В начале прошлой недели на Microsoft Connect стала доступна первая бета-версия нового продукта по управлению конфигурацией System Center Configuration Manager с предварительным названием «v.Next». Я никогда не был большим специалистом по SMS/SCCM, но эту версию ждал с момента ее объявления по одной простой причине – именно в нее интегрировался пакет по управлению мобильными устройствами SCMDM. Вчера я развернул SCCM на своем стенде, и теперь хочу поделиться увиденным. Но перед этим хочу предупредить о трех двух вещах:

— продукт находится в стадии Beta 1, поэтому не все заявленные возможности в нем реализованы на данный момент;

— в SCMDM этап начала управления устройством состоял из двух подэтапов – pre-enrollment (предварительная инициализация, т.е. создание объекта устройства в Active Directory, его сопоставление с объектом пользователя, генерация одноразового пароля) и enrollment (инициализация устройства, т.е. подключение к MDM, получение сертификата и первичных настроек). В SCCM эта терминология несколько изменилась, действие pre-enrollment теперь называется Create Mobile Device, а enrollment так и остался enrollment’ом.

В общем, вроде обо всем предупредил…

Знакомство

Не знаю все ли из тех, кто читает эти строки, видели консоль SCCM 2007, но те, кто видели, могут сравнить ее с новой. Теперь она выглядит так:

В новой версии SCCM немного изменилась концепция управления станциями и серверами, но по этой теме лучше дождаться статей от кого-либо из гуру этой линейки (например, Алексея Тараненко), а я попробую рассказать о том, как выглядит кусок, относящийся к MDM.

Еще год назад Microsoft пообещала, что новый SCCM будет работать не только с WM 6.1/6.5, но и с другими версиями… Но в первой бете официально поддерживаются только две эти платформы. Хотя лежащий на Connect’е документ под названием «Supported Platforms for Beta 1» дает надежду на будущее – в нем приведена таблица поддерживаемых платформ, и расчерчена она не на три строки, включая заголовок.

Operating System	Supported
Windows CE 5.0	—
Windows CE 6.0	—
Windows Mobile 5.0	—
Windows Mobile 6.0	—
Windows Mobile 6.1 (and all minor versions)	X
Windows Phone 6.5 (and all minor versions)	X
Windows Phone 7 Series (and all minor versions)	—
Nokia Symbian (specific platforms to be determined)	—

В принципе, поддержка Windows Mobile/CE 5.0/6.0 сейчас уже не очень актуальна, но вот очень хотелось бы увидеть работу SCCM с Windows Phone 7 Series. Поддержка Symbian также была заявлена уже давно в рамках сотрудничества с Nokia, и очень хочется, чтобы к выходу RTM серии E и N уже были бы управляемыми (на другие я и не рассчитываю).

Начало работы

В новом SCCM появились две роли, которые называются ConfigMgr mobile device enrollment point и ConfigMgr mobile device enrollment proxy point. Т.к. документации сейчас практически нет, то могу предположить по аналогии с SCMDM, что первая роль – это только точка для ввода устройств в домен и никаких больше задач не выполняет, а вторая предназначена для размещения в DMZ и занимается перенаправление запросов на первую.

Назначение ролей происходит следующим образом – в разделе Administration нужно выбрать пункт Site Roles и либо вызвать контекстное меню, либо в панели Task щелкнуть мышью по пункту Create Roles. После этого запускается мастер New Site Role Wizard. В процессе будут выясняться следующие вещи:

— какой сервер будет размещать на себе устанавливаемые роли;

— разнообразные FQDN сервера, на котором будут размещаться роли;

— учетная запись, под которой будут устанавливаться роли;

— какие конкретно роли необходимо добавить;

— настройки IIS для выбранных ролей (в том числе исходная публикация службы Enrollment для proxy).

В принципе не так много изменений, по сравнению с установкой Enrollment Server в SCMDM. Желающие сравнить могут посмотреть тут.

