Microsoft Intune
Dragutin Dumić, Josip Primorac
Sadržaj |
Microsoft Intune
Microsoft Intune, Microsoftov je alat za upravljanje svim mobilnim uređajima poduzeća iz oblaka. Intune prvenstveno cilja mala i srednja poduzeća i pružatelje usluga koji žele upravljati do 500 uređaja. Distribuira se kroz pretplatnički sustav gdje se mjesečni iznos temelji na broju korisnika. Cijena mjesečne pretplate po korisniku je 6 $ i potrebno je potpisati ugovor na godinu dana. Kvalitetu rješenja moguće je isprobati u periodu od 30 dana s maksimalno 25 korisnika. Microsoft nudi i drugi paket koji za 11$ po korisniku tj. računalu, uz svaki dolazi licenca za Windows operacijski sustav. Za početak potrebno je definirati potrebne uređaje:
- Administratorski uređaj – uređaj na kojem je instaliran Silverlight u web pregledniku koji na svom računu dodaje korisničke uređaje i definira politiku sigurnosti.
- Mobilni uređaj – uređaj koji predstavlja korisnika. Na ovom uređaju bit će primijenjena politika sigurnosti.
- Računi i certifikati – ovisno o uređajima koje koristiti potrebno je imati određene račune i certifikate.
Tablica 1 prikazuje na kojim sve platformama možemo primijeniti Microsoft Intune politiku.
Platforma | Zahtjevi |
---|---|
Windows Phone 8 i Windows Phone 8.1 | http://www.microsoft.com/en-us/download/details.aspx?id=39079 |
Windows RT, Windows RT 8.1, ili Windows 8.1 uređaji. | instalacija dodatnog programa |
iOS 6.0. ili novija verzija | Certifikat za Apple push notifakacije |
Android 4.0 ili novija verzija | Company portal aplikacija |
Samsung KNOX | nije testirano |
Dakle, kao što možemo iz tablice iščitati, Microsoft Intune možemo primijeniti na desktop računalima, laptopima te mobilnim uređajima na svim platformama.
Za ovaj projekt bit će objašnjeno kako kreirati politiku sigurnosti i sinkronizirati je s uređajima. Dakle, administrator na svom računalu definira politiku po određenim kriterijima. Korisnici na svojim uređajima dobivaju obavijest da je došlo do promjene politike i moraju, kroz formu, prilagoditi svoje uređaje. Tako na primjer ako je politika takva da zaporka za otključavanje mobilnog uređaja mora biti dulja od 8 znakova, a trenutna je duljine 3, korisnik mora istog trenutka promijeniti lozinku i to duljine minimalno 8 znakova. Valja napomenuti da je moguće određivati politike za grupe operacijskih sustava(npr. Android, Windows Phone) i uloga u organizaciji(npr. Worker). Opsežan dokument s uvodnim smjernicama korištenja Intune-a moguće je ovdje.
Administracija
Na slici možemo vidjeti početno sučelje za administratora. Administrator sve potrebne radnje može obaviti iz web preglednika na računalu koje ima instaliran SilverLight. Nakon prijave u sustav dostupne su mu funkcionalnosti poput dodavanja korisnika, grupa, politika... Na naslovnoj stranici administratorskog panela vidljivo je sumirano trenutno stanje svih uređaja (grafovi o dostupnim ažuriranjima, stanje krajnje zaštite uređaja, "zdravlje" uređaja, obavijesti i upozorenja...)
Korisnici i grupe
U drugom odjeljku zvanom Gruops administrator ima pregled nad postojećim korisnicima i uređajima. U par koraka može dodati novog korisnika za kojeg je potrebno unijeti: ime, prezime, ime za prikazivanje, email (na domeni intune servisa poduzeća) te državu. Nakon toga se za njega kreira privremena lozinka koja može biti dostavljena adminu na email. Lozinka se, nažalost, dostavlja kao čisti tekst bez nekog oblika enkripcije što se smatra izrazito negativnim za tako povjerljiv podatak. Korisnike je moguće grupirati o odvojene grupe zbog jednostavnijeg daljnjeg upravljanja. Primjerice, može se kreirati grupa za svako zasebno odjeljenje u poduzeću ili za skupinu korisnika s istim ovlastima. Uređaji se ne dodaju ovom odjeljku, ovdje je dostupan samo njihov pregled te kreiranje odvojenih grupa uređaja. Grupe uređaja su korisne jer omogućuju da određene politike i pravila definiramo samo nad određenom grupom, npr. svim pametnim telefonima s iOS operacijskih uređajem.
Dodavanje uređaja
Intune omogućuje da svoje privatne uređaje koriste u poslovne svrhe na način da odvaja osobne i poslovne podatke i aplikacije. Zaposlenici upisom (eng. enroll) uređaja u sustav, prihvaćaju politike poduzeća koje se odnose na njih te imaju pristup portalu s aplikacijama poduzeća i onih koje poduzeće preporučuje. Administratori, s druge strane, imaju mogućnost službene uređaje upisati u sustav te ih po tom predati zaposlenicima na korištenje. Ukoliko korisnik makne nazdor nad uređajem, administrator odmah u svom sučelju prima obavijest o tom događaju.
