企业移动办公的成功之道:大企业的“统一管理”
在本系列的上一篇文章中,介绍了“统一管理”模式,其中强调了与分散的管理产品(例如 AirWatch 或 MobileIron)相比,单一、内聚的管理系统具有巨大的优势,后者可以管理一切,从移动设备到 PC 再到服务器。
这种端到端的企业管理是微软的独特基因,也是我们始终保持的一个优势。我们认为客户和合作伙伴应该对他们的管理解决方案保持高期望值, 并充分利用他们所购买的基础结构和解决方案。例如,您的管理解决方案是否能够有效地同时管理企业 PC 和个人移动设备(既保存了企业数据,也保存了个人数据)?或者,您的管理解决方案是否能够同时保护企业应用程序和企业数据?此外,您的管理解决方案是否能够有效地适应新的移动设备类型,新的平台更新,以及新的操作准则--快速适应所有这些情况?更进一步:您所部署的基础结构是否同时为您的组织提供了针对恶意软件的保护?
如果您对这 4 个问题的回答都是“否”,或者是“也许”,那么微软提供了一个您一定会喜欢的解决方案!有了组策略、System Center Configuration Manager(SCCM)、System Center Endpoint Protection(SCEP)和 Enterprise Mobility Suite,微软的客户总是能够回答“是的”! 在高强度、高期望值的 IT 世界中,这个回答的重要性再怎么强调也不过分。
多年来,我在 SCCM 社区反复强调了一个要点,那就是大部分公司所部署的 SCCM 基础结构可用于很多方面的管理。我的大部分工作时间都在构建企业基础结构解决方案,我深深地理解部署、保护和维护这些基础结构的成本和复杂性。我在全世界的很多企业中看到了大量不同的基础结构,我的建议是:尽最大可能减少这些全球的基础结构的部署,并且充分利用您已经部署的基础结构。这也是我喜欢 SCCM 产品的原因之一--它提供了丰富且高级的 PC、设备和服务器管理。现在在雷德蒙德,我们的终结点保护就是基于相同的基础结构构建的,而且,利用前面所提到的与 Intune 的连接,所有移动设备管理都可以通过 SCCM 控制台来完成。当使用 Intune + SCCM 时,您的移动设备上的所有数据都存储在 SCCM 基础结构内。
PC + 设备管理
“统一管理”显然意味着现在和未来我们还有许多工作要做。根据Gartner Magic Quadrant的报告,我们在 PC 管理领域的领先地位仍然是不可动摇的,全世界大多数企业组织都使用我们的产品来满足深层工作负载/场景管理需求。这种深层的 PC 管理和设备管理经验证明了一个简单的事实:“统一管理”模式并不是用其他设备来取代 PC,它只是将对您已经部署的基础结构的技能和用途进行了扩展,从而在 IT 行业中提供了最佳的解决方案(适用于任何设备)。
利用已部署的基础结构来管理所有设备
“统一管理”模式的机制实际上非常简单:它的核心是将您的标准 SCCM 部署连接到 Intune。我在几周前的一篇广受欢迎的博客文章中写到了这个问题,我建议所有 IT 组织都应该体验一下将这二者结合起来的强大功能。在当今环境中,我们需要完成越来越多的工作,而且必须提高效率,因此充分利用已部署的 SCCM 基础结构将带来巨大的利益。
在微软,我们有几个“世界观”,这些是我们的战略和功能的基础。以下就是这三个世界观:
- 世界观之一,未来高级、丰富的 PC 管理应该是一项本地工作任务。
- 世界观之二,企业移动设备管理应该从云中交付。
- 世界观之三,组织应该使用单一控制台(即单一管理界面)管理所有 PC 和设备。
了解这些世界观的含义将帮助大家理解以下问题:我们一直在致力于构建什么,我们在 SCCM 的哪些PC 管理功能中进行了不断的投资,为什么我们要在 Intune 的移动设备管理中进行投资,以及为什么我们现在要将所有管理功能整合到 SCCM 控制台中。
在将 SCCM 和 Intune 结合到一起的过程中,我们需要解决的一个挑战是:当 SCCM 控制台需要更新时,如何利用 Intune 的基于云的特性来快速、轻松地更新 SCCM 管理控制台?我们需要避免 SCCM 管理员不断下载和安装更新,我们希望 Intune 的更新能够自动从云端被下载并安装到 SCCM 控制台中。我猜想在某种程度上,我们需要利用“软件即服务”的方式来更新 SCCM(即 SaaSify SCCM)。当然,“SaaSify”可能不是一个正规的术语,但它确实很好地描述了我们需要做什么--而且需要用创新的方式去做。
