Lançamento do System Center 2022–Ainda Vale a Pena? Será descontinuado?

A primeira vez que recebi o premio de MVP foi na categoria System Center, que depois alterou para Cloud and Datacenter Management (CDM).

Com o crescimento exponencial das clouds publicas os ambientes on-premises passaram a ser integrados também aos recursos disponíveis em cloud publica e/ou migrados.

Então recebo constantemente a pergunta “O System Center vai morrer?” e até afirmações “System Center foi descontinuado”.

Com o lançamento do System Center 2022 em 1o de Abril voltamos estas perguntas https://cloudblogs.microsoft.com/windowsserver/2022/04/01/system-center-2022-is-now-generally-available?WT.mc_id=AZ-MVP-4029139

Sendo assim vamos a algumas questões e usarei uma apresentação que fiz no MVPConf.

O que levou a essas conclusões?

  • Atualizações semestrais foram descontinuadas (1801, 1909, etc), as atualizações seguiram o modelo anterior de Update Rollups a cada 12 a 18 meses e novas versões a cada 3 ou 4 anos
  • Configuration Manager teve sua ultima versão 2012 R2 como a ultima que fazia parte da suíte System Center e passou a ser Enpoint Manager na familia do Intune
  • Service Manager teve um comunicado do time de produtos em 2018 onde afirmavam que o produto não seria descontinuado
  • Operations Manager não tinha uma integração com o Azure Monitor
  • Virtual Machine Manager não dava suporte a recursos novos do Hyper-V e suporte limitado ao Azure
  • Orchestrator com poucos pacotes de integração para 3rd partners

Configuration e Endpoint Data Protection Manager

  • Foi deslocado da família System Center para a família Endpoint Management
  • Integração com Intune e novos recursos do Azure como Analytics (Log e Desktop)
  • Possibilidade de utilizar roles diretamente na web (CMG)
  • Licenciamento foi integrado nas licenças de Microsoft 365, Enterprise Mobility Suite (EMS), Intune add-on e CoreCal Bridge

Conclusão: O produto não foi descontinuado nem se tornou uma nova família para se “desprender”, e sim um reposicionamento para o time de gerenciamento de Windows.

Operations Manager

  • Os Management Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
  • Foi disponibilizado um Management Pack para Azure que permite fazer toda a monitoração e dashboards, recebeu integração com o Log Analytics, que alimenta os dados para uso no Azure Monitor
  • Reduz custos e tem melhor performance nos alertas para servidores on-premisse, quando o ambiente é integrado com o Azure Monitor
  • Projeto Aquila permitirá usar o SCOM como SaaS (fonte: ZDNET e Directions)

Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.

Virtual Machine Manager

  • Está sendo atualizado com os recursos novos do Windows 2019, mas o timeline entre novos recursos do Windows e a inclusão seguem os Update Rollups, de 12 a 18 meses
  • Ainda é muito importante por conta de recursos em Cluster de Hyper-V e monitoração para quem utiliza
  • Windows Admin Center vem incluindo diversos dos recursos que o VMM possui, mas os wizards do VMM são superiores

Conclusão: Para grandes Clusters o VMM é indispensável, mas para gerenciamento de servidores Hyper-V segregados o Admin Center é uma boa opção.

Data Protection Manager

  • Manteve as características principais de backup apenas de produtos Microsoft on-premisse (SQL, Hyper-V, Exchange, etc) e VMWare. Não tem previsão de inclusão para produtos de terceiros
  • Não suporta serviços do Azure, cada serviço do Azure possui ferramentas próprias de backup. Aceita agentes em Azure VMs, porem deve-se levar em conta custo de download
  • Possui a versão gratuita Microsoft Azure Recovery System (MARS) que é um subset do DPM sem suporte a fitas

Conclusão: Para ambientes Microsoft on-premisse ou Azure VMs para discos locais ou fitas ainda é importante, mas ambientes Azure utilizar os recursos nativos de cada serviço.

Service Manager

  • Portal de autoatendimento agora em HTML 5
  • Suporta integração com BMC, ServiceNow e outros, mas alguns conectores são pagos (3rd SW)
  • Manteve-se fiel ao modelo ITIL v3
  • A construção de workflows foi melhorada incluindo uma interface mais amigável e mais recursos de integração com o Orchestrator

Conclusão: É uma ferramenta da suíte que recebeu poucos avanços e manteve sua dependência do Orchestrator, que torna mais complexa a administração. Mas como faz parte da suíte é financeiramente justificável no conjunto.