Windows Phone
Pošto je Intune Microsoftov proizvod kao i OS Windows Phone, dodavanje uređaja s ovim OS-om vrlo je jednostavno. U postavkama uređaja potrebno je kliknuti na odjeljak "workspace" te na opciju dodaj. Potom se otvara forma sa samo jednim poljem u koji je potrebno unijeti email zaposlenika u sustavu (npr. worker@sisprojekt.onmicrosoft.com) i imati internet vezu. Potom se pretražuje postojanje tog korisničkog računa i nakon uspješne pretrage otvara se forma za autentikaciju preko email-a i lozinke. Nakon uspješne autentikacije, uređaj je dodan u sustav. Otvara se i poruka s savjetom preuzimanja aplikacije "Company Portal". Ta aplikacije omogućuje preuzimanje aplikacija koje administratori postave na portal poduzeća za taj operacijski sustav. Pri pokretanju potrebno je obaviti autentikaciju. Osim aplikacija, moguće je pregledati sve uređaje spojene s tim korisničkim računom te upravljati nekim njihovim postavkama poput brisanja podataka na daljinu. Ovakva funkcionalnost je jako korisna je omogućuje zaštitu povjerljivih podataka nakon moguće krađe prijenosnog uređaja.
Windows
Osim pametnih telefona, Intune omogućuje upravljanje svim PC-ima s Windows operacijskim sustavom od XP-a pa na dalje. Osim PC, Windows u posljednje vrijeme pokreće sve više tableta koji se poput mobilnih uređaja mogu lako izgubiti, a često sadrže povjerljive informacije. Za dodavanje uređaja s Windows-om potrebno je u web-pregledniku prijaviti se na Microsoft Intune portal. Otvoriti će se web-stranica koja prikazuje aplikacije dostupne za taj OS, prečac za dodavanje uređaja ukoliko nije dodan, te popis svih uređaja tog korisnika. Klikom na dodavanje, preuzima se dodatan program koji je potreban da usješno dodavanje. Inače, ova web-stranica omogućuje korisnicima koji imaju samo jedan uređaj prijavljen na servisa da uklone podatke s njega ukoliko dođe do krađe s bilo kojeg uređaja s web-preglednikom. Za PC-e s verzijama 8 i više Windows OS-a, dostupna je na trgovini također Company Portal aplikacija.
Android
Android pametne telefone i tablete moguće je dodati preuzimanjem Company Portal aplikacije s Google Play trgovine. Pri pokretanju aplikacija zahtjeva podatke za autentikaciju, te nakon uspješne prijave traži dozvolu za postane administrator uređaja. Nakon što se to dozvoli aplikaciju nije moguće maknuti na standardni način jer je tipka za deinstalaciju deaktivirana. Da bi se aplikacija maknula s uređaja potrebno je prvo maknuti autorska prava aplikacije u postavkama uređaja. Pod odjeljkom Sigurnost nalazi se izbornik adminstratora uređaja. Aplikacija Company Portal i ovdje ima iste funkcionalnosti kao kod Windows Phone platforme.
iOS
iOS uređaje nismo uspjeli usješno dodati jer se radi o simulaciji stvarnog poduzeća i testiranje što je moguće više funkcionalnosti. Company Portal aplikaciju smo preuzeli na mobilni uređaji i krenuli s upisivanje uređaja u sustav, ali nismo uspjeli jer nam nedostaju certifikati. Greška pri upisu je vidljiva na slici.
Kreiranje politika
Norme poput ISO27000 traže stvaranje politika sigunosti poduzeća. Prijenosni uređaji ne smiju biti izostavljeni iz takvih politika jer redovito na svojim spremištima podataka sadrže povjerljive informacije i komunciraju nesigurnim kanalima. Tu nalazimo najjaču funkcionalnost Intune sustava s gledišta sigurnosti: nad svim upisanim uređajima moguće je definirati politike sigurnosti. Neke politike se tiču načina korištenja elektroničke pošte, neke omogućuju definiranje raznih pravila zajedno za sve platforme uređaja. Sva pravila nije moguće primjeniti na svim platformama. Neki od značajnih pravila svih platformi su ključanje zaslona, enkripcija uređaja, jačina lozinke, zabrana kamere i otvorenih WiFi mreža. Zabrana korištenja kamere uređaja je korisno pravilo jer radnici mnogih poduzeća moraju imati starije uređaje bez kamera ako se nalaze u nekim razvojnim postrojenjima osjetljivima na špijunažu. Ovakav način kontroliranja špijunaže je efikasniji jer zaposlenicima ostaju sve bitne funkcionalnosti pametnih telefona poput email-a, Skype-a, Viber-a na raspolaganju. Na slici su vidljive kategorije politika. Zanimljiva je i VPN politika koja u uređaje automatski konfigurira VPN postavke, pa se zaposlenici sami ne moraju zamarati s tim postavkama. Ukoliko administrator promjeni konfiguraciju VPN-a, može jednostavno promjeniti postavke politike vezane za VPN nakon toga, te time svakom zaposleniku omogućiti jednostavno spajanje nakon što se ažuriraju postavke uređaja automatskim spajanjem uređaja na Intune servis.
