View
479
Download
6
Category
Preview:
Citation preview
Se on sinussa.
Windows 10 hallinnan näkökulmasta, 30.10.2015
Mika Seitsonen ja Tapsa Kankkonen
Sisältö• Hallinnan näkökulmaa
• Pilvipalvelut
Hallinnan näkökulmaa
Asennus• Windows 10 tuo paljon uusia toimintoja, mutta läheskään kaikki
niistä eivät ole välittömästi käyttöönotettavissa• Rautatuki - Windows Server 2016
• Asennus ja käyttöönotto toimivat samoin periaattein, mutta nyttulevat versiot asennetaan upgrade –toimintoina, ei puhtaanaasennuksena• asennemuutos
• Windows 10 on samassa raudassa nopeampi kuin Windows 7, jotenasennukset menevät vanhaan rautaan• lisätoiminnot vaativat sitten W10 -rautaa
4
Windows 10 rautavaatimukset
• 1 gigahertz (GHz) or faster
• RAM: 1 gigabyte (GB) (32-bit) or 2 GB (64-bit)
• Free hard disk space: 16 GB
• Graphics card: Microsoft DirectX 9 graphics device with WDDM driver
• A Microsoft account and Internet access
5
Ominaisuuksia
6
Ominaisuuksia
7
Päivityspolut• Ilmainen päivitys Windows 7 ja 8.1 –laitteisiin
• laitteen eliniän ajaksi
• voimassa 28.7.2016 saakka
• Enterprise vaatii SA:n
• XP ja muut vanhemmat versiot oikeuttavat 3kk ilmaiseentestiversioon
• Windows Insider –ohjelman kautta Windows on myös ilmainen• vaatii Insider –ohjelmassa pysymisen ja viimeisimpien buildien käyttöä
8
Windows 10 ADK
9
• Asennuspaketin ja vastaustiedostonluominen vihdoinkin graafisenatyökaluna
• Provisiointipaketti
• OEM –asennuksen muuttaminenEnterprise –asennukseksi
• Ajurit alkuperäisestä asennuksesta
• Muutoksen aikana voidaan muokatalukuisia asioita:
• Lisenssi
• Toimialueliitos
• Ohjelmat
• Kielipaketit
• Päivitykset
• Sähköpostiprofiilit
• Wlan/VPN –profiilit
• Sertifikaattien asennus
Kovalevyn tilankäytön optimointia• Windows 10 pakkaa käyttöjärjestelmätiedostot automaattisesti
• säästö 32-bittisessä 1,5GB, 64-bittisessä 2,6GB
• Siis myös Windows mobile!
• ei aktivoidu koneissa joiden muisti ja cpu speksit eivät täytä vaatimuksia
• Refresh ja Reset –toiminnot eivät enää käytä erillistäkäyttöjärjestelmäkuvaa• säästöä aikalailla (Vähintään 4 gigaa!)
10
Enterprise Credential Protection• Virtual Secure Mode (VSM)/Virtualization-Based Security (VBS)
• Vaatii virtuaalikoneen, jossa LSASS, virtuaalinen TPM ja koodin tarkistus bitit• Trustlets
11
Device Guard• Lukitsee laitteen niin, että vain luotettujen toimittajien ohjelmat voivat
käynnistyä• Device Guard for Windows 10 Enterprise
• Device Guard for Windows 10 Enterprise + Virtualization extensions
• UEFI –boot (secure boot)
• TPM 2.0
• Eristetyt Hyper-V pohjaiset tietoturvapalvelut
• UMCI (User Mode Code Integrity) valvoo user –tilassa olevia ohjelmia(classic apps, Store apps, palvelut) kuten AppLocker
• KMCI (Kernel Mode Code Integrity) valvoo kernel –tilaa (tätä ei AppLockerosaa)12
Enterprise Data Protection• Teknologia datavuotojen varalle - Erottelee yrityksen ja yksityisen
• Käyttäjä voi tallettaa datan yritysdatana – ie. Save as…
• Datan pyyhkiminen/käytön estäminen
• RMS –pohjainen datan suojaus
• Mallit: Block, Override, Audit, Off
• EDP määrittää ohjelman "Priviledged App" –tilaan jolloin se voikäsitellä yritysdataa• käyttäjän "omat" ohjelmat eivät tähän siis pysty
• esim. Dropbox.exe ei ole "priviledged" – ei synkronointia firman datalle!!