Orchestrator

  • Os Integration Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc)
  • Integration Packs de 3rd SW nem todos possuem atualizações, na maioria são pagos
  • Agora suportando PowerShell v4 permite que se crie novas funcionalidades por código, o que remove as limitações dos Integration Packs

Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados.

Alternativas ao System Center

Com os avanços das ferramentas integradas como Hybrid usando Azure Arc e Azure Automation, você poderá estender os mesmos recursos nos servidores on-premises equivalentes ao System Center.

image

Possibilitando trabalho remoto em período de Corona Vírus

Nesse período em que muitos colaboradores estão sendo movidos para remote office, que soluções podem ser adotadas rapidamente para isso?

Cenário 1 – Uso de VPN

A primeira solução é o uso de VPNs, onde o colaborador irá acessar de sua casa o ambiente de rede da empresa via internet.

Quais as vantagens?
Esse método é bem interessante por ser rápido de implementar, em geral no firewall que a  empresa já utiliza. O usuário poderá acessar seus e-mails, servidores e aplicações como se estivesse fisicamente dentro da empresa, usando seu computador pessoal. Como utiliza um produto já existente na maioria dos ambiente, o custo é mínimo para habilitar no firewall e muitos fabricantes basta habilitar.

Quais as desvantagens?
O maior risco no uso de VPNs é a falta de segurança advindo de  conexões externas diretas, de equipamentos desconhecidos. Por exemplo, imagine que a maquina do colaborador é a mesma que ele baixa conteúdos da internet, joguinhos e outros. Que garantia eu tenho que não entrará um worm ou vírus por essa conexão? Nenhuma.

Quais soluções posso usar para complementar a segurança?
NAC
(Network Access Control) são protocolos e proteções instaladas no firewall que ao tentar se conectar um script é executado no equipamento remoto para validar se ele tem anti-virus valido, atualizações de sistema operacional, etc por meio de uma regra NPS (Network Policy Service/Server). Porem, os NPSs costumam ser limitados no que podem checar e ai é quando precisamos instalar um agente antecipadamente e só validam no momento de entrada na rede sem validar configurações que possam ser alteradas ou permitam que o equipamento fique desprotegido.
Já a solução de MDM no portfólio de Microsoft é o Microsoft Intune que agora se chama Microsoft Endpoint Management Service por ter se juntado ao SCCM (System Center Configuration Manager).
O Intune é uma solução em nuvem com funções similares ao SCCM, mas com módulos para dispositivos como telefone e tablets. Ele permite que o administrador crie regras de validação para serem aplicadas na máquina do usuário a partir do software de monitoramento e essas regras podem envolver:

• Atualizações de sistema operacional
• Instalação de aplicações corporativas automaticamente
• Regras de Compliance como obrigatoriedade e tipo de senha, uso de recursos compartilhados entre diferentes ambientes no mobile (KNOX e Apple Secure)

• Restrição a troca de informações entre aplicativos classificados como corporativos (copiar e colar)
• Diversas outras regras que variam entre Android, iOS, MAC e Windows
Se integram com vários modelos de NAC físicos

Cenário 2 – Uso de PaaS e SaaS para aplicações de trabalho

Muito conhecido como Modern Workplace essas soluções no portfolio de Microsoft estão no Microsoft Office 365.
Vendidos em pacotes individuais de serviços, pacote Business (até 300) e enterprise (Office 365 e Microsoft 365) possibilitam que um colaborador trabalhe remoto sem qualquer tipo de acesso a rede interna.

Quais as vantagens?
Por terem diferentes modelos de aquisição contratual (CSP por demanda, MPSA e EA com preços fixados) é acessível a todos os clientes.
A segurança dos dados é maior pois o usuário acessa arquivos e email diretamente da Microsoft por meio da internet comum e não tem acesso aos servidores internos da empresa. Por ser um modelo de serviços em nuvem, não precisa de instalações, servidores e infraestrutura local além do TCO de manutenção e operação desses serviços.
Bem, não precisamos falar muito porque hoje já é consolidado o modelo de PasS e SaaS com Exchange, Teams, SharePoint, OneDrive e outros produtos da suíte.

Quais as desvantagens?
Existem poucos pontos negativos, já que aqui estamos tratando de serviços essenciais (email, mensageria, áudio e vídeo conferencia, troca de arquivos). Mas o acesso irrestrito dos dados sem a facilidade de criar regras de segurança que temos com ACL em um servidor de arquivos físicos assusta muita gente... Uma vez que os arquivos estão na nuvem e acessíveis de qualquer lugar e dispositivo como evitar o acesso indevido?

