Maak het device beheer makkelijk met Microsoft Intune

 

 

Microsoft Intune is al een tijdje op de markt. In het verleden in 2011 op de markt gebracht als “Windows Intune” en in de loop der jaren veranderd qua naamgevingen (o.a. Endpoint Manager) tot nu onder de naam Microsoft Intune. Een product dat continue net zoals andere Microsoftproducten verandert. Het is een omgeving waarbij men devices volledig kan managen van installatie tot aan de security, met de bijbehorende rapportages.

 

Tegenwoordig zie je steeds meer IT-afdelingen gebruik maken van Microsoft Intune. Waarbij je in het begin tegen de nodige beperkingen aanliep, wordt het nu steeds makkelijker en handiger om toe te passen. Heb je toch nog een stukje maatwerk nodig, geen probleem. Dat kan ook gewoon.

 

Met Intune Autopilot vereenvoudig je het implementatieproces van bijvoorbeeld een nieuwe device voor een medewerker. Het nieuwe device kan direct vanuit de leverancier naar de medewerker worden verzonden zonder dat het op voorhand eerst door de IT-afdeling moet worden geïnstalleerd en geconfigureerd. Nadat de medewerker is ingelogd wordt het device voorzien van de juiste installatie en configuratie. Een belangrijk aspect is echter wel een internetconnectie. Mocht er op de één of andere manier toch geen (stabiele) internetverbinding mogelijk zijn, denk hierbij bijvoorbeeld aan een bouwplaats, dan kunnen de medewerkers ook kiezen voor een beperkte ervaring. Je kunt het device alsnog gebruiken, al ontbreken dan wellicht wat applicaties. Deze worden later op de achtergrond geïnstalleerd. Je moet er alleen rekening mee houden dat het af en toe iets weg kan hebben van ‘Slow Dining’.

 

Nieuwe feature: LAPS

Een mooie recente toevoeging aan Microsoft Intune is ‘LAPS’ (Local Administrator Password Solution). Op dit moment nog wel in “Preview” mode, maar zeker de moeite waard om naar te kijken. LAPS is nu een heel stuk makkelijker in te regelen in Microsoft Intune dan voorheen, waarbij dit op een wat omslachtige manier moest worden ingeregeld. Via Azure AD dient te worden aangegeven dat de devices gebruik moeten maken van LAPS: aanmaken van een nieuwe Endpoint Protection Policy en je bent klaar. Verstandig is om geen gebruik te maken van de standaard ‘Local Administrator’, maar daar een alternatief voor te gebruiken. Nadat de policy is aangemaakt kan je weer deelnemen aan de ‘Slow Dining’ tafel, want het kan even duren voordat deze policy is doorgevoerd op de devices.

 

Microsoft Intune biedt je de mogelijkheid om beleid toe te passen op een zowel het device als een gebruiker. Het is verstandig om zoveel mogelijk policy’s toe te wijzen aan personen en niet aan de devices, tenzij het niet anders kan. Gedeelde devices kan namelijk door meerdere personen worden gebruikt met verschillende soorten rechten. Daarnaast maakt dit het makkelijker om devices opnieuw in te zetten voor nieuwe medewerkers. Een tip: zorg er altijd voor dat de primaire gebruiker van een device altijd de persoon is die hem daadwerkelijk gaat gebruiken. Laat daarom altijd de primaire gebruiker inloggen. Dit voorkomt problemen met beleid.

 

Microsoft biedt daarnaast veel mogelijkheden om software uit te rollen naar je werkplekken. Naast het feit dat steeds meer software ontwikkelaars apps beschikbaar stellen via de Microsoft Store, is het packaging van software steeds makkelijker. Je kan zelf bepalen hoe software wordt geïnstalleerd, in welke volgorde en of er nog afhankelijkheden zijn. Daarnaast heb je de mogelijkheid, mocht je echt gedreven zijn, om zelf custom-packages te maken zodat registersleutels, bestanden en configuratie op de juiste manier worden uitgerold.