为了实现此目标,我们构建了 Extensions for Windows Intune。利用 Extensions for Windows Intune,每当我们在 Intune 中增加新功能时,都可以用 XML 来描述需要在 SCCM 控制台中增加什么。然后,当 SCCM 管理员打开 SCCM 控制台时,他们将得到 Intune 更新的提示,下一步就是批准扩展包的安装。管理员只需选择接受扩展包,即可下载并安装它们。然后,更新后的 SCCM 控制台就会反映出 Intune 的新功能,并可以从 SCCM 控制台对这些功能进行管理。
这就是我们以“软件即服务”方式来更新 SCCM 控制台的方法。Windows、iOS 和安卓设备会不断发布新功能,这种方法允许我们不断将这些新功能从 Intune SaaS 应用程序下载到 SCCM。这就是如何通过 SCCM 控制台来管理您的所有 PC 和设备。
SCCM 管理员只需点击几次鼠标,即可将 SCCM 基础结构连接到 Windows Intune,然后,所有通过 Windows Intune 管理的设备就会显示在 SCCM 控制台中。完成这项设置后,管理员可以获得一个一致的工作流和 UX,可用于将应用程序和策略部署到 PC 和现代设备上。已经有很多客户使用了 Extensions for Windows Intune。如果您不是他们中的一员,还在等什么呢?:)
毕竟,现在还没有其他的管理供应商能够做到这一点。
有关 Extensions for Windows Intune 的更多文档,请参见这里。
为什么混合设置非常重要
通过结合 SCCM 和 Intune,您的混合基础结构立即会变得无比强大,您可以从 SCCM 控制台执行更多管理功能。以下只是举几个简单的例子:
- 在各种平台上部署应用程序
利用 SCCM+Intune,您可以从单一控制台部署各种平台(例如 iOS、安卓和 Windows)的应用程序。利用这个单一控制台,无论您管理哪种设备,都可以使用一致的工作流和 UX,这意味着您只需更少的培训和时间来支持新设备或平台更新。这种混合设置使您能够简化和统一管理。 - 设置跨平台的策略
混合管理还允许您为所有设备类型设置单一的设备安全策略,然后将其推送到所有设备--无论它们在哪里,也无论它们在基础结构中的使用方式如何。 - 各种平台的Wi-Fi 配置、 VPN 、证书管理
类似于策略控制,利用统一的控制台,您不再需要基于设备平台的独立的无线 LAN,相反,您只需一次性设置 Wi-Fi 配置文件,然后将它们部署到所有设备类型。 - 获得所有平台的设备清单在一个地方获取所有 Windows、iOS 和安卓设备的完整且准确的清单。桌面、笔记本、平板、手机、POS 设备--所有这些都可以在 SCCM 数据库中快速查看。
Office 应用程序的未来
在不远的将来,SCCM 和 Intune 的组合还将能够管理您的 Office 应用程序。很快,新版本的 Office 应用程序将能够通过 Windows Intune 应用程序限制策略进行管理。这将允许 IT 管理应用程序之间的复制/粘贴,也可以控制用户将信息保存到应用程序中的哪个位置。
我们还将有一个功能称为“Conditional Access”,它允许管理员设置访问控制,仅当设备由 Windows Intune 管理并且满足策略标准时,才授予对 O365(电子邮件和 OneDrive for Business)或本地 Exchange/SharePoint 的访问权限。例如,您可以设置一个策略,一个移动设备只有在设置了开机密码、被加密并且没有被破解的情况下,才能够访问企业电子邮件。如果任何一个标准没有被满足,则设备将停止接收电子邮件,而且用户的企业邮箱会被清空,只留下一封通知用户该设备不满足企业标准的邮件。而且这封电子邮件还可以引导用户对设备进行调整,以便满足这些标准。
这里只是以电子邮件为例,Intune 中提供的条件访问功能还可应用于任何企业应用程序。
要了解实际的操作,请查看我最近在微软全球合作伙伴大会上的主题演讲:快进到 21:00 分钟的位置(特别是 22:30 前后)。
[View:~/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-91-73/Productivity-in-a-Mobile_2D00_First-World.mp4:0:0]
这些功能具有极高的价值,因为它们支持您的最终用户使用他们所喜欢的应用程序(例如 Office),而且您可以实现必要的控制,以确保他们只能访问满足 IT 策略的信息。当然,设备上的数据也是受保护的。
注:请参考博客文章“小企业的统一管理”。