Se on sinussa.

Windows 10 hallinnan näkökulmasta, 30.10.2015

Mika Seitsonen ja Tapsa Kankkonen

Sisältö• Hallinnan näkökulmaa

• Pilvipalvelut

Hallinnan näkökulmaa

Asennus• Windows 10 tuo paljon uusia toimintoja, mutta läheskään kaikki

niistä eivät ole välittömästi käyttöönotettavissa• Rautatuki - Windows Server 2016

• Asennus ja käyttöönotto toimivat samoin periaattein, mutta nyttulevat versiot asennetaan upgrade –toimintoina, ei puhtaanaasennuksena• asennemuutos

• Windows 10 on samassa raudassa nopeampi kuin Windows 7, jotenasennukset menevät vanhaan rautaan• lisätoiminnot vaativat sitten W10 -rautaa

4

Windows 10 rautavaatimukset

• 1 gigahertz (GHz) or faster

• RAM: 1 gigabyte (GB) (32-bit) or 2 GB (64-bit)

• Free hard disk space: 16 GB

• Graphics card: Microsoft DirectX 9 graphics device with WDDM driver

• A Microsoft account and Internet access

5

Ominaisuuksia

6

Ominaisuuksia

7

Päivityspolut• Ilmainen päivitys Windows 7 ja 8.1 –laitteisiin

• laitteen eliniän ajaksi

• voimassa 28.7.2016 saakka

• Enterprise vaatii SA:n

• XP ja muut vanhemmat versiot oikeuttavat 3kk ilmaiseentestiversioon

• Windows Insider –ohjelman kautta Windows on myös ilmainen• vaatii Insider –ohjelmassa pysymisen ja viimeisimpien buildien käyttöä

8

Windows 10 ADK

9

• Asennuspaketin ja vastaustiedostonluominen vihdoinkin graafisenatyökaluna

• Provisiointipaketti

• OEM –asennuksen muuttaminenEnterprise –asennukseksi

• Ajurit alkuperäisestä asennuksesta

• Muutoksen aikana voidaan muokatalukuisia asioita:

• Lisenssi

• Toimialueliitos

• Ohjelmat

• Kielipaketit

• Päivitykset

• Sähköpostiprofiilit

• Wlan/VPN –profiilit

• Sertifikaattien asennus

Kovalevyn tilankäytön optimointia• Windows 10 pakkaa käyttöjärjestelmätiedostot automaattisesti

• säästö 32-bittisessä 1,5GB, 64-bittisessä 2,6GB

• Siis myös Windows mobile!

• ei aktivoidu koneissa joiden muisti ja cpu speksit eivät täytä vaatimuksia

• Refresh ja Reset –toiminnot eivät enää käytä erillistäkäyttöjärjestelmäkuvaa• säästöä aikalailla (Vähintään 4 gigaa!)

10

Enterprise Credential Protection• Virtual Secure Mode (VSM)/Virtualization-Based Security (VBS)

• Vaatii virtuaalikoneen, jossa LSASS, virtuaalinen TPM ja koodin tarkistus bitit• Trustlets

11

Device Guard• Lukitsee laitteen niin, että vain luotettujen toimittajien ohjelmat voivat

käynnistyä• Device Guard for Windows 10 Enterprise

• Device Guard for Windows 10 Enterprise + Virtualization extensions

• UEFI –boot (secure boot)

• TPM 2.0

• Eristetyt Hyper-V pohjaiset tietoturvapalvelut

• UMCI (User Mode Code Integrity) valvoo user –tilassa olevia ohjelmia(classic apps, Store apps, palvelut) kuten AppLocker

• KMCI (Kernel Mode Code Integrity) valvoo kernel –tilaa (tätä ei AppLockerosaa)12

Enterprise Data Protection• Teknologia datavuotojen varalle - Erottelee yrityksen ja yksityisen

• Käyttäjä voi tallettaa datan yritysdatana – ie. Save as…

• Datan pyyhkiminen/käytön estäminen

• RMS –pohjainen datan suojaus

• Mallit: Block, Override, Audit, Off

• EDP määrittää ohjelman "Priviledged App" –tilaan jolloin se voikäsitellä yritysdataa• käyttäjän "omat" ohjelmat eivät tähän siis pysty

• esim. Dropbox.exe ei ole "priviledged" – ei synkronointia firman datalle!!

