共用方式為

萬能技客: Windows InTune - 由別人包辦電腦管理

  • 發行項

說到監視和管理工作,使用雲端服務可能是理想的選擇。

Greg Shields

雲端可能還不是人人都適用,但是使用裝載在雲端內的服務肯定沒錯。 在您堅持沒什麼差別之前,思考一下您可能已經在用的雲端服務。 您的防毒簽名檔和每月的 Windows 更新都是來自其他地方。 反垃圾郵件篩選器肯定也是從在您掌控之外的地方收集的。 即使是電子郵件本身,最後也是從您內部伺服器透過外部提供者送達預定的收件者。

我們的產業用這個含糊的用詞「雲端」來形容別人裝載的服務等於幫了自己一個倒忙。我們試圖把過去使用且信任多年的網際網路形式的解決方案分門別類。

對於我們大多數人來說,廠商提及「雲端內」的服務常挖掘出一些暗不可喻的荒謬恐懼感。 實際上,雲端服務往往跟我們信任多年的服務沒什麼差異,有時候還更實用。 Windows InTune 可說是完美實例。

認清這個真相很重要。 您要了解,透過別人裝載的服務來管理您的 Windows 電腦,可能再理想不過了。 這些存在「雲端內」的離站服務最適合那些無法禁閉電腦資產的 IT 專業人員。 如果您有漫遊的膝上型電腦,Windows InTune 這類以雲端為主的管理工具,可能是無論資產流向何方都能保持控制權的最佳管道。

即使電腦從未離開過辦公室,像 Windows InTune 這類以雲端為主的解決方案無須添增伺服器就可以提高管理控制能力。 少一部伺服器就少一事,也就有更多時間處理其他工作。 如果您渴望大型工作室享有的管理自動化,應該會喜歡 Windows InTune 提供的功能。

監視電腦行為

Windows InTune 是 Microsoft 另一個以訂閱為主且日益茁壯的線上服務套件。 InTune 將清查、修補、端點保護、警示通知和遠端控制功能全都集中到單一 Web 主控台。 主控台本身是由 Microsoft 裝載。 要管理您的系統,先從瀏覽至 InTune 開始。 安裝在每部電腦上的代理程式會將資訊導向 Microsoft,讓您不用又多一部伺服器需要照料。

您現在有系統相關的外部中繼資料集合。 在 InTune,Microsoft 對於存放您認為機密或專屬的資料沒有太大興趣。 收集的資料主要是與電腦設定相關,也就是大多數認為風險極低的資料目錄。

深入了解電腦行為所帶來的巨大優勢是每個 IT 工作室都需要的,但鮮少工作室喜歡做這樣的差事。 從 InTune Web 主控台 (請參閱 [圖 1]),您會看到針對管理下的電腦彙總了可提供警示的活動和行為。 這些都是針對磁碟損毀和記憶體失敗等難找問題的監視器。 就跟前輩 Microsoft System Center Operations Manager (SCOM) 所提供的警示一樣,InTune 的 380 種警示類型也針對您的電腦健康提供了詳盡的預知能力。

Windows InTune feeds you a variety of alerts

[圖 1] Windows InTune 提供各種警示。

簡單是 InTune 其中一項核心價值主張。 這種單純性與 SCOM 豐富且可無限延展的警示基礎結構形成了強烈的對比。 SCOM 雖然可以針對監視器、管理組件和調整覆寫提供完整的相互關係,但是它的基礎結構對於基本的監視需要往往過於累贅。 InTune 會為您設定和調整警示, 讓您只收到啟用或停用警示,以及將它們轉寄給正確的電子郵件收件者等少數選項。

保護用戶端

InTune 的主要角色在於用戶端保護。 InTune 透過 Microsoft Forefront Endpoint Protection 用戶端量身打造的版本支援端點保護。 它也可以透過集中管理的 Windows Update 用戶端部署 Microsoft 更新。 透過 InTune 管理這些設定可免除本機的控制。 它也會向您確保有遵守您的原則。

雖然反惡意程式碼與更新支援兩者都是絕對必要 (請參閱 [圖 2]),但 Microsoft 做出了一項特別明智且傑出的設計決策。 那就是 InTune 並不在乎受管理用戶端的網域成員資格。 無論用戶端的網域成員資格為何,您都可以透過單一的中央服務來管理它們。 它們可以存在 LAN 或是網際網路上, 可以是您擁有或是非您所有的資產。 而與員工家用電腦相關的風險突然間就顯得更低了。

InTune also gives you a myriad of malware reports

[圖 2] InTune 也提供您無數的惡意程式碼報告。

藉由做出這些膽大的決策,讓 InTune 從 Windows 網域抽離,Microsoft 從而為您的內部資產提供更完善的保護。 您員工的家用電腦現在可以享有與您提供的膝上型電腦同樣的保護。 即使該部膝上型電腦從未回歸辦公室,仍舊會受到管理控制,可取得更新和反惡意程式碼簽名檔。 掌控惡意程式碼並將之杜絕在您的網路之外,這才是威力所在。

InTune 是透過一小組可設定的原則來達成此目標。 目前有兩個原則用於控制代理程式行為和防火牆設定。 您可以在使用者需要支援時,使用第三個原則提供連絡資訊。 這些都不會取代 Windows 群組原則,而未來可能有其他原則,如果這些原則被認為對連線用戶端有利的話。

未來的管理架構

InTune 透過其內建的硬體、軟體和授權清查功能,在管理電腦方面提供您適當程度的細節。 話說如此,也不能掩飾目前的 InTune 服務仍舊相當粗淺的事實。 全面管理自動化還需要其他功能,例如部署軟體、協力廠商更新及執行指令碼,還有其他活動。 不過,這是個好的開始。 做為線上服務,InTune 是 Microsoft 朝正確方向邁出的一步。 它也代表著未來加入管理功能的架構。

Microsoft 透過線上服務,不再侷限於產品發行週期。 開發新功能所需投入的心力也簡單許多,因為代理程式資料和管理它的工具都已集中在 Microsoft 基礎結構中。 InTune 是個令人讚賞的開端。 而 IT 是否會信任由別人裝載的電腦管理服務,仍有待觀察。

Brien Posey

Greg Shields 是一位 MVP,他是 Concentrated Technology 的合夥人。 若要了解更多 Shields 的萬事通秘訣與技巧,請造訪 ConcentratedTech.com

相關內容