Uređaj nakon preuzimanja nove politike sigurnosti, redovito obavijesti korisnika o potrebnim promjenama. Na slici su vidljive 3 promjene: uređaj zahtjeva novu snažniju lozinku, kamera je isključena i onemogućena je aplikacija Facebook.
Dodavanje aplikacija
Na drugom mjestu velikih prednosti Intune-a, po nama se nalazi mogućnost dodavanja aplikacija na Company Portal. Ova aplikacija odnosno web-stranica administratorima uvelike olakšava nadgledanje aplikacija koje su instalirane na uređaje. Metodom "white-listing-a" administratori mogu dodati dozvoljene aplikacije na Company Portal i onemogućiti pristup službenim trgovinama pojedinih platformi. Na Company portal je moguće dodati sljedeće vrste aplikacija:
- Aplikacije po narudbži koje je kreirao razvojni tim poduzeća ili neki unajmljeni. Nije potrebno prethodno ih postavljati na službenu trgovinu ciljane platforme, već samo poslati instalacijsku datoteku (.apk, .xap, .exe) na Intune servis poduzeća s popratnim informacijama poput naziva, opisa, ikone i kategorije.
- Aplikacije na službenim trgovinama poput Google Play-a i AppStore-a unosom povezice koja sadrži tu aplikaciju na trgovini.
Za oba načina dodavanja potrebno je preuzeti program za Windows platformu putem kojeg se obavlja cijeli proces. Na slici je vidljiv popis aplikacija unutar Company Portal-a WP i Android platforme. Na adroid uređaju nije bilo moguće napraviti screen-shot jer smo ga onemogućili u prethodno kreiranoj politici pa smo koristili kameru drugog uređaja.
Za potrebe testiranja ove funkcionalnosti i prethodno definiranih politika, izradili smo jednostavnu aplikaciju za pokretanje kamere uređaja TestIntune. Provjerili smo da li se ograničenje oko korištenja kamere odnosi samo na aplikaciju kamera ili sve aplikacije koje se koriste tim resursom. Politika ispravno onemogućuje kameru, nedostupna je u svim aplikacijama koje ju inače koriste.
private void buttonCamera_Click(object sender, RoutedEventArgs e) { CameraCaptureTask cameraTask = new CameraCaptureTask(); cameraTask.Completed += new EventHandler<PhotoResult>(cameraTask_Completed); cameraTask.Show(); } void cameraTask_Completed(object sender, PhotoResult e) { if (e.TaskResult == TaskResult.OK) { MessageBox.Show(e.ChosenPhoto.Length.ToString()); } }
Ažuriranja OS-a i zaštite
Jedna od bitnijih aspekata sigurnosti su ažuriranja i krajne zaštite na računalima. Microsoft redovito izdaje zakrpe za svoje OS-ove, a korisnici često zanemaruju obavjesti da ih preuzmu iz raznih razloga. Zahvaljujući Intunu, administratori mogu upravljati svim ažuriranjima, selektirati koje dozvoljavaju te prisiljavati uređaje da ih preuzmu tokom rada.
Osim ažuriranja, za sigurnost PC-a bitna je krajnja zaštita putem antivirusnog programa i vatrozida. U odjeljku Protection, administratori imaju uvid u vrste krajnjih zaštita na računalima. Obaješteni su ukoliko računala koriste antivirus nekog drugog proizvođača. Imaju i zaseban odjeljak za brigu oko Malware-a gdje mogu vidjeti povijest napada na uređaje.
Upozorenja i izvješća
Administratori u Alerts odjeljku imaju pregled upozorenja da što prije uoče moguće probleme i reagiraju na njih. Posebno iznenađenje je odjeljak Reports u kojem je moguće dobiti detaljna izvješća raznih kategorija (ažuriranja, popis softwarea, popis hardwarea, popisi uređaja...). Administratori imaju pregled svih instaliranih programa, popise računala na kojima se određeni software nalazi, cjelokupan popis komponenti pojedinog računala. Ovakva izvješća im uvelike mogu olakšati posao jer mogu kontrolirati cjelokupan software koji posjeduju računala u poduzeću. Na izvješćima o hardware-u navedeni su čak i virtualni mrežni adapteri i njihhovi podaci. Ovakav popis IT službi poduzeća olakšava odabir zamjenskih komponenti ukoliko dođe do kvara.
Isječci nekih izvješća su prikazana na slikama.