System Center Configuration Manager to obowiązkowa pozycja na liście systemów serwerowych u średnich i dużych przedsiębiorstw. Każdy kto chce efektywnie zarządzać flotą Windowsów wdrożył już to rozwiązanie. Ogromna ilość opcji konfiguracyjnych pozwoliły wielu firmom przystosować SCCM niemal idealnie do swoich potrzeb. Jednak problemy z pełnym jego wykorzystaniem zaczęły się wraz ze wzrostem mobilności pracowników. Jak wiemy Config Manager był w zamyśle platformą działającą w lokalnej sieci firmowej, a wszystkie urządzenia działające poza nią jak smartfony i laptopy przez większy czas pozostawały poza jego zasięgiem. Sytuację tą poprawił konektor do Intune, zmieniając SCCM w rozwiązanie hybrydowe pozwalające na podłączanie pod niego telefony. Jednak Microsoft stawia dziś wszystko na chmurę i oficjalnie hybryda SCCM zakończy swój żywot 1 Września 2019 roku, stając się rozwiązaniem nie wspieranym – EOL. Smartfony mają być już zarządzane tylko z poziomu Intune.
Rysunek 1 Schemat Co-management-u SCCM – Worspace ONE
Inaczej sytuacja wygląda w przypadku komputerów, tutaj dalej ConfigMgr będzie potrzebny i w sieci firmowej, dalej spełniał swoje funkcje. Jednak inaczej jest w przypadku zarządzania Windows 10. System ten od wersji 1607 wspiera mobilny system konfiguracji za pomocą CSP (Configuration Service Provider), dzięki czemu Windows 10 desktop staje się platformą mobilną na równi ze smartfonami, czyli zarządzalnym z poziomu MDM (Mobile Device Management). Z każdą nową wersją „dziesiątki” liczba konfigurowalnych profili CSP wzrasta, dlatego Microsoft zaleca, aby administratorzy przygotowali się do przejścia na tzw. „Modern Management” w tej dziedzinie, gdyż prawdopodobnie w nieodległej przyszłości już ani GPO z Active Directory, ani SCCM nie obejmą nowych funkcji z Windows 10.
Chociaż przeniesienie całości zasobów firmowych do chmury i likwidacja tradycyjnej domeny AD to jeszcze pieśń przyszłości, to jednak część z korzyści płynących ze zmian w Windows 10 można już dziś wykorzystać. Od zeszłego roku coraz więcej firm wdraża co-management między SCCM, a MDM. Co takie rozwiązanie daje? Administrator może decydować, czy dana kolekcja urządzeń będzie mogła korzystać z zalet obu sposobów zarządzania IT – tradycyjnego i nowoczesnego. Dla przykładu będziemy mieli komputer tradycyjnie dodany do domeny, rejestrujący swą obecność w SCCM, ale już aktualizowany z Chmury – korzystając z dostępu do dowolnej sieci. Jeśli zajdzie potrzeba modyfikacji polityk GPO przez IT w trakcie nieobecności tego komputera w sieci firmowej, zawsze będzie można stworzyć jej odpowiednik przy użyciu CSP i błyskawicznie przez MDM rozpropagować na urządzenie. Scenariuszy może być wiele, jak choćby zastosowanie zintegrowanego w MDM szyfrowania Bitlocker, czy przeniesienie na platformę mobilną zawartości wewnętrznego sklepu z aplikacjami. Kooperacja daje użytkownikom elastyczne możliwości dostępu do zasobów firmowych, mogąc wreszcie w pełni wykorzystać mobilność sprzętu wydanego im przez IT.
Nic dziwnego, że Microsoft rekomenduje MDM w zarządzaniu Windows 10. Co jednak trzeba podkreślić nie chodzi tu tylko o co-management SCCM z Intune. VMware również daje taką możliwość wobec swojego MDM – Workspace ONE UEM (do niedawna Airwatch). W tym celu stworzył AirLIft, który działa na prostej zasadzie. Administrator SCCM wybiera kolekcję komputerów, np. urządzenia wyjątkowo mobilnych użytkowników i z pomocą webowego interfejsu AirLift mapuje tą kolekcję z wybraną smart grupą z Workspace ONE. Połączenie to wywołuje deployment agenta Workspace ONE na tą kolekcję. Po Rejestracji urządzeń w tej platformie MDM AirLift sprawdza czy dane urządzenie pochodzi z SCCM i jeśli tak to dodaje mu TAG dzięki któremu trafi do zmapowanej smart grupy, gdzie zastosuje odpowiednie polityki MDM. W pierwszej kolejności z poziomu Workspace ONE warto ustawić zarządzanie Bitlokerem, aktualizacje z Windows Update Service oraz sprawdzenie polityk zgodności z wymaganiami firmowymi (complience). Co istotne zmiana mamagementu z SCCM na MDM może być skonfigurowana w sposób całkowicie niezauważalny dla użytkownika.
Rysunek 2 Dashboard Workspace ONE Airlift
Przejście na Co-management w kwestii Windows 10 daje administratorom nowe możliwości, a jednocześnie pozwala wykorzystać istniejącą od lat infrastrukturę IT. Zastosowanie Workspace ONE AirLift pozwala ułatwić i przyspieszyć przesiadkę na nowoczesny sposobu zarządzania komputerami. Warto z tego skorzystać zwłaszcza, gdyż AirLIft jest dostępny w ramach licencji Workspace ONE UEM (Airwatch) od wersji 9.5.