System Center Configuration Manager и как с ним бороться

Новые книги об управлении устройствами Windows в корпоративной среде:

• Enterprise Client Management: Using System Center 2012 R2 and Windows Server 2012 R2;
• Enterprise Mobility Suite — Managing BYOD and Company-Owned Devices

Появились видеозаписи докладов с конференции System Center Universe 2015:

• Enterprise Security with Configuration Manager;
• My Favorite Configuration Manager 2012 Features;
• Top 10 ConfigMgr Issues and How to Avoid Them.

IT-евангелист Microsoft Russia Александр Шаповал записал два отличных видеокурса по работе с корпоративными устройствами:

• Как управлять гибридными учетными данными;
• Как обеспечить защиту данных и приложений

Курсы будут полезны тем, кто хочет «с нуля» познакомиться с Enterprise Mobility Suite и настроить инфраструктуру с Microsoft Intune и Azure.

И чтобы два раза не вставать — доклад Максима Синельникова Новые возможности Microsoft Intune и интеграция с SCCM.

Сегодня был выпущен Cumulative Update 4 для System Center 2012 R2 Configuration Manager:

• 25 исправлений;
• изменения в PowerShell и новые командлеты;
• поддержка Mac OSX 10.10 и Suse Linux Enterprise Server 12 (x64);
• обновлённая платформа Endpoint Protection.

Скачать CU4 можно здесь.

Azure AD Connect представляет собой обновлённую утилиту Azure AD Sync, которая использовалась для синхронизации учётных записей из Active Directory в Microsoft Intune. Теперь все силы будут направлены на стабилизацию Azure AD Connect, которая сейчас находится в Preview и доступна для тестирования в лабораторной среде. Dirsync и Azure Active Directory Sync обновляться больше не будут.

Скачать Azure AD Connect Preview можно здесь. Подробнее почитать о программе можно в блоге разработчиков.

Самым большим плюсом для меня видится возможность устанавливать AD FS для Single Sign-On или конфигурировать уже существующую ферму в процессе установки Azure AD Connect:

Поскольку Microsoft Intune теперь является частью Enterprise Mobility Suite, я иногда буду писать про Microsoft Azure.

Появились новые лабораторные работы, которые помогут вам понять функционал EMS и подготовиться к внедрению у себя на предприятии:

• On-Prem and Cloud App and data protection with Azure RMS;
• Azure Active Directory Fundamentals;
• Device Management with Microsoft Intune;
• Device Management with Microsoft System Center 2012 Configuration Manager.

Сначала немного официальной документации:

MBAM 2.5 имеет следующие возможности:

• Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах на предприятии.
• Позволяет сотрудникам службы безопасности быстро определять состояние соответствия отдельных компьютеров и даже самого предприятия.
• Обеспечивает возможность централизованного управления оборудованием и составления отчетов с помощью Microsoft System Center Configuration Manager.
• Снижает нагрузку на сотрудников службы поддержки, связанную с обработкой запросов пользователей по ПИН-кодам BitLocker и ключам восстановления.
• Позволяет пользователям независимо восстанавливать зашифрованные устройства посредством использования портала самообслуживания.
• Позволяет сотрудникам службы безопасности беспрепятственно осуществлять аудит доступа к данным о ключах восстановления.
• Позволяет пользователям Windows Корпоративная продолжать работу в любом месте с гарантией защиты данных предприятия.

MBAM обеспечивает применение параметров политики шифрования BitLocker, настроенных для предприятия, отслеживает соответствие клиентских компьютеров данным политикам и предоставляет отчеты о состоянии шифрования как корпоративных, так и для личных компьютеров. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления в случае, если пользователь забыл свой ПИН-код или пароль либо если изменилась загрузочная запись или параметры BIOS.

В использовании MBAM для управления BitLocker могут быть заинтересованы следующие группы пользователей:

• администраторы, специалисты по компьютерной безопасности, а также должностные лица, осуществляющие контроль соответствия требованиям и ответственные за предотвращение разглашения конфиденциальных данных без разрешения;
• администраторы, ответственные за безопасность компьютеров в удаленных офисах или дочерних подразделениях;
• администраторы, ответственные за клиентские компьютеры под управлением Windows.

Архитектура сервиса:

В этой статье я расскажу об установке MBAM 2.5 и интеграции с Configuration Manager 2012 R2.

В данной инсталляции будут задействованы три виртуальных сервера: контроллер домена, сайт-сервер ConfigMgr и SQL-сервер, который будет хранить базы MBAM.

На SQL-сервере уже установлены:

• Database engine
• Reporting services (native)
• Management tools complete

и несколько экземпляров для семейства продуктов System Center. Нужно доустановить Analysis services:

Continue reading ‘установка MBAM и интеграция с Configuration Manager’ »

Configuration Manager Servicing Extension, о которых я писал летом, обновилось до финальной версии и доступно в свободном скачивании.

Если вы в процессе установки операционной системы хотите заблокировать какое-то обновление, например, установку Internet Explorer 11 при подготовке эталонного образа, вам нужно добавить параметр WUMU_ExcludeKB001=ID_обновления. Все последующие заблокированные обновления будут выглядеть как WUMU_ExcludeKB002, WUMU_ExcludeKB003 и т.д.

В MDT вам нужно добавить параметр в CustomSettings.ini:

В Configuration Manager этот параметр нужно добавить в виде переменной последовательности задач:

• Managing Modern Mobile Devices with System Center 2012 R2 Configuration Manager;
• Building the Perfect Windows 8 Image;
• Master ConfigMgr 2012 R2 with a Limited Budget and Free Community Tools;
• Managing Third Party Updates with Microsoft’s System Center Configuration Manager.