Sovelto Aamiaisseminaari Tampereella 30.10.2015 Tapsa Kankkonen ja Mika Seitsonen http://www.sovelto.fi/kurssit/aamiaisseminaarit/windows-10-seminaarit-tampereella

1. Se on sinussa.
Windows 10 hallinnan näkökulmasta, 30.10.2015
Mika Seitsonen ja Tapsa Kankkonen

2. Sisältö
• Hallinnan näkökulmaa
• Pilvipalvelut

3. Hallinnan näkökulmaa

4. Asennus
• Windows 10 tuo paljon uusia toimintoja, mutta läheskään kaikki
niistä eivät ole välittömästi käyttöönotettavissa
• Rautatuki - Windows Server 2016
• Asennus ja käyttöönotto toimivat samoin periaattein, mutta nyt
tulevat versiot asennetaan upgrade –toimintoina, ei puhtaana
asennuksena
• asennemuutos
• Windows 10 on samassa raudassa nopeampi kuin Windows 7, joten
asennukset menevät vanhaan rautaan
• lisätoiminnot vaativat sitten W10 -rautaa
4

5. Windows 10 rautavaatimukset
• 1 gigahertz (GHz) or faster
• RAM: 1 gigabyte (GB) (32-bit) or 2 GB (64-bit)
• Free hard disk space: 16 GB
• Graphics card: Microsoft DirectX 9 graphics device with WDDM
driver
• A Microsoft account and Internet access
5

6. Ominaisuuksia
6

7. Ominaisuuksia
7

8. Päivityspolut
• Ilmainen päivitys Windows 7 ja 8.1 –laitteisiin
• laitteen eliniän ajaksi
• voimassa 28.7.2016 saakka
• Enterprise vaatii SA:n
• XP ja muut vanhemmat versiot oikeuttavat 3kk ilmaiseen
testiversioon
• Windows Insider –ohjelman kautta Windows on myös ilmainen
• vaatii Insider –ohjelmassa pysymisen ja viimeisimpien buildien käyttöä
8

9. Windows 10 ADK
9
• Asennuspaketin ja vastaustiedoston
luominen vihdoinkin graafisena
työkaluna
• Provisiointipaketti
• OEM –asennuksen muuttaminen
Enterprise –asennukseksi
• Ajurit alkuperäisestä asennuksesta
• Muutoksen aikana voidaan muokata
lukuisia asioita:
• Lisenssi
• Toimialueliitos
• Ohjelmat
• Kielipaketit
• Päivitykset
• Sähköpostiprofiilit
• Wlan/VPN –profiilit
• Sertifikaattien asennus

10. Kovalevyn tilankäytön optimointia
• Windows 10 pakkaa käyttöjärjestelmätiedostot automaattisesti
• säästö 32-bittisessä 1,5GB, 64-bittisessä 2,6GB
• Siis myös Windows mobile!
• ei aktivoidu koneissa joiden muisti ja cpu speksit eivät täytä vaatimuksia
• Refresh ja Reset –toiminnot eivät enää käytä erillistä
käyttöjärjestelmäkuvaa
• säästöä aikalailla (Vähintään 4 gigaa!)
10

11. Enterprise Credential Protection
• Virtual Secure Mode (VSM)/Virtualization-Based Security (VBS)
• Vaatii virtuaalikoneen, jossa LSASS, virtuaalinen TPM ja koodin
tarkistus bitit
• Trustlets
11

12. Device Guard
• Lukitsee laitteen niin, että vain luotettujen toimittajien ohjelmat voivat
käynnistyä
• Device Guard for Windows 10 Enterprise
• Device Guard for Windows 10 Enterprise + Virtualization extensions
• UEFI –boot (secure boot)
• TPM 2.0
• Eristetyt Hyper-V pohjaiset tietoturvapalvelut
• UMCI (User Mode Code Integrity) valvoo user –tilassa olevia ohjelmia
(classic apps, Store apps, palvelut) kuten AppLocker
• KMCI (Kernel Mode Code Integrity) valvoo kernel –tilaa (tätä ei AppLocker
osaa)12

13. Enterprise Data Protection
• Teknologia datavuotojen varalle - Erottelee yrityksen ja yksityisen
• Käyttäjä voi tallettaa datan yritysdatana – ie. Save as…
• Datan pyyhkiminen/käytön estäminen
• RMS –pohjainen datan suojaus
• Mallit: Block, Override, Audit, Off
• EDP määrittää ohjelman "Priviledged App" –tilaan jolloin se voi
käsitellä yritysdataa
• käyttäjän "omat" ohjelmat eivät tähän siis pysty
• esim. Dropbox.exe ei ole "priviledged" – ei synkronointia firman datalle!!
13

