Windows Intune: Entendo o Serviço do Windows Intune

O Windows Intune é um serviço de gerenciamento de computadores e dispositivos móveis baseado em nuvem, que ajuda os administradores de TI gerenciar e manter a segurança dos computadores clientes e dispositivos móveis mesmo quando não estão na rede local. O modelo de licenciamento de do Windows Intune é baseado em assinatura e não requer uma infraestrutura local para que o serviço possa ser consumido, sendo apenas necessário conexão com a internet.

Com o Windows Intune podemos gerenciar computadores independente de estarem em domínio ou grupo de trabalho, basta apenas instalar o cliente do Windows Intune no computador para que possa ser gerenciado remotamente através de um console Web (chamado console do administrador) descrevo esses portais mais a frente.

Arquitetura do Windows Intune

Assim como no Office 365 o Windows Intune usa o Microsoft Azure Active Directory como repositório de identidades caso a empresa possua uma assinatura do Office 365 poderá usar o mesma instancia do Microsoft Azure Active Directory dessa forma as mesmas contas serão usadas para ambos os serviços.

Os usuários do Windows Intune devem ser criados manualmente no Microsoft Azure Active Directory usando o portal do administrador do Windows Intune, outro método para criar usuários no Windows Intune é através da sincronização dos usuários do AD DS on-premise essa sincronização é unidirecional e somente leitura dessa forma os usuários e grupos do AD DS são replicados apenas do Active directory local para o Microsoft Azure Active Directory e as propriedades desses objetos só podem ser alteradas dentro do AD DS on-premise, a sincronização é feita através da DirSync – ferramenta Sincronização de Diretórios do Microsoft Online que deve ser instalada em um servidor membro do domínio e não pode ser um controlador de Domínio.

O Windows Intune também tem suporte ao Logon único (SSO – Single Sign on) onde os usuários podem usar suas credenciais do AD DS para fazer logon no Windows Intune, essa configuração requer o AD FS (Active Directory Federation Services) esse tema será abordado em outro post.

image

Figura 1: Arquitetura de alto nível do Windows Intune

Para gerenciar os computadores usando o Windows Intune devemos instalar o Cliente do Windows intune em cada um deles, dessa forma o cliente do Windows Intune cria uma conta de computador no Microsoft Azure Active Directory e logo após instala os componentes adicionais como WIEP (Windows Intune Endpoint Protection), Microsoft Easy assist (sem suporte para computadores com Windows 8.x) e o Windows Intune Center.

Requisitos de Sistema Operacional para instalação do Software Cliente:

Sistema Operacional
Windows XP Professional SP3 x86
Windows Visa

  • Business
  • Enterprise
  • Ultimate
x86, x64
Windows 7

  • Professional (sem ou com SP1)
  • Enterprise (sem ou com SP1)
  • Ultimate (sem ou com SP1)
x86, x64
Windows 8/8.1

  • Pro
  • Enterprise
x86, x64

O Windows Intune Center pode ser usado pelos usuários para ter acesso rápido ao portal de empresa, verificar a disponibilidade de novas atualizações e iniciar o WIEP.

Depois que os clientes do Windows Intune estiver implantado em todos os computadores a serem gerenciados as tarefas cotidianas serão feitas através do Console do Administrador do Windows Intune, é desse portal onde os administradores farão as principais atividades de gerenciamento dos seus computadores de dispositivos móveis como criar e gerenciar grupos de computadores, aprovar e implantar atualizações, configurar a proteção de ponto de extremidade, implantar software, configurar licenças e alertas, gerar e ver relatórios, baixar e configurar a conexão do Exchange.

Alguns dispositivos moveis podem ser gerenciados diretamente pelo serviço do Windows Intune podem outros precisam de uma conexão usando uma infraestrutura do Exchange 2010 ou superior dessa forma o Windows intune usa o Exchange ActiveSync para descobrir e gerenciar os dispositivos que usam essa ferramenta para se conectar ao serviço do exchange, o cliente do Windows Intune não é instalado em dispositivos moveis.

Sites do Windows Intune

O Windows intune possui 3 portais que os administradores pode usar para administrar diferentes recursos dentro do serviço do Windows Intune, desses três portais dois são de uso exclusivo dos administradores e um pode ser usado pelos usuários finais como um self-service portal para instalar software aprovado, adicionar seus dispositivos e entrar em contato com a TI. Abaixo descrevo um pouco de cada portal.

Portal do Administração do Windows Intune (console do Admin): é usado pelos administradores do Windows Intune para executar a administração cotidiana. Nesse console, você pode criar e gerenciar grupos do Windows Intune,  configurar políticas, visualizar e aprovar atualizações, adicionar e implantar software, gerenciar contratos de licença e gerar relatórios de hardware e software. Além de poder executar tarefas administrativas como configurar alertas, monitorar a integridade de dispositivos e definir uma autoridade de gerenciamento para  dispositivos móveis. O Console de Administração do Windows Intune pode ser acessado no https://admin.manage.microsoft.com.

Portal de Contas do Windows Intune (Portal contas): Ao fazer  uma assinatura do Windows Intune, o Portal de Contas é o primeiro site administrativo que vamos acessar, é nele que vamos ter uma visão geral da assinatura do Windows Intune e será o local onde gerenciamos as contas usuários, grupos de segurança e domínios. Você pode criar usuários e grupos de segurança manualmente, sincroniza-lós do AD DS ou executar uma importação em massa de contas de usuário usando um arquivo CSV, ver a documentação e baixar o software necessário para configurar a Sincronização do Active Directory, o logon único e adicionar seu próprio nome de domínio além do padrão onmicrosoft.com. É possível acessar o Portal de Contas do Windows Intune em: https://account.manage.microsoft.com.

Portal da Empresa do Windows Intune (Portal de auto-atendimento): é um portal de autoatendimento para usuários finais. Para que os usuários possam acessar o Portal da empresa, eles devem ter permissão para entrar no Windows Intune e devem ser membros do grupo de usuários do Windows Intune. Um administrador pode executar essa configuração no Portal de Contas.

Os usuários finais podem executar as seguintes tarefas usando o Windows Intune:

  • Registrar dispositivos;
  • Exibir o status de seus dispositivos;
  • Baixar software que é implantado pela organização;
  • Contatar o departamento de TI para obter suporte.

Os usuários podem acessar o portal da empresa usando:

  • Aplicativo do portal da empresa
  • Site do Portal da empresa

Esse será o primeiro de uma serie de posts sobre Windows Intune, que é uma ferramenta fantástica porem pouco difundida no Brasil, espero que gostem e continuem acompanhando os conteúdos do blog.

Eduardo Sena
MCP | MCSA | MCT | MVP Windows Expert-IT Pro