.
Обновление
Windows Update for Business
Функция приостановки обновления изменилась: теперь в ней требуется указывать дату начала установки. Если не сконфигурирована соответствующая политика, у пользователей теперь есть возможность отложить обновление в параметрах Windows Settings → Update & security → Windows Update → Advanced options. Также увеличилось время, на которое можно откладывать исправления, — до 35 дней.
Обновление устройств, управляемых с помощью Windows Update for Business, теперь можно откладывать на срок до 365 дней (ранее обновление можно было отложить только на 180 дней). Пользователи могут задавать в параметрах уровень готовности своей ветви и время, на которое следует отложить обновления.
Windows Insider for Business
Добавилась возможность загружать сборки предварительной версии Windows 10 Insider Preview, используя корпоративные учетные данные Azure Active Directory (AAD).
Оптимизация доставки обновлений
Изменения в новой версии позволили обеспечить полную поддержку экспресс-обновлений в System Center Configuration Manager, начиная с версии 1702 этого продукта, а также обновлений и управления продуктами сторонних производителей, в которых реализована эта функциональность. Она дополнила существующую поддержку экспресс-обновлений в Центре обновлений Windows, Центре обновлений Windows для бизнеса и WSUS.
Примечание. Указанные изменения доступны в Windows 10 версии 1607 после установки апрельского обновления 2017 года.
Политики оптимизации доставки обновлений теперь позволяют задавать дополнительные ограничения, что дает возможность лучше управлять различными сценариями обновления.
К новым политикам относятся:
Установленные ранее приложения больше не обновляются автоматически
При обновлении до Windows 10 версии 1703 поставляемые в составе Windows приложения, которые пользователь ранее удалил, не будут автоматически устанавливаться в рамках процесса обновления.
Управление
Новые возможности MDM
В новой версии появилось множество новых поставщиков услуг конфигурации (CSP) для управления Windows 10 с применением средств управления мобильными устройствами (MDM) или пакетов подготовки. Помимо прочего эти CSP-поставщики позволяют управлять несколькими сотнями самых полезных групповых политик посредством MDM.
Управление мобильными приложениями в Windows 10
Версия управления мобильными приложениями (mobile application management, MAM) для Windows — это облегченное решение для управления доступом к корпоративным данным и безопасностью на личных устройствах. Начиная с Windows 10 версии 1703, поддержка MAM встроена в Windows поверх WIP (Windows Information Protection).
Диагностика MDM
Продолжилась работа над совершенствованием средств диагностики, соответствующих требованиям современного управления. Появление автоматического ведения журнала для мобильных устройств позволило Windows автоматически фиксировать в журнале ошибки в MDM, избавляя от необходимости постоянно вести журнал на устройствах с небольшим объёмом памяти. Кроме того, появился Microsoft Message Analyzer — дополнительный инструмент, помогающий сотрудникам службы поддержки быстро обнаружить причины неполадок и, таким образом, обеспечить экономию времени и денег.
Мобильные устройства в Windows 10
Lockdown Designer
Приложение Lockdown Designer помогает сконфигурировать и создать XML-файл блокировки, который должен применяться к устройствам под управлением Windows 10, а также содержит функциональность удалённого моделирования, позволяющую определять конфигурацию плиток в меню Пуск и на начальном экране. Использовать Lockdown Designer проще, чем вручную создавать XML-файл блокировки.
Другие улучшения
Также появились следующие улучшения:
Полезные материалы из нашего блога и не только
UPD: Про обновления в Windows 10 Creators Update можно почитать в блоге компании.