13
Pilvipalvelut
Protect your data
Enable your users Unify your environment
People-centric approach
Devices Apps Data
Identity Choices
Computer joins AD to establish trust
User signs on using AD account
Group Policy + System Center
Computer registers with AD or Azure AD via Device Registration to establish trust for remote resource access
User signs in with a Microsoft account, associates an Azure AD account
Intune/MDM
Computer joins Azure AD to establish trust
User signs on using Azure AD account
Intune/MDM
Settings roaming
Single sign-on to enterprise + cloud-based services
Organization Owned Personally Owned (BYOD)
Self-service Singlesign on
•••••••••••
Username
Simple connection
Cloud
SaaSAzure
Office 365Intune
Other Directories
Windows ServerActive Directory
On-premises Microsoft Azure Active Directory
Enterprise Mobility Suite
Easily manage identities across
on-premises and cloud. Single sign-on
and self-service for corporate resources.
Azure Active Directory
Premium
Unify identity Manage apps and devices Protect data
Microsoft IntuneAzure Rights
Management
Manage and protect corporate apps
and data on almost any device with
MDM and MAM.
Encryption, identity, and authorization
policies to secure corporate files and
email across phones, tablets, and PCs.
Mobile application management
PC managementMobile device management
ITUser
Microsoft Intune
Intune helps organizations provide their employees with access to corporate
applications, data, and resources from virtually anywhere on almost any
device, while helping to keep corporate information secure.
Enterprise mobility management with Intune
Enroll• Provide a self-service Company
Portal for users to enroll devices
• Deliver custom terms and
conditions at enrollment
• Bulk enroll devices using Apple
Configurator, DEP or service
account
• Restrict access to Exchange
email or SharePoint if a device is
not enrolled
Retire• Revoke access to corporate
resources
• Perform selective wipe
• Audit lost and stolen devices
Provision• Deploy device security policy
settings
• Deploy certificates, email, VPN,
and WiFi profiles
• Install mandatory apps
• Deploy app restriction policies
• Deploy data protection policies
Manage and Protect• Restrict access to corporate
resources if policies are violated
(e.g., jailbroken device)
• Protect corporate data by
restricting actions such as
copy/cut/paste/save outside of
managed app ecosystem
• Report on device and app
compliance
User IT
Mobile devices and PCs Mobile devices
System Center Configuration
Manager
Domain joined PCs
Configuration Manager integrated with Intune (hybrid)Intune standalone (cloud only)
IT IT
Intune web console Configuration Manager console
System Center Configuration Manager - Windows 10 vaatimukset
• SCCM 2012 R2 SP1 tai SCCM 2012 SP2 +
• Cumulative Update 1 https://support.microsoft.com/en-us/kb/3074857
• Fix https://support.microsoft.com/en-us/kb/3089193
• Fix https://support.microsoft.com/en-us/kb/3084586
• Windows PE 10 (itsellä toiminut vanhallakin)• Import (https://technet.microsoft.com/en-us/library/dn387582.aspx )• tai
• Vaihda Windows 10 ADK• Vaihda Win PE 10 boot imaget• Huom. Win PE 10 ei tue Windows 7:aa vanhemman OS:n jakelua
• USMT 10 (Windows 10 ADK:sta)• Huom. USMT 10 siirron kohteena ei enää Windows 7
• Update https://support.microsoft.com/kb/3074667 Windows 10:iin
24
SCCM - Tuleva(t) versio(t) vNext
• Kaksi variaariota (kuten Windows 10:stä)
• Ilman (pää)versionumeroa oleva dynaamisesti/helposti päivittyvä• System Center Configuration Manager • Tullee joulukuussa 2015 (tarkenteella v1512 (Vuosi 2015 kuukausi 12))
• Kiinteä vuosilukuversiolla oleva (kuten Windows 10 LTSB)• System Center 2016 Configuration Manager• Tullee H2 2016
• Ei tule (alkuvaiheessa) poikkeamaan merkittävästi 2012 R2 SP1:stä• Sama arkkitehtuuri, sama käyttöliittymä, päivitys inplace upgade, Uutta:• Tuki Win 10:n uusille - ei perinteisesti hallittaville ominaisuuksille• Automaattisen Client päivityksen testaus ja tarkastelu• Uusi Software Center• SUM (Software Update Management ) 'klustereille', pienet ADR (Automatic Deployment Rules)
