Management Summit 2013

Gestão de dispositivos móveis com o Windows

Intune e SCCM 2012

Alexadre Perazza

alexandre.perazza@2s.com.br

BDM Datacenter and Cloud Services

2S Inovações Tecnológicas

Objetivos da sessão

• Desafios e oportunidades no gerenciamento de dispositivos móveis – consumerização de TI

• Introdução ao Windows Intune – Unified Device Management

• Foco na gestão de dispositivos móveis

• Integração com o System Center Configuration Manager 2012 SP1

Obrigado!

Para smartphones corporativos, apenas 55% de tomadores de decisão dizem que sua organização possui políticas de segurança e ferramentas disponíveis para gerenciá-los.

Já para os smartphones pessoais: apenas 30% das organizações possuem políticas e ferramentas. Outras 15% não possuem nenhuma política para este tipo de dispositivo1

1 ‘Mobile Workers Use Personal Apps to Solve Customer Problems — Is IT Ready, Willing, And Able To Assist? A

September 2012 commissioned study conducted by Forrester Consulting on behalf of Unisys’

61% das empresas globais oferecem suporte de TI para smartphones e tablets corporativos.

Isto contrasta com 17% das empresas suportando os mesmos dispositivos, adquiridos pelos seus funcionários.

Mundialmente, o total de dispositivos “inteligentes” conectados alcançou 1.2B em 2012 e deve crescer para além dos 2B de unidades até 2016

Não mais:1 Usuário =1 Desktop

Um mundo de dispositivos conectados

Habilitando a produtividade do usuário, de forma responsável

Aplicações e dados através de dispositivos

Produtividade do usuário

Infraestrutura unificada para gerenciamento

Identidade únicaAcesso e proteção da informação

Acesso controlado aos dados, autenticação transparente

Gerenciamento Unificado de Dispositivos

• Interface única de gerenciamento• Segurança integrada• Aumento da eficiência de TI• Complexidade da infraestrutura

reduzida

Infraestrutura de gerenciamento única+

Aumento da produtividade do usuário

• Livre escolha do dispositivo• Auto-serviços (Apps)• Gerenciamento “não-intrusivo”

Proteção contra malware

Gestão de updates

Monitoramento e alertas

Assistência remota

Inventário de hw e sw

Gestão de licenças

Relatórios

Políticas de segurança

Distribuição de software

Na última versão:

Gestão de dispositivos móveis

O que é o Windows Intune?

Um serviço de gerenciamento de dispositivos na nuvem

Além disto…

• Um serviço que você pode confiar

• SLA - 99.9% uptime: Financeiramente retornável quando não atingido:

Uptime % Crédito

< 99.9% 25%

< 99% 50%

< 95% 100%

Windows Intune – Standalone service

Devices & Platforms

IT

Console deadministração

Windows PCs(x86/64, Intel),

Windows RT Windows Phone 8

iOSAndroid

Windows Intune Standalone Service: Até 5.000 usuários

Management Summit 2013

Demo: Console do Windows Intune

Mobile Device Management com o Windows Intune• Gerenciamento baseado no EAS

Introduzido na última release do produto

• Gerenciamento Direto (Windows RT, Windows Phone 8, iOS) *NEW!

Over-the-air enrollmentGestão de aplicaçõesGestão de configurações e políticasInventário do dispositivo móvelProteção de dados corporativos

Management Summit 2013

Demo: Over-the-air Enrollment

Aplicações

Plataformas Windows 8/Windows RT

Windows Phone 8 iOS Android

Sideload *.appx *.xap *.ipa *.apk

Deep links (store apps)

• Publique apps para os usuários finais. Deixe que escolham e consumam o que precisam, no momento que precisam

• LOB apps disponíveis para as plataformas:

Plataformas e CertificadosPlatform Certificates or keys How you obtain

Windows Phone 8

Code signing certificate: All sideloaded apps must be code-signed.

Buy a code signing certificate from Symantec

http://www.symantec.com/verisign/code-signing/windows-phone

Windows RT

Sideloading Keys: Windows RT devices have to be provisioned with sideloading keys to enable installation of sideloaded apps.

All sideloaded apps must be code-signed.

Buy sideloading keys from Microsoft, link below has more details

http://technet.microsoft.com/en-us/library/hh852635.aspx

iOSApple Push Notification service certificate

To enable app management for iOS, you must follow these steps.1. Download a Certificate Signing Request from Windows Intune. This certificate signing

request lets you apply to Apple’s certification authority for an Apple Push Notification service certificate.

2. Request an Apple Push Notification service certificate from the Apple website.To Download a Certificate Signing Request from Windows Intune• In the Configuration Manager console, click Administration.• In the Hierarchy Configuration, right-click Windows Intune Subscriptions and

select Create APNs certificate request.• Select a location and then click Download.• In the Windows Intune sign in page, enter your organizational account and password. • After you sign in, the certificate signing request is downloaded to the location that

you specified.To request an Apple Push Notification service certificate• Connect to the Apple Push Certificates Portal. • Sign in and continue in the wizard.

Android None

Políticas e configurações

• Políticas de segurança nos dispositivos (iOS, Windows RT e WP8) Direct management e Exchange ActiveSynch.