Создание правил для мобильных устройств

После назначения роли Enrollment, необходимо создать правило, согласно которому будет происходить добавление устройств (Create Mobile Device, Pre-enrollment в терминологии SCMDM). Для этого в разделе Administration нужно найти пункт Mobile Device Enrollment Profiles и выбрать Create Enrollment Profile. После этого запуститься мастер Create Enrollment Profile Wizard, при прохождении которого необходимо указать:

— имя профиля, обозначение сайта, контейнер Active Directory для хранения объектов устройств, а также группу, в которую устройства будут включаться;

— используемые центр сертификации и шаблон для выпуска сертификата устройства;

— создать политику для генерации одноразовых паролей, используемых при инициализации устройства (срок жизни запроса на инициализацию (enrollment), длину и сложность пароля);

— настройки для отсылки пользователю письма после создания запроса на инициализацию.

Первое, что бросилось в глаза – теперь можно иметь несколько настроек для enrollment’а (нужная выбирается при создании записи устройства, об этом чуть позже) и, как следствие, выбор центра сертификации перешел на этот шаг, а не остался на операции по установки роли. Также приятно, что настройки профиля выполняются в графическом режиме, а не через командлет PowerShell, как это было в SCMDM.

Создание базовой (baseline) конфигурации

И еще одно действие, которое можно (нужно) выполнить перед тем, как инициализировать устройства – создать базовую конфигурацию и назначить ее на набор (collection). Это действие делится на несколько этапов:

— создание конфигурационной единицы;

— создание базовой конфигурации на основе этих единиц и других конфигураций;

— назначение конфигурации на набор устройств.

Конфигурационная единица создается следующим образом: в разделе Assets and Compliance -> Compliance Settings -> Configuration Items нужно выбрать Create Configuration Item и запустить мастера Create Configuration Item Wizard. При прохождении этого мастера в обязательном порядке придется указать следующие данные:

— тип конфигурации – Application или Operation System. В нашем случае это Operation System -> Windows Mobile;

— имя и категория конфигурации (для удобства можно создать собственные категории);

— выбрать нужные разделы конфигурации (шифрование, политика паролей и т.д.);

— указать условия применения (Compliance Rules);

— выбрать платформы, к которым конфигурация применяется.

В зависимости от того, какие разделы конфигурации были выбраны, нужно настроить и их параметры:

— Synchronization – настройки синхронизации с почтовым червером;

— Peak Sync Times – настройка часов высокой нагрузки, а также максимальных временных интервалов синхронизации;

— Bluetooth – разрешение или запрет Bluetooth в общем и определенных профилей в частности;

— Certificates – установка дополнительных сертификатов на устройстве;

— Management – настройка подключений устройства в роуминге;

— Security – политики по блокировке неподписанных приложений и удалению роли manager у пользователя устройства (что позволяет, например, запретить пользователю управление корневыми сертификатами на устройстве);

— Device Wipe – настройки по очистке устройства при определенном количестве неправильно введенных паролей;

— E-mail signing and Encryption – управление параметрами подписывания и шифрования почты, а также используемыми алгоритмами;

— File Encryption – настройка шифрования карты памяти и устройства, включение и исключение определенных путей на устройстве, запрет на отключение шифрования пользователем;

— Built-in Application – блокировка встроенных приложений;

— Password – управление политикой паролей на устройстве;

— Lockdown – управление периферией устройства, протоколами POP и IMAP и т.д.

— Wi-Fi – настройка Wi-Fi подключений.

В общем-то, при выполнении этих действий доступны те же настройки, что и в SCMDM и ActiveSync в Exchange Server, за двумя исключениями:

— На этапе Mobile Device Settings доступна возможность работы с параметрами устройства (тип устройства, версия и язык ОС, объем доступной памяти), с ветками реестра, либо с ветками параметров OMA;

— Настройки конфигурации являются правилами соответствия (Compliance Rules) с возможностью реагирования на эти отклонения – исправить либо оставить как есть и сделать отметку в журнале, что мне особенно понравилось. В SCMDM такого не было… А жаль...