14. Pilvipalvelut

15. Protect
your data
Enable
your users Unify your environment
People-centric approach
Devices Apps Data

18. Identity Choices
Computer joins AD
to establish trust
User signs on using AD
account
Group Policy + System
Center
Computer registers with AD or Azure AD via Device
Registration to establish trust for remote resource access
User signs in with a Microsoft account, associates an Azure
AD account
Intune/MDM
Computer joins Azure AD
to establish trust
User signs on using
Azure AD account
Intune/MDM
Settings roaming
Single sign-on to enterprise + cloud-based services
Organization Owned Personally Owned (BYOD)

19. Self-service Single
sign on
•••••••••••
Username
Simple
connection
Cloud
SaaS
Azure
Office 365Intune
Other
Directories
Windows Server
Active Directory
On-premises Microsoft Azure Active Directory

20. Enterprise Mobility Suite
Easily manage identities across
on-premises and cloud. Single sign-on
and self-service for corporate resources.
Azure Active Directory
Premium
Unify identity Manage apps and devices Protect data
Microsoft Intune
Azure Rights
Management
Manage and protect corporate apps
and data on almost any device with
MDM and MAM.
Encryption, identity, and authorization
policies to secure corporate files and
email across phones, tablets, and PCs.

21. Mobile application
management
PC managementMobile device
management
ITUser
Microsoft Intune
Intune helps organizations provide their employees with access to corporate
applications, data, and resources from virtually anywhere on almost any
device, while helping to keep corporate information secure.
Enterprise mobility management with Intune

22. Enroll
• Provide a self-service Company
Portal for users to enroll devices
• Deliver custom terms and
conditions at enrollment
• Bulk enroll devices using Apple
Configurator, DEP or service
account
• Restrict access to Exchange
email or SharePoint if a device is
not enrolled
Retire
• Revoke access to corporate
resources
• Perform selective wipe
• Audit lost and stolen devices
Provision
• Deploy device security policy
settings
• Deploy certificates, email, VPN,
and WiFi profiles
• Install mandatory apps
• Deploy app restriction policies
• Deploy data protection policies
Manage and Protect
• Restrict access to corporate
resources if policies are violated
(e.g., jailbroken device)
• Protect corporate data by
restricting actions such as
copy/cut/paste/save outside of
managed app ecosystem
• Report on device and app
compliance
User IT

23. Mobiledevices and PCs Mobiledevices
System Center
Configuration
Manager
Domainjoined PCs
Configuration Manager integrated with Intune (hybrid)Intune standalone (cloud only)
IT IT
Intune web console ConfigurationManager console

24. System Center Configuration Manager - Windows 10 vaatimukset
• SCCM 2012 R2 SP1 tai SCCM 2012 SP2 +
• Cumulative Update 1 https://support.microsoft.com/en-us/kb/3074857
• Fix https://support.microsoft.com/en-us/kb/3089193
• Fix https://support.microsoft.com/en-us/kb/3084586
• Windows PE 10 (itsellä toiminut vanhallakin)
• Import (https://technet.microsoft.com/en-us/library/dn387582.aspx )
• tai
• Vaihda Windows 10 ADK
• Vaihda Win PE 10 boot imaget
• Huom. Win PE 10 ei tue Windows 7:aa vanhemman OS:n jakelua
• USMT 10 (Windows 10 ADK:sta)
• Huom. USMT 10 siirron kohteena ei enää Windows 7
• Update https://support.microsoft.com/kb/3074667 Windows 10:iin
24

25. SCCM - Tuleva(t) versio(t) vNext
• Kaksi variaariota (kuten Windows 10:stä)
• Ilman (pää)versionumeroa oleva dynaamisesti/helposti päivittyvä
• System Center Configuration Manager
• Tullee joulukuussa 2015 (tarkenteella v1512 (Vuosi 2015 kuukausi 12))
• Kiinteä vuosilukuversiolla oleva (kuten Windows 10 LTSB)
• System Center 2016 Configuration Manager
• Tullee H2 2016
• Ei tule (alkuvaiheessa) poikkeamaan merkittävästi 2012 R2 SP1:stä
• Sama arkkitehtuuri, sama käyttöliittymä, päivitys inplace upgade, Uutta:
• Tuki Win 10:n uusille - ei perinteisesti hallittaville ominaisuuksille
• Automaattisen Client päivityksen testaus ja tarkastelu
• Uusi Software Center
• SUM (Software Update Management ) 'klustereille', pienet ADR (Automatic Deployment Rules)
muutokset, WSUS Cleanup
• OSD: WinPE as Peer Cache
• On-premise MDM (Mobile Device Management)
• (Ja puoliautomaattinen SCCM päivittyminen) 25