Quais as soluções que protegem o meu conteúdo?
Nesse ponto é que as coisas ficam mais fáceis! No modelo de PaaS e SaaS do Office 365 temos pacotes de segurança disponíveis para qualquer uma das opções tanto contratuais como tipo de pacote:

• Criptografar, categorizar e identificar conteúdo protegido temos o AIP (Azure Information Protection) que é o antigo RMS do Windows, agora em nuvem, que pode identificar por exemplo que um usuários está passando CPFs e Passaportes para outras pessoas dentro ou fora da empresa
• Detectar atividades suspeitas temos o ATP (Azure Advanced Threat Protection) que analisa a atividade no AD local e em nuvem

• Com o CASB (Cloud App Security) Fazer detecções avançadas de uso, integrando aplicações de terceiros e identificando possíveis violações e problemas como logins em diferentes localidades simultâneas ou em deslocamentos impossíveis (chile e Australia em menos de 2 horas por exemplo)
Permitir a criação de regras de acesso e login (similar ao NAC) com o AD Premium, que também possibilita relatórios detalhados de atividades

Esses recursos citados são os que cobririam a segurança do acesso aos dados da empresa em qualquer dispositivo!

Cenário 3 – Virtual Desktop

Solução já muito conhecida, pode ser implementada em modelo de acesso direto a aplicativos a partir de servidores (RDS) ou maquinas virtuais independentes para os usuários (VDI).

Quais as vantagens?
Nada está fora da empresa, não existe troca de dados via internet.
Nesse modelo, os dados são acessados de dentro da empresa, uma vez que o usuário irá ver a tela do servidor ou de sua VM pessoal que está na infraestrutura e rede da corporação.
Então o acesso aos dados é muito controlado e 100% similar ao que o colaborador estaria vendo e fazendo sentado na sua mesa de escritório.

Quais as desvantagens?
Custo, tanto de equipamentos quanto licenciamento.
Para montar uma estrutura de RDS (Remote Desktop Service) é possível usar direto o Windows Server e ter um custo bem mais atrativo ou soluções como VMWare Horizon e Citrix.
Já para a solução de VDI (Virtual Desktop Infrastructure) temos um alto custo, já que para cada usuário logado é necessário ter uma VM Windows 10 ativada.
Sendo assim, se houver 200 usuários remotos será necessário ter 200 VMs ativas em servidores físicos, que acabando o surto deixariam de ser necessárias.

Quais alternativas para a falta de Hardware nesse momento de isolamento?
A Microsoft possui um serviço chamado WVD (Windows Virtual Desktop) que é um VDI hospedado, com a vantagem de ser escalável podendo ir de 1 a 25.000 VMs em minutos! Esse serviço é aberto a todos os clientes por meio de uma conta no Azure e o licenciamento de Windows Enterprise com SA ou Windows E3 que é subscrição.
Usuários que já tem o Microsoft 365 (exceto F1) já estão habilitados, uma vez que o M365 E3 e E5 incluem o licenciamento de Windows Enterprise.
E para os que não tem, pode fazer a subscrição de licenças Windows E3 no modelo CSP mensal, onde irá pagar apenas pelo que ativar de WVDs.

Integrando Updates de Fabricantes com o System Center Configuration Manager (Endpoint Protection Server)

Uma das necessidades que muitos administradores de TI tem é fazer o update de forma centralizada.

Isso se deve a ter um unico ponto de contato, evitar instalar mais softwares de fabricantes, principalmente para drivers de clients e servers com vários fabricantes.

Já bem estruturado e desde a versão 2012, o SCCM tem a capacidade que se chama SCUP (System Center Update Service) para isso.

Utilizando o SCUP

É bem simples de ser usado, vá ao site do fabricante que pode ser de HW ou SW e consiga a URL com o arquivo cab de atualizações. Dentro desse arquivo irá ter as definições em XML dos updates e requisitos. Por exemplo ele contem os updates com a lista de servidores e maquinas compativeis, ou requisitos de software para updates como Adobe e Autodesk.

Depois que tiver a URL vá em Software Library –> Software Updates –> Third-Party Software Updates e inclua o catálogo como a imagem abaixo:

Anotação 2019-12-30 180714-2

Anotação 2019-12-30 180714-3

Dai em diante basta aguardar que ele finalize o processo de sincronização e utilizar o botão Subscribe to Catalog para iniciar os updates:

Anotação 2019-12-30 180714-4

Eles irão aparecer junto com os updates de Windows para serem aprovados, com uma classe a parte para se criar as regras automaticas de Deploy.