После того, как была создана конфигурационная единица, необходимо создать базовую конфигурацию. Для этого в разделе Assets and Compliance -> Compliance Settings -> Baselines необходимо выбрать New Configuration Baseline. В открывшемся окне необходимо указать:

— имя конфигурации;

— добавить нужные конфигурационные единицы;

— можно указать процент соответствующих базовой конфигурации устройств, по достижении которого SCCM начнет предупреждать администратора.

После того, как все поля заполнены можно нажать ОК – все, базовая конфигурация создана.

Теперь ее необходимо назначить набору устройств. Для этого нужно выбрать ее в списке и в контекстном меню вызвать Assign to a Collection. В открывшемся меню указать нужный набор и нажать ОК.

Все, на этом настройка конфигурации для мобильных устройств завершена. Теперь можно добавлять устройства в набор.

Добавление нового устройства

Для того, чтобы добавить новое устройство, в разделе Assets and Compliance нужно создать новый набор, и в контекстном меню набора выбрать Create Mobile Device. Запустится соответствующий мастер и нужно будет указать следующие данные:

— создается одно устройство или пачка путем импорта данных из файла в формате CSV;

— имя устройства, профиль присоединения (enrollment profile), обозначение сайта (если выполняется единичное добавление);

— имя пользователя, с которым устройство сопоставляется (если выполняется единичное добавление).

Когда мастер закончит выполнение задачи по добавлению устройства, на экран будут выведены данные, необходимые для подключения – имя пользователя, пароль, узел для подключения. Также, эти данные будут отправлены на электронную почту пользователю, с которым устройство было сопоставлено, если использованный профиль допускает рассылку таких писем.

После того, как устройство было добавлено, оно появится в составе коллекции. После этого можно выполнять подключение с устройства аналогично процедуре в SCMDM.

Подготовка приложения к установке

Последнее, о чем я хочу рассказать – как подготовить приложение к установке на мобильное устройство. Чтобы сделать это, необходимо в разделе Software Library -> Application Management -> Applications выбрать Create Application и в запустившемся мастере указать:

— тип приложения (Windows Mobile Cabinet);

— местоположение в доступной сетевой папке;

— данные по приложению – имя, описание, разработчик и т.д.;

— возможность удаления приложения пользователем;

— подписать приложение используя сертификат;

— выбрать категорию, к которой приложение относится;

— можно добавить дополнительные обязательные параметры для установки (версия ОС, язык, свободное пространство, ветки реестра, ветки OMA).

По завершении мастера необходимо нажать ОК.

Механизм распространения ПО также, как и в предыдущих версиях SCCM и SCMDM основан на службе WSUS. После того, как приложение было добавлено, его можно назначить набору компьютеров нажав в меню Deploy.

Итог

Несмотря на то, что пока я достаточно мало поработал с новым SCCM, могу уже однозначно сказать, что он мне нравиться. Как сам в целом, так и часть, отвечающая за MDM. Для людей, которые работали с предыдущими версиями SCCM и SCMDM, на мой взгляд, не составит труда разобраться с его обновленным вариантом.

Есть, конечно же и недостатки, но их я пока списываю на «бетость» продукта. Есть претензии к интерфейсу. Также, очень хочется увидеть в версии RTM механизм по доставке персональных сертификатов на устройства и портал самообслуживания для конечных пользователей.

Информация

Если вы хотите начать знакомиться с SCCM v.Next уже сейчас, могу порекомендовать вам зарегистрироваться на MS Connect, и скачать оттуда дистрибутив и имеющуюся на данный момент документацию. Кроме этого можно начать чаще заходить на блог продуктовой команды всей линейки System Center.