מאת: אור צמח Microsoft Regional Director – Windows Clients ויועץ תשתיות בחברת Dario
שלום, כאן שוב אור צמח והפעם אני רוצה קצת להרחיב על יכולת חמקמקה, הדרושה לרבים מהארגונים הקיימים היום בשוק ואשר נשמעת מאוד מורכבת לביצוע כשהאמת זה שהיא, ובכן, ממש לא…
מדובר על היכולת של ארגון (במידה והוא חפץ בכך) לתמוך במחשבי הארגון המרוחקים כאשר הרשת היחידה אליה הם מחוברים היא רשת האינטרנט. אני מדבר לא רק על תחנות בסניפים מרוחקים אשר חיבור ישיר אליהן לא מצדיק את עצמו מבחינה כלכלית אלא גם על מנהלים בנסיעות עסקים, אנשים העובדים מביתם וכיום, עם המגמה ההולכת וגדלה של מחשוב נייד, יכול להיות שמדובר פשוט בשהיה מחוץ למשרד לארוחת צהריים ארוכה עם מחשב נייד.
לצורך כך, אנו מטמיעים לרוב מערכות שליטה ותחזוקה מרכזיות כגון WSUS לעדכוני מערכת, שרתי אנטי וירוס או שרת כדוגמת SCCM שעושה הכל יחד וגם מאפשר לנו לבצע פעולות נוספות כדוגמתRemote Control, אך כאשר אנחנו פורסים את השירותים הנ”ל אנו לרוב מניחים שיש תקשורת כלשהיא בין תחנת הקצה לשרת הניהול, מה שלא קורה כאשר התחנה שלנו מחוברת לרשת של ארומה.
לכן, כדי להשאיר את התחנות שלנו מנוהלות גם דרך האינטרנט, בואו נסקור מספר פתרונות אפשריים
· Virtual Private Network Connection
חיבור ה VPN מוכר היטב לכל מנהל רשת מתחיל, מדובר בתוספת קטנה למערכת ההפעלה או בתוכנת צד שלישית אשר מאפשרת חיבור וירטואלי ומאובטח דרך רשת האינטרנט לשרתי החברה שלנו בצורה כזו שהמחשב *חושב (משחק מילים משעשע) שהוא נמצא ברשת המקומית ובמידה וצריך לבצע עליו פעולות כגון Remote Control או לעדכן את תוכנת האנטי וירוס, העדכון מתבצע “כמעט” כמו בחיבור רגיל לרשת הארגון. למה כמעט? כי עדיין אנחנו מוגבלים ברוחב הקו איתו אנחנו מחוברים. (הרחבה מעניינת לנושא ה VPN ניתן למצוא תחת הערך Direct Access בגרסת ה Enterprise של Windows 7 אשר מאפשרת חיבור קבוע לרשת הארגון דרך האינטרנט ללא התערבות המשתמש)
פתרון זה מצריך קניית רישוי עבור פתרון החיבור מרחוק, הקמת תשתית ארגונית אשר תתמוך בחיבור מרחוק וכמובן, התקנה והגדרת VPN Connection בתחנות הקצה בכדי שיוכלו להתחבר מרחוק.
היתרונות הברורים של חיבור זה הינם שמדובר בפתרון הוליסטי לחיבור המחשב מרחוק לכל שירותי הארגון (לאחר שווידאנו שכל נושאי אבטחת המידע טופלו בהתאם)
· Internet Facing Clients
כמעט לכל שרת ניהול יש יישום קטן הנקרא Client אשר מותקן בתחנות הקצה ואשר מדבר איתו “מאחורי הקלעים”, אותו Client משמש את שרת הניהול לבצע פעולות ספציפיות לאותו שרת על תחנת הקצה כגון הפצת יישומים, הפצת מערכות הפעלה, התקנת עדכוני מערכת ואף ביצוע Inventory ו Remote Control. על מנת שה Client יוכל לדבר עם שרת הניהול דרך רשת האינטרנט ללא שימוש ב VPN, אנו צריכים “לפרסם” (Publish) את שרת הניהול שלנו “החוצה” לשרת האינטרנט כך שיוכל לתקשר עם תחנות אלה בצורה מלאה.
