System Center Configuration Manager и как с ним бороться

Новые книги об управлении устройствами Windows в корпоративной среде:

• Enterprise Client Management: Using System Center 2012 R2 and Windows Server 2012 R2;
• Enterprise Mobility Suite — Managing BYOD and Company-Owned Devices

Появились видеозаписи докладов с конференции System Center Universe 2015:

• Enterprise Security with Configuration Manager;
• My Favorite Configuration Manager 2012 Features;
• Top 10 ConfigMgr Issues and How to Avoid Them.

Сегодня был выпущен Cumulative Update 4 для System Center 2012 R2 Configuration Manager:

• 25 исправлений;
• изменения в PowerShell и новые командлеты;
• поддержка Mac OSX 10.10 и Suse Linux Enterprise Server 12 (x64);
• обновлённая платформа Endpoint Protection.

Скачать CU4 можно здесь.

Azure AD Connect представляет собой обновлённую утилиту Azure AD Sync, которая использовалась для синхронизации учётных записей из Active Directory в Microsoft Intune. Теперь все силы будут направлены на стабилизацию Azure AD Connect, которая сейчас находится в Preview и доступна для тестирования в лабораторной среде. Dirsync и Azure Active Directory Sync обновляться больше не будут.

Скачать Azure AD Connect Preview можно здесь. Подробнее почитать о программе можно в блоге разработчиков.

Самым большим плюсом для меня видится возможность устанавливать AD FS для Single Sign-On или конфигурировать уже существующую ферму в процессе установки Azure AD Connect:

Сначала немного официальной документации:

MBAM 2.5 имеет следующие возможности:

• Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах на предприятии.
• Позволяет сотрудникам службы безопасности быстро определять состояние соответствия отдельных компьютеров и даже самого предприятия.
• Обеспечивает возможность централизованного управления оборудованием и составления отчетов с помощью Microsoft System Center Configuration Manager.
• Снижает нагрузку на сотрудников службы поддержки, связанную с обработкой запросов пользователей по ПИН-кодам BitLocker и ключам восстановления.
• Позволяет пользователям независимо восстанавливать зашифрованные устройства посредством использования портала самообслуживания.
• Позволяет сотрудникам службы безопасности беспрепятственно осуществлять аудит доступа к данным о ключах восстановления.
• Позволяет пользователям Windows Корпоративная продолжать работу в любом месте с гарантией защиты данных предприятия.

MBAM обеспечивает применение параметров политики шифрования BitLocker, настроенных для предприятия, отслеживает соответствие клиентских компьютеров данным политикам и предоставляет отчеты о состоянии шифрования как корпоративных, так и для личных компьютеров. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления в случае, если пользователь забыл свой ПИН-код или пароль либо если изменилась загрузочная запись или параметры BIOS.

В использовании MBAM для управления BitLocker могут быть заинтересованы следующие группы пользователей:

• администраторы, специалисты по компьютерной безопасности, а также должностные лица, осуществляющие контроль соответствия требованиям и ответственные за предотвращение разглашения конфиденциальных данных без разрешения;
• администраторы, ответственные за безопасность компьютеров в удаленных офисах или дочерних подразделениях;
• администраторы, ответственные за клиентские компьютеры под управлением Windows.

Архитектура сервиса:

В этой статье я расскажу об установке MBAM 2.5 и интеграции с Configuration Manager 2012 R2.

В данной инсталляции будут задействованы три виртуальных сервера: контроллер домена, сайт-сервер ConfigMgr и SQL-сервер, который будет хранить базы MBAM.

На SQL-сервере уже установлены:

• Database engine
• Reporting services (native)
• Management tools complete

и несколько экземпляров для семейства продуктов System Center. Нужно доустановить Analysis services:

Continue reading ‘установка MBAM и интеграция с Configuration Manager’ »

Из серии «хозяйке на заметку».

Если при импортировании кастомных классов инвентаризации вы видите сообщение «The following classes for which you are trying to import settings do not exist.  Import the required class definitions and then try to import the settings again.»

то убедитесь, что вы добавляете классы не в кастомной политике, а в политике по умолчанию.

Configuration Manager Servicing Extension, о которых я писал летом, обновилось до финальной версии и доступно в свободном скачивании.

Если вы в процессе установки операционной системы хотите заблокировать какое-то обновление, например, установку Internet Explorer 11 при подготовке эталонного образа, вам нужно добавить параметр WUMU_ExcludeKB001=ID_обновления. Все последующие заблокированные обновления будут выглядеть как WUMU_ExcludeKB002, WUMU_ExcludeKB003 и т.д.

В MDT вам нужно добавить параметр в CustomSettings.ini:

В Configuration Manager этот параметр нужно добавить в виде переменной последовательности задач:

Из серии «хозяйке на заметку».

Если вы при создании последовательности задач не видите какого-то существующего приложения, которое вы хотите установить, проверьте и убедитесь, что в Installation behavior вы выбрали Install for system:

• Managing Modern Mobile Devices with System Center 2012 R2 Configuration Manager;
• Building the Perfect Windows 8 Image;
• Master ConfigMgr 2012 R2 with a Limited Budget and Free Community Tools;
• Managing Third Party Updates with Microsoft’s System Center Configuration Manager.