Oma Microsoft-infra eläkkeelle ja palvelut pilvestä – Osa 1: käyttöjärjestelmän hallinta

Kirjoittaja on Centeron modernin päätelaitehallinnan intoilija ja tietoturvasetä, Tuukka Tiainen. Tuukka kirjoittaa muutaman osan mittaisen blogisarjan, joka käsittelee sitä miten omassa ympäristössä pyöritettävät Microsoft-palvelut voidaan siirtää pilveen ja/tai korvata pilvestä saatavilla olevilla palveluilla.

Ensimmäinen osa käsittelee päätelaitteiden hallintaa. Toinen osa, joka julkaistaa maaliskuussa, paneutuu perinteisen Active Directoryn korvaamisella Azure AD:lla.

Työkulttuurin muutos

Moderni työympäristö ei mielestäni saisi rajoittaa tietotyön tekemistä tiettyyn sijaintiin tietylle päätelaitteelle. Tämä on minun ja monen muun mielipide. Vaikka liikkuva työnteko monessa suhteessa nykyään mielletään hyväksi asiaksi, niin se ei kuitenkaan ole itsestäänselvyys.

Lähes poikkeuksetta mainitun kaltaisissa tilanteissa erilaiset tekniset ratkaisut ja laitteet mahdollistavat työn teon missä vain. Perinteisesti työt on tehty toimistossa omalla työpisteellä ja omalla päätelaitteella työkavereiden kanssa. Kun laitteet ovat olleet samassa verkossa, on niitä voitu myös hallita helposti.

Miten muutumme mukana?

Viime vuosien aikana laitteiden mobiliteetti ja pilveen siirtyminen ovat kasvaneet valtavasti. On ollut myös suuri kysymys IT-ammattilaisille, kuinka mahdollistaa työn tekeminen missä vain. Sen lisäksi, että kaiken tulisi toimia sulavasti, turvallisuus, tehokkuus, hallittavuus eikä raportointi saa huonontua.

Olemme olleet näissä talkoissa mukana jo vuosia. Centero on vauhdittanut yrityksiä ja organisaatioita muunmuassa Micosoftin Office 365:n ja EMS:n (Enterprise Mobility + Security) avulla käytännössä näiden tuotteiden koko elinkaaren ajan. Haluan tämän blogisarjan avulla selvittää lukijoille, miten perinteisen Microsoft-infrastruktuurin paljon käytetyt teknologiat ja työkalut voidaan joko korvata pilvityökaluilla tai siirtää pilveen.

Windows-käyttöjärjestelmän hallinta

Windowsin asetuksia on voitu hallita graafisesti jo reilu 20 vuotta siitä lähtien kun Windows NT 4.0:n mukana esiteltiin sen aikainen System Policy Editor. Kyseinen työkalu korvaantui Windows 2000:n myötä Group Policy -työkalulla eli ryhmäkäytännöillä. Vielä vuonna 2018 tämä työkalu on olennainen osa Windows-infrastruktuuria kun työasemilla kirjaudutaan paikalliselle Active Directory -toimialueelle.

GPO:t (Group Policy Object) ovat olleet järjestelmänvalvojan luottotyökaluja, kun käyttöjärjestelmää on muokattu orgnaisaation näköiseksi ja vastaamaan sen tarpeita. Hyviä esimerkkejä ovat erilaiset rajoitukset, työpöydän muokkaaminen sekä tulostimien tai verkkojakojen tuominen käyttäjien saataville.

Moni organisaatio ei kuitenkaan halua enää nykyään investoida palvelinrautaan tai ostettuihin käyttöpalveluihin, joilla perinteistä Windows-toimialuetta pyöritetään. Osa saattaa haluta päästä taas eroon omista palvelimista, ja se onkin nykyään ihan järkevä tavoite. Oli tilanne mikä tahansa niin Microsoftin ratkaisu tähänkin pulmaan on Microsoft Intune, jonka saa hankittua yksittäisenä tuotteena tai osana isompaa EM+S-tuoteperhettä. Vielä jonkin aikaa sitten en olisi voinut väittää Intunen korvaavan GP:ta, mutta erityisesti viimeisimpien Windows 10 -ominaisuuspäivitysten myötä tilanne on muuttunut täysin.

Uusi suunta

Windows 10 -käyttöjärjestelmä toi mukanaan uuden agentittoman MDM-hallinnan työasemiin. Käyttöjärjestelmän hallitseminen voidaan sitä kautta toteuttaa jo nyt todella kattavasti. Intune tarjoaa pitkän listan eri asetuksia graafisen käyttöliittymän avulla muokattaviksi.

Mikäli näistä ei löydy tarvittavia asetuksia niin laitteille voidaan viedä räätälöityjä asetuksia OMA-URI:n (Open Mobile Alliance Uniform Resource Identifier) avulla. Näitä asetuksia kutsutaan CSP:ksi (Configuration Service Providers). Microsoft on listannut kaikki saatavalla olevat asetukset yhteen paikkaan. Kyseinen CSP-joukko saa uusia hallittavia asetuksia lisää, kun Windows 10 -käyttöjärjestelmä kehittyy ja siihen tulee uusia ominaisuuspäivityksiä.

Jos näillä kahdella edellämainitulla konstilla ei saada muokattua käyttöjärjestelmää halutulla tavalla niin 1703-versiosta lähtien Windows 10 on tukenut niin sanottuja ADMX-Backed-käytäntöjä. Suomeksi tämä tarkoittaa sitä, että mitä tahansa GPO:lla on voinut tehdä, voit tehdä sen myös Intune MDM:llä.

Usein pilveen siirtyminen tuntuu monimutkaiselta, mutta todellisuudessa se useimmiten yksinkertaistaa ympäristön rakennetta ja siten helpottaa ylläpitoa ja kohentaa tietoturvaa.

Kuinka toimia?

Mikäli asia kiinnostaa, meiltä saat lisätietoja kysymällä. Kerro meille tämän hetkinen tilanne ja tavoite, niin löydämme varmasti sopivan tavan edetä kohtia pilvipohjaista päätelaitteiden hallintaa. Pilvipalveluiden hyvä puoli on myös niiden jouheva käyttöönotto. Siinä mielessä esimerkiksi Intune on helppo koeajaa ilman kalliita sovellus- tai rautainvestointeja.

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: SCCM technical preview 1801 -version uudet ominaisuudet
» Seuraava artikkeli: SCCM 1802: Kaikkea uutta jännää