Artykuł pochodzi z wydania: Listopad 2021
Zunifikowane zarządzanie urządzeniami końcowymi (ang. Unified Endpoint Management – UEM) to zagadnienie, z którym mierzymy się dość regularnie, testując zróżnicowane oprogramowanie wspierające zarządzanie infrastrukturą IT. Standardowo o tej porze roku sprawdzamy najnowszą wersję produktu od baramundi.
Sposób zarządzania infrastrukturą informatyczną przedsiębiorstwa zależy w dużej mierze od skali zagadnienia. Zupełnie inne potrzeby będzie miała niewielka firma zatrudniająca od kilku do kilkunastu pracowników w porównaniu z dużym przedsiębiorstwem, gdzie liczbę użytkowników, a tym samym urządzeń, z których korzystają w codziennej pracy, można liczyć w dziesiątkach, setkach lub tysiącach. Narzędzi do kompleksowej kontroli zarówno sprzętu, jak i oprogramowania na nim zainstalowanego jest całkiem sporo. Co więcej – istnieje szereg świetnych rozwiązań powstających na rodzimym rynku, które niejednokrotnie testowaliśmy i nagradzaliśmy naszym wyróżnieniem. baramundi Management Suite (bMS) to akurat produkt pochodzący wprost zza naszej zachodniej granicy, a z którym mamy do czynienia regularnie już od 2014 r., obserwując konsekwentnie wprowadzane zmiany, nowe funkcje i usprawnienia, a także stale rosnące grono klientów. Tym razem na warsztat trafiła najnowsza na tę chwilę wersja 2021 R1, czyli pierwsze z dwóch wydań zaplanowanych na każdy rok kalendarzowy w cyklu wydawniczym producenta. Jak zwykle w przypadku bMS pierwsze wydanie w danym roku wprowadza najistotniejsze zmiany, zatem i tym razem oczekiwania są dość spore. Sprawdźmy zatem, co nowego pojawiło się od zeszłorocznego testu.
> ULEPSZENIA 2020 R2
Analizę zestawu ulepszeń, nowych funkcji i poprawek, które pojawiły się od ostatniego testu wersji 2020 R1, należy rozpocząć od wskazania zmian wprowadzonych tuż po naszej ostatniej publikacji, w ramach edycji 2020 R2. Wygląda na to, że ich lista w tej właśnie wersji jest znacznie dłuższa niż w przypadku testowanej edycji 2021 R1.
SEPARACJA DANYCH
Pierwsza z nich to pojawienie się wsparcia dla relatywnie nowego sposobu zarządzania urządzeniami mobilnymi, nazywanego przez Apple’a User Enrollment. Metoda ta pozwala użytkownikom na powiązanie własnego smartfona czy tabletu pracującego na iOS-ie z centralnym systemem zarządzania MDM w taki sposób, aby możliwa była pełna separacja danych prywatnych i służbowych. Również po stronie użytkownika leży decyzja o odpięciu własnego urządzenia od systemów firmowych, co skutkuje automatycznym usunięciem wszystkich danych służbowych. Jest to istotne usprawnienie działające od 13. wersji iOS, mające szczególny wpływ na sposób kontroli i działanie w modelu BYOD. Dotychczas administrator MDM miał pełną kontrolę zarówno nad prywatnymi danymi i aplikacjami użytkowników, jak i częścią ściśle służbową. Restrykcje nakładane na zarządzane urządzenie miały charakter w pełni systemowy, przez co wyłączenie jakiejś funkcji dotyczyło także w pełni prywatnych aplikacji, co niekoniecznie zachęcało do wykorzystywania własnej słuchawki w celach służbowych. Nowy mechanizm ogranicza prawa administratora MDM do kontroli jedynie sfery biznesowej, a cała reszta pozostaje całkowicie prywatna, włączając w to także numer seryjny urządzenia czy IMEI.
W sferze MDM pojawiły się również inne usprawnienia. Możliwa jest chociażby kontrola wersji zainstalowanych aplikacji z wymuszeniem aktualizacji. Mechanizmy te działają nieco inaczej na platformie iOS zarządzanej za pośrednictwem natywnych mechanizmów VPP (ang. Volume Purchase Program) oraz dla Android Enterprise, gdzie funkcja automatycznych aktualizacji nie istnieje, a jej obsługa została rozwiązana na poziomie profili konfiguracyjnych.
AKTUALIZACJE I BEZPIECZEŃSTWO
Kolejne nowości w releasie R2 dla wersji 2020 to zmiana podejścia do zarządzania aktualizacjami Microsoftu. Jest to zapowiedź głębszych zmian w tym zakresie, które pojawiły się w najnowszej, testowanej przez nas wersji, o czym w dalszej części testu. W pierwszym etapie pojawiło się nowe zadanie, które pozwala przeprowadzić inwentaryzację brakujących i już zainstalowanych poprawek. Jako źródło aktualizacji wspierane są zarówno serwery Microsoftu, jak też instancja popularnej usługi WSUS. Co więcej, pojawiły się także nowe kategorie pozwalające wyfiltrować urządzenia niemające określonych aktualizacji za pośrednictwem uniwersalnych grup dynamicznych.
Inne zmiany pojawiły się w module Defense Control, a konkretniej w opcjach konfiguracyjnych dla centralnego zarządzania BitLockerem. Dotychczas wymuszenie uwierzytelniania za pośrednictwem PIN-u przy starcie komputera automatycznie uniemożliwiało centralne wybudzanie zarządzanych stacji z racji konieczności manualnej interwencji użytkownika. Problem ten został rozwiązany poprzez wprowadzenie opcji odblokowania takiej stacji roboczej z poziomu sieci. Oczywiście najpierw konieczne jest zbudowanie relacji zaufania poprzez posługiwanie się odpowiednim certyfikatem. W ten sposób jedynie administrator bMS ma możliwość pominięcia kroku związanego z podaniem PIN-u. W procesie uwierzytelniania bierze także udział przekaźnik baramundi PXE. Przygotowanie określonej grupy urządzeń końcowych do zdalnego odblokowanie funkcji BitLockera odbywa się standardowo z wykorzystaniem odpowiedniego zadania z grupy Manage BitLocker.
[…]
Marcin Jurczyk
Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.