• Android e Windows Phone 7 podem ser gerenciados através do EAS

• Um template de política pode ser usado tanto para o gerenciamento direto ou através do EAS, ajudando a reduzir o esforço administrativo

• Se um dispositivo está recebendo política de mais de 1 autoridade de gerenciamento, a política mais restritiva será aplicada

ConfiguraçõesDisponíveis

Setting name EAS (Activesync)

WinRT/ WinPh8 iOS

Require a password to unlock mobile devices √ √ √Required password type √ √ √Minimum password length √ √ √Allow simple passwords √ √ √Number of repeated sign-in failures before device is wiped √ √ √Minutes of inactivity before device screen is locked √ √ √

Password expiration (days)

√ √ √

Remember password history √ √ √Allow convenience logon (WindowsRT only) X √ XAllow camera

√ X √

Allow web browser

√ X √

Allow backup to iCloud (iOS only) X X √

Allow documents sync to iCloud (iOS only) X X √

Allow photostream sync to icloud (iOS only) X X √

Maximum size of e-mail attachments

√ X X

E-mail synchronization for last (days)

√ X X

Allow mobile devices that don’t fully support these settings to synchronize with Exchange

√ X X

Require encryption on mobile device

√ X X

Require encryption on storage cards

√ X X

Password

Device restrictions

Email

Encryption

Inventário• Propriedades de hardware do dispositivo móvel são coletadas

através do “Device Management Authority” e também através do Exchange ActiveSync (para Android)

• Inventário apenas de apps instaladas via MDM. Nenhuma informação de software é coletada se a app é instalada por outro meio.

• Respeito à privacidade do usuário!

• O inventário não é extensível em dispositivos móveis

Inventário:Dados coletados

Property Win RT WP8 iOS Android (EAS)

Device name Y Y Y Y

Unique device ID Y Y Y

Serial number Y

Email address Y Y Y Y

OS type Y Y Y

OS version Y Y Y Y

OS language Y Y

Total storage space (GB) Y Y

Free Storage space (GB) Y Y

System enclosure Chassis Y

System enclosure IMEI Y

Manufacturer Y Y

Model Y Y Y Y

Phone number (masked except last 4 digits) Y Y

Subscriber carrier Y

Cellular technology(none, GSM, CDMA) Y

WiFI MAC Y Y

Enrolled date (local time) Y Y Y

Last contact (local time) Y Y Y Y

Last Exchange status Y

Last Policy update status Y

Access State Y

Access state reason Y

Management state Y

ActiveSync ID Y

Management Summit 2013

Demo: MDM com o Windows Intune

Recap: Features disponíveis por plataforma

Management Feature Windows RT Windows Phone 8

iOS Android

Over-the-air Enrollment Y Y Y N

InventoryY Y Y Y

Settings Management Y Y Y Y

Software Distribution Y Y Y Y

Remote WipeN Y Y Y

Experiência de auto-serviços do usuário

• Conecte todos os dipositivos do usuário ao serviço online• Cada plataforma oferece uma experiência de auto-

serviços

• Possibilite a eles o acesso a aplicativos• Acesso a apps ou links diretos recomendados pelo IT pro• Instale apps de negócio (LOB) fornecidas pelo IT pro

• Permita que o usuário gerencie seu próprio dispositivo e dados• Usuário pode: realizar o enroll, renomear o dispositivo e

realizar o un-enroll• Usuário pode realizar o wipe de dados e emails

• Ofereça uma experiência positiva para o usuário final• Interrupções mínimas devido tarefas administrativas• A privacidade do usuário final é respeitada

Usuário final no controle de seus dispositivos

Experiência do usuário final

Experiência de auto-serviços consistente para o usuário final através de plataformas

Aplicação nativa do Windows(.appx)

Disponível na Windows Store

Windows Phone 8 Company Portal

iOS/Android Company Portal

Aplicação nativa do Windows Phone 8 (.xap)

Sideloaded

Portal Web Armazenado no

Windows Intune

Windows RTCompany Portal

Management Summit 2013

Demo: Self-service Experience

Proteção dos dados corporativos – Retire and Wipe• Todos os dispositivos e PCs podem ser removidos/desativados

• Remover/desativar um dispositivo exclui o registro do dispositivo no windows intune, deixando de ser gerenciado

• A opção de “Wipe” depende da plataforma e do tipo de gerenciamento executado (EAS ou Direct Management)• Wipe completo e reset do dispositivo para configurações de fábrica:

iOS e WP8• Apenas remoção da mailbox através do EAS: Android• Apenas remoção da mailbox somente se gerenciado através do

EAS: Windows RT e Windows 8 Enterprise e Professional• “No Wipe”- Windows 7 e abaixo (nenhuma alteração desde a última

versão)

Management Summit 2013

Demo: Retire and Wipe

Management Summit 2013

Configuration Manager 2012 SP1 + Windows

Intune

Gerenciamento simplificado entre plataformas

Devices & Platforms

IT

Single adminconsole

Windows PCs(x86/64, Intel SoC),

Windows to GoWindows Embedded

AndroidMac OS X

Windows RT Windows Phone 8

iOSAndroid

Integração entre ConfigMgr e Windows Intune

• Windows Intune provê infraestrutura na nuvem para fornecer gestão de configurações e distribuição de softwares para dispositivos móveis

• Todas as tarefas administrativas são realizadas pelo console de administração do Configuration Manager 2012 SP1

Processo de integração1. Criar uma assinatura do Windows Intune

a) Através do Windowsintune.comb) Através de um contrato de licenciamento por volume

2. Criar um domínio público, verificado3. Assegurar que usuários possuam UPN do domínio público no

Active Directory4. Implementar e configurar ADFS (ADFS 2.0)

a) Não é obrigatório, mas recomendável

5. Implementar e configurar AD Directory Synchronization (DirSync)

6. Configurar o Configuration Manager para MDMa) Criar um assinatura do Windows Intune através do console de administração

do Configuration Manager;b) Criar o papel de Windows Intune Connector no Configuration Manager

Intune Subscription + Connector

Management Summit 2013

Management Summit 2013

Obrigado!