muutokset, WSUS Cleanup• OSD: WinPE as Peer Cache• On-premise MDM (Mobile Device Management)• (Ja puoliautomaattinen SCCM päivittyminen) 25
Basic
Traditional
Mobile Device Management
Lightweight Full Control
Update Approach
Setting Setting Setting Setting Setting Setting Setting Setting
Allow Auto UpdateConnectivity/AllowCellularDataRoaming Search/DisableBackoff
TextInput/AllowJapaneseNonPublishingStandardGlyph Settings/AllowDateTime
AllowIntrusionPreventionSystem
AllowFullScanRemovableDriveScanning
Configure SmartScreen
Schedule Install DayConnectivity/AllowVPNOverCellular
Search/PreventRemoteQueries
TextInput/AllowJapaneseIVSCharacters Settings/AllowLanguage AllowIOAVProtection
AllowFullScanOnMappedNetworkDrives Allow Pop-ups
Schedule Install TimeConnectivity/AllowVPNRoamingOverCellular
Search/AllowUsingDiacritics
TextInput/AllowJapaneseUserDictionary Settings/AllowRegion AllowScriptScanning
AllowScanningNetworkFiles Allow Cookies
DeviceLock/AllowIdleReturnWithoutPassword Connectivity/AllowBluetooth
Search/AlwaysUseAutoLangDetection
TextInput/AllowJapaneseIMESurrogatePairCharacters
Settings/AllowSignInOptions
AllowOnAccessProtection
SignatureUpdateInterval Allow Save Password
WiFi/AllowWiFiExperience/AllowScreenCapture
Search/DisableRemovableDriveIndexing
TextInput/ExcludeJapaneseIMEExceptShiftJIS
Settings/AllowYourAccount RealTimeScanDirection
AllowCloudProtection Allow Autofill
WiFi/AllowInternetSharing Experience/AllowTaskSwitcherSearch/PreventIndexingLowDiskSpaceMB
TextInput/ExcludeJapaneseIMEExceptJIS0208 Settings/AllowPowerSleep
DaysToRetainCleanedMalware
SubmitSamplesConsent
Configure Enterprise Site List
WiFi/AllowAutoConnectToWiFiSenseHotspots
Experience/AllowVoiceRecording
Search/AllowIndexingEncryptedStoresOrItems
TextInput/ExcludeJapaneseIMEExceptJIS0208andEUDC Settings/AllowAutoPlay AllowUserUIAccess ExcludedExtensions
WiFi/AllowWiFiHotSpotReporting
Experience/AllowSyncMySettings
Security/AllowRemoveProvisioningPackage TextInput/AllowInputPanel Experience/AllowCortana ScanParameter ExcludedPaths
WiFi/AllowManualWiFiConfiguration
Experience/AllowManualMDMUnenrollment
Security/RequireProvisioningPackageSignature
Bluetooth/AllowDiscoverableMode
Search/SafeSearchPermissions ScheduleScanDay ExcludedProcesses
System/AllowLocationAccounts/AllowMicrosoftAccountConnection
AboveLock/AllowActionCenterNotifications Bluetooth/AllowAdvertising
Experience/AllowCopyPaste ScheduleScanTime Policy name
System/AllowTelemetryAccounts/AllowAddingNonMicrosoftAccountsManually
Authentication/AllowEAPCertSSO
Bluetooth/AllowConnectableMode Force Start Size ScheduleQuickScanTime Allow Browser
System/AllowExperimentation
Security/AllowManualRootCertificateInstallation
TextInput/AllowIMENetworkAccess Settings/AllowDataSense Policy name AVGCPULoadFactor
AllowSearchSuggestionsinAddressBar
Security/AntiTheftModeSecurity/AllowAddProvisioningPackages
TextInput/AllowKoreanExtendedHanja Settings/AllowVPN AllowRealtimeMonitoring AllowArchiveScanning
SendIntranetTraffictoInternetExplorer
Connectivity/AllowUSBConnection Search/AllowWindowsIndexer
TextInput/AllowIMELogging Settings/AllowWorkplace AllowBehaviorMonitoring AllowEmailScanning Allow Do Not Track
System/AllowUserToResetPhone
Kokeilutilit• Office 365 E3
• http://go.microsoft.com/fwlink/p/?LinkID=403802
• Azure• http://azure.microsoft.com/en-us/pricing/free-trial
• 170€ edestä kokeiluaikaa, mutta vaatii luottokortin
• Enterprise Mobility Suite (EMS)• http://www.microsoft.com/en-us/server-cloud/enterprise-
mobility/overview.aspx
Lisäinformaatiota
• http://blogs.technet.com/b/ad/archive/2015/10/14/azure-ad-domain-services-is-now-in-public-preview-use-azure-ad-as-a-cloud-based-domain-controller.aspx
• http://blogs.technet.com/b/microsoftintune/archive/2015/10/27/coming-soon-new-intune-features-including-windows-10-edp-policies.aspx
• http://blogs.technet.com/b/configmgrteam/archive/2015/10/27/system-center-configmgr-support-for-win-10-and-intune.aspx
Recommended