13

Pilvipalvelut

Protect your data

Enable your users Unify your environment

People-centric approach

Devices Apps Data

Identity Choices

Computer joins AD to establish trust

User signs on using AD account

Group Policy + System Center

Computer registers with AD or Azure AD via Device Registration to establish trust for remote resource access

User signs in with a Microsoft account, associates an Azure AD account

Intune/MDM

Computer joins Azure AD to establish trust

User signs on using Azure AD account

Intune/MDM

Settings roaming

Single sign-on to enterprise + cloud-based services

Organization Owned Personally Owned (BYOD)

Self-service Singlesign on

•••••••••••

Username

Simple connection

Cloud

SaaSAzure

Office 365Intune

Other Directories

Windows ServerActive Directory

On-premises Microsoft Azure Active Directory

Enterprise Mobility Suite

Easily manage identities across

on-premises and cloud. Single sign-on

and self-service for corporate resources.

Azure Active Directory

Premium

Unify identity Manage apps and devices Protect data

Microsoft IntuneAzure Rights

Management

Manage and protect corporate apps

and data on almost any device with

MDM and MAM.

Encryption, identity, and authorization

policies to secure corporate files and

email across phones, tablets, and PCs.

Mobile application management

PC managementMobile device management

ITUser

Microsoft Intune

Intune helps organizations provide their employees with access to corporate

applications, data, and resources from virtually anywhere on almost any

device, while helping to keep corporate information secure.

Enterprise mobility management with Intune

Enroll• Provide a self-service Company

Portal for users to enroll devices

• Deliver custom terms and

conditions at enrollment

• Bulk enroll devices using Apple

Configurator, DEP or service

account

• Restrict access to Exchange

email or SharePoint if a device is

not enrolled

Retire• Revoke access to corporate

resources

• Perform selective wipe

• Audit lost and stolen devices

Provision• Deploy device security policy

settings

• Deploy certificates, email, VPN,

and WiFi profiles

• Install mandatory apps

• Deploy app restriction policies

• Deploy data protection policies

Manage and Protect• Restrict access to corporate

resources if policies are violated

(e.g., jailbroken device)

• Protect corporate data by

restricting actions such as

copy/cut/paste/save outside of

managed app ecosystem

• Report on device and app

compliance

User IT

Mobile devices and PCs Mobile devices

System Center Configuration

Manager

Domain joined PCs

Configuration Manager integrated with Intune (hybrid)Intune standalone (cloud only)

IT IT

Intune web console Configuration Manager console

System Center Configuration Manager - Windows 10 vaatimukset

• SCCM 2012 R2 SP1 tai SCCM 2012 SP2 +

• Cumulative Update 1 https://support.microsoft.com/en-us/kb/3074857

• Fix https://support.microsoft.com/en-us/kb/3089193

• Fix https://support.microsoft.com/en-us/kb/3084586

• Windows PE 10 (itsellä toiminut vanhallakin)• Import (https://technet.microsoft.com/en-us/library/dn387582.aspx )• tai

• Vaihda Windows 10 ADK• Vaihda Win PE 10 boot imaget• Huom. Win PE 10 ei tue Windows 7:aa vanhemman OS:n jakelua

• USMT 10 (Windows 10 ADK:sta)• Huom. USMT 10 siirron kohteena ei enää Windows 7

• Update https://support.microsoft.com/kb/3074667 Windows 10:iin

24

SCCM - Tuleva(t) versio(t) vNext

• Kaksi variaariota (kuten Windows 10:stä)

• Ilman (pää)versionumeroa oleva dynaamisesti/helposti päivittyvä• System Center Configuration Manager • Tullee joulukuussa 2015 (tarkenteella v1512 (Vuosi 2015 kuukausi 12))

• Kiinteä vuosilukuversiolla oleva (kuten Windows 10 LTSB)• System Center 2016 Configuration Manager• Tullee H2 2016

• Ei tule (alkuvaiheessa) poikkeamaan merkittävästi 2012 R2 SP1:stä• Sama arkkitehtuuri, sama käyttöliittymä, päivitys inplace upgade, Uutta:• Tuki Win 10:n uusille - ei perinteisesti hallittaville ominaisuuksille• Automaattisen Client päivityksen testaus ja tarkastelu• Uusi Software Center• SUM (Software Update Management ) 'klustereille', pienet ADR (Automatic Deployment Rules)

muutokset, WSUS Cleanup• OSD: WinPE as Peer Cache• On-premise MDM (Mobile Device Management)• (Ja puoliautomaattinen SCCM päivittyminen) 25