26. Basic
Traditional
Mobile Device
Management
Lightweight Full Control
Update
Approach

27. Setting Setting Setting Setting Setting Setting Setting Setting
​Allow Auto Update
Connectivity/AllowCellularData
Roaming Search/DisableBackoff
TextInput/AllowJapaneseNonP
ublishingStandardGlyph Settings/AllowDateTime
AllowIntrusionPreventio
nSystem
AllowFullScanRemov
ableDriveScanning
Configure
SmartScreen
Schedule Install Day
Connectivity/AllowVPNOverCell
ular
Search/PreventRemoteQu
eries
TextInput/AllowJapaneseIVSC
haracters Settings/AllowLanguage AllowIOAVProtection
AllowFullScanOnMap
pedNetworkDrives Allow Pop-ups
Schedule Install Time
Connectivity/AllowVPNRoaming
OverCellular
Search/AllowUsingDiacriti
cs
TextInput/AllowJapaneseUser
Dictionary Settings/AllowRegion AllowScriptScanning
AllowScanningNetwo
rkFiles Allow Cookies
DeviceLock/AllowIdleRetur
nWithoutPassword Connectivity/AllowBluetooth
Search/AlwaysUseAutoLan
gDetection
TextInput/AllowJapaneseIMES
urrogatePairCharacters
Settings/AllowSignInOptio
ns
AllowOnAccessProtectio
n
SignatureUpdateInte
rval Allow Save Password
WiFi/AllowWiFi
Experience/AllowScreenCaptur
e
Search/DisableRemovable
DriveIndexing
TextInput/ExcludeJapaneseIM
EExceptShiftJIS
Settings/AllowYourAccoun
t RealTimeScanDirection
AllowCloudProtectio
n Allow Autofill
WiFi/AllowInternetSharing Experience/AllowTaskSwitcher
Search/PreventIndexingLo
wDiskSpaceMB
TextInput/ExcludeJapaneseIM
EExceptJIS0208 Settings/AllowPowerSleep
DaysToRetainCleanedMa
lware
SubmitSamplesCons
ent
Configure Enterprise
Site List
WiFi/AllowAutoConnectTo
WiFiSenseHotspots
Experience/AllowVoiceRecordin
g
Search/AllowIndexingEncr
yptedStoresOrItems
TextInput/ExcludeJapaneseIM
EExceptJIS0208andEUDC Settings/AllowAutoPlay AllowUserUIAccess ExcludedExtensions
WiFi/AllowWiFiHotSpotRep
orting
Experience/AllowSyncMySettin
gs
Security/AllowRemovePro
visioningPackage TextInput/AllowInputPanel Experience/AllowCortana ScanParameter ExcludedPaths
WiFi/AllowManualWiFiConf
iguration
Experience/AllowManualMDM
Unenrollment
Security/RequireProvisioni
ngPackageSignature
Bluetooth/AllowDiscoverable
Mode
Search/SafeSearchPermiss
ions ScheduleScanDay ExcludedProcesses
System/AllowLocation
Accounts/AllowMicrosoftAccou
ntConnection
AboveLock/AllowActionCe
nterNotifications Bluetooth/AllowAdvertising
Experience/AllowCopyPas
te ScheduleScanTime Policy name
System/AllowTelemetry
Accounts/AllowAddingNonMicr
osoftAccountsManually
Authentication/AllowEAPC
ertSSO
Bluetooth/AllowConnectable
Mode Force Start Size ScheduleQuickScanTime Allow Browser
System/AllowExperimentati
on
Security/AllowManualRootCerti
ficateInstallation
TextInput/AllowIMENetwo
rkAccess Settings/AllowDataSense Policy name AVGCPULoadFactor
AllowSearchSuggesti
onsinAddressBar
Security/AntiTheftMode
Security/AllowAddProvisioningP
ackages
TextInput/AllowKoreanExt
endedHanja Settings/AllowVPN AllowRealtimeMonitoring AllowArchiveScanning
SendIntranetTraffict
oInternetExplorer
Connectivity/AllowUSBCon
nection Search/AllowWindowsIndexer
TextInput/AllowIMELoggin
g Settings/AllowWorkplace AllowBehaviorMonitoring AllowEmailScanning Allow Do Not Track
System/AllowUserToResetP
hone

28. Kokeilutilit
• Office 365 E3
• http://go.microsoft.com/fwlink/p/?LinkID=403802
• Azure
• http://azure.microsoft.com/en-us/pricing/free-trial
• 170€ edestä kokeiluaikaa, mutta vaatii luottokortin
• Enterprise Mobility Suite (EMS)
• http://www.microsoft.com/en-us/server-cloud/enterprise-
mobility/overview.aspx

29. Lisäinformaatiota
• http://blogs.technet.com/b/ad/archive/2015/10/14/azure-ad-domain-services-
is-now-in-public-preview-use-azure-ad-as-a-cloud-based-domain-controller.aspx
• http://blogs.technet.com/b/microsoftintune/archive/2015/10/27/coming-soon-
new-intune-features-including-windows-10-edp-policies.aspx
• http://blogs.technet.com/b/configmgrteam/archive/2015/10/27/system-center-
configmgr-support-for-win-10-and-intune.aspx