פתרון זה מחייב התקנת תשתית ספציפית בשרתי הארגון שלנו כך שיוכלו לדבר עם תחנות דרך האינטרנט בצורה מאובטחת כאשר לרוב מדובר בפרויקט פחות מורכב (וגם זול) מפריסת תשתית VPN מלאה. החיסרון הוא כמובן שמדובר בחיבור ה Clientבלבד. לא ניתן יהיה לבצע פעולות בחיבור מרחוק מלבד מה שהClient עצמו יודע לבצע – מישהו אמר גישה לקבצים ולמייל ?
על החידושים ב SCCM 2012בכל הנוגע ל Internet Facing Clients, אני ממליץ על הקישור הבא:
http://www.apajove.com/index.php/blog/item/26-sccm-2012-internet-based-client-deployment
עכשיו, בעוד שמדובר בשני פתרונות ותיקים ומוכחים לפתרון בעיית הניהול מרחוק של התחנות, הבעיה הקבועה תמיד נשארת – ניהול תחנות, ובמיוחד תחנות מרוחקות עלול להיות יקר ומורכב מדי עבור ארגונים רבים, במיוחד משרדים קטנים ומבוזרים, בהם חצי מהסגל בחו”ל או עובד מהבית והחצי השני במשרד או בבית הקפה. לארגונים כאלה ואחרים, עלות ההקמה והרישוי של מערכת שכזו עלולות להיות לא כדאיות בעליל וכאן נכנס לתמונה Windows Intune.
Windows Intune הוא אחד משירותי הענן החדשים של מיקרוסופט המכוון בדיוק לאותם ארגונים אשר להם דרוש לא רק פתרון ניהול מרכזי ונוח, אלא גם שפתרון זה יחול על כל תחנות הארגון, בין אם הן במשרד או לא.
השירותים ש Windows Intuneמספק לתחנות הארגון הן
· ממשק מרכזי מבוסס Webאשר זמין מכל דפדפן לניהול מרכזי של תחנות הארגון ללא עלויות תשתית או רישוי
· ניהול Windows Updates (במקום שרת WSUS)
· ניהול יישומי אנטי וירוס של מיקרוסופט (Microsoft Security Essentials החינמי והזריז וגם תמיכה ב Forefront)
· Monitoring (היכן יש תקלות ביישומים, הודעות שגיאה, תקלות כלליות ועוד)
· שליטה מרחוק באמצעות כלי ה Easy Assistמבית מיקרוסופט – ז”א, לעזור למנכ”ל שלנו עם דפדפן האינטרנט כאשר הוא נמצא בנסיעת עסקים
· קביעת Security Policy – מעין Group Policy מוקטן שחל דרך האינטרנט
· ביצוע מצאי חומרה ותוכנה, כולל אכיפת רישוי מיקרוסופט
בגרסה הקרובה (2.0) של Windows Intune אנו נקבל גם את היכולות הבאות:
· ניהול הפצת יישומים דרך האינטרנט – דרך Microsoft Azure
· Remote Tasks – כמו למשל ביצוע Restart או עדכון חתימות AV
· ניהול רישוי של תוכנות צד שלישי
· ניהול הרשאות מורחב
Windows Intune מאפשר לנו לנהל תחנות מרוחקות בצורה כמעט מלאה (הפצה של מערכות הפעלה דרך האינטרנט היא עדיין לא רעיון כ”כ ישים), ללא עלויות הקמה, שדרוג או הכנה לגדילה עתידית בצורה מיידית והינו פתרון מרשים וזול מאוד עבור ארגונים רבים.
בנוסף, כל תחנה אשר רוכשים עבורה את רשיון השימוש ב Windows Intune זכאית להטבות רישוי רבות וביניהן – Windows 7 Enterprise SKU הגרסא המומלצת ביותר של Windows 7 הזמינה רק דרך הסכמי הרישוי של מיקרוסופט
לשאלות ותשובות, ניתן לגשת לאתר ה FAQ הראשי של המוצר כאן
ניתן לנסות את השירות בחינם ל 30 יום כאן