Basic

Traditional

Mobile Device Management

Lightweight Full Control

Update Approach

Setting Setting Setting Setting Setting Setting Setting Setting

Allow Auto UpdateConnectivity/AllowCellularDataRoaming Search/DisableBackoff

TextInput/AllowJapaneseNonPublishingStandardGlyph Settings/AllowDateTime

AllowIntrusionPreventionSystem

AllowFullScanRemovableDriveScanning

Configure SmartScreen

Schedule Install DayConnectivity/AllowVPNOverCellular

Search/PreventRemoteQueries

TextInput/AllowJapaneseIVSCharacters Settings/AllowLanguage AllowIOAVProtection

AllowFullScanOnMappedNetworkDrives Allow Pop-ups

Schedule Install TimeConnectivity/AllowVPNRoamingOverCellular

Search/AllowUsingDiacritics

TextInput/AllowJapaneseUserDictionary Settings/AllowRegion AllowScriptScanning

AllowScanningNetworkFiles Allow Cookies

DeviceLock/AllowIdleReturnWithoutPassword Connectivity/AllowBluetooth

Search/AlwaysUseAutoLangDetection

TextInput/AllowJapaneseIMESurrogatePairCharacters

Settings/AllowSignInOptions

AllowOnAccessProtection

SignatureUpdateInterval Allow Save Password

WiFi/AllowWiFiExperience/AllowScreenCapture

Search/DisableRemovableDriveIndexing

TextInput/ExcludeJapaneseIMEExceptShiftJIS

Settings/AllowYourAccount RealTimeScanDirection

AllowCloudProtection Allow Autofill

WiFi/AllowInternetSharing Experience/AllowTaskSwitcherSearch/PreventIndexingLowDiskSpaceMB

TextInput/ExcludeJapaneseIMEExceptJIS0208 Settings/AllowPowerSleep

DaysToRetainCleanedMalware

SubmitSamplesConsent

Configure Enterprise Site List

WiFi/AllowAutoConnectToWiFiSenseHotspots

Experience/AllowVoiceRecording

Search/AllowIndexingEncryptedStoresOrItems

TextInput/ExcludeJapaneseIMEExceptJIS0208andEUDC Settings/AllowAutoPlay AllowUserUIAccess ExcludedExtensions

WiFi/AllowWiFiHotSpotReporting

Experience/AllowSyncMySettings

Security/AllowRemoveProvisioningPackage TextInput/AllowInputPanel Experience/AllowCortana ScanParameter ExcludedPaths

WiFi/AllowManualWiFiConfiguration

Experience/AllowManualMDMUnenrollment

Security/RequireProvisioningPackageSignature

Bluetooth/AllowDiscoverableMode

Search/SafeSearchPermissions ScheduleScanDay ExcludedProcesses

System/AllowLocationAccounts/AllowMicrosoftAccountConnection

AboveLock/AllowActionCenterNotifications Bluetooth/AllowAdvertising

Experience/AllowCopyPaste ScheduleScanTime Policy name

System/AllowTelemetryAccounts/AllowAddingNonMicrosoftAccountsManually

Authentication/AllowEAPCertSSO

Bluetooth/AllowConnectableMode Force Start Size ScheduleQuickScanTime Allow Browser

System/AllowExperimentation

Security/AllowManualRootCertificateInstallation

TextInput/AllowIMENetworkAccess Settings/AllowDataSense Policy name AVGCPULoadFactor

AllowSearchSuggestionsinAddressBar

Security/AntiTheftModeSecurity/AllowAddProvisioningPackages

TextInput/AllowKoreanExtendedHanja Settings/AllowVPN AllowRealtimeMonitoring AllowArchiveScanning

SendIntranetTraffictoInternetExplorer

Connectivity/AllowUSBConnection Search/AllowWindowsIndexer

TextInput/AllowIMELogging Settings/AllowWorkplace AllowBehaviorMonitoring AllowEmailScanning Allow Do Not Track

System/AllowUserToResetPhone

Kokeilutilit• Office 365 E3

• http://go.microsoft.com/fwlink/p/?LinkID=403802

• Azure• http://azure.microsoft.com/en-us/pricing/free-trial

• 170€ edestä kokeiluaikaa, mutta vaatii luottokortin

• Enterprise Mobility Suite (EMS)• http://www.microsoft.com/en-us/server-cloud/enterprise-

mobility/overview.aspx

Lisäinformaatiota

• http://blogs.technet.com/b/ad/archive/2015/10/14/azure-ad-domain-services-is-now-in-public-preview-use-azure-ad-as-a-cloud-based-domain-controller.aspx

• http://blogs.technet.com/b/microsoftintune/archive/2015/10/27/coming-soon-new-intune-features-including-windows-10-edp-policies.aspx

• http://blogs.technet.com/b/configmgrteam/archive/2015/10/27/system-center-configmgr-support-for-win-10-and-intune.aspx