 

Aandachtspunten

Ondanks Microsoft Intune de IT-werkzaamheden makkelijker maakt, zijn er een aantal punten waar je rekening mee moet houden. Of zaken die vanuit een on-premisse omgeving gewend bent maar nu net iets anders werken.

 

Windows Update

Uiteraard biedt Microsoft Intune je de mogelijkheid om Windows Updates op je werkplekken uit de rollen. Toch zal je merken dat, zeker voor de mensen die SCCM gewend zijn, die net iets anders werkt. Binnen Intune heeft Microsoft een aantal type Windows Updates gedefinieerd:

  • Feature updates
  • Quality updates
  • Driver updates

De Feature en Quality werken met zogenaamde update rings. Daarbij is het lastig om een individuele goed of af te keuren en het terugdraaien hiervan kan lastig zijn. Toch is Microsoft een goede weg ingeslagen in de laatste change van de Drivers Updates. Deze zijn wel individueel goed of af te keuren.

 

De grootste uitdaging voor de meeste organisatie is het gebruik van Microsoft Intune en printers. Als je geen gebruik maakt van een zogenaamde “follow-me” print oplossing dan kan het uitrollen van lokale printers een nachtmerrie zijn. Je ziet wel eens IT-afdelingen waarbij een package met een PowerShell script geladen moet worden om de printers te installeren. Er wordt dan een .inf file geïnstalleerd, een lokale printer poort aangemaakt en IP-adres gekoppeld. Vervolgens moet de driver aan de printer poort worden gekoppeld. Dus: denk goed na voor je hieraan begint en gebruik Microsoft Cloud printen of natuurlijk een goed Follow-Me print oplossing.

 

Configuraties op meerdere plekken

Doordat Microsoft Intune continue in ontwikkeling is, zie je vaak het woord preview staan. Dit zijn features waar je met smart op wacht. Let wel: als je ze in productie gebruikt kan het zomaar zijn dat Microsoft besluit ze op een andere plek te plaatsen met als gevolg dat allerlei medewerkers “iets” niet meer kunnen. Daarnaast is de portal een combinatie van meerdere subportalen, features uit Entra ID en legacy policies (erfenis uit Active Directory GPO’s). Het is daarom mogelijk om configuratie items met dezelfde settings op meerdere plekken te configureren. Dit kan leiden tot conflicten met bestaande policy’s, waardoor deze niet correct worden doorgevoerd. Verstandig is dan om te bepalen welke policy’s dienen te worden aangemaakt, zoveel mogelijk gebruik te maken van de bestaande Intune Policies en legacy te vermijden. Hierbij kun je denken aan alle security waar mogelijk aanmaken binnen Endpoint Security en niet daarbuiten.

 

Tips & Trick

  • Wist je dat het mogelijk is om je beleid te importen en exporten (Graph/Rest API). Zo heb je altijd een back-up van je beleid in een JSON-file. Makkelijk als je collega iets aanpast of per ongeluk iets weghaalt.
  • Zorg ervoor dat je beleid zoveel mogelijk splitst. Maak bijvoorbeeld niet een groot Device Restriction, Endpoint Protection of Administrative template beleid aan. Zo heb je meer controle over je beleid en waar dit wel of niet wordt toegepast.
  • Kijk eens naar Remediation Scipts in plaats van PowerShell scripts. Deze kun je namelijk gebruiken om zaken op de werkplekken te detecteren en op basis van de output een script te draaien. Dit scheelt het aanmaken van lokale scheduled tasks. Uiteraard kunnen deze op een interval worden uitgevoerd.
  • Maak je nog geen gebruik van alle mogelijkheden van Microsoft Defender? Kijk dan een naar Attach Surface Reduction.
  • Gebruik een combinatie van Device Compliance en Conditional Access om toegang tot bedrijfsmiddelen op werkplekken te reguleren.

 

Kortom, bekijk de mogelijkheden en voordelen die Microsoft Intune voor jouw IT-afdeling kan bieden. Het hoeft niet zo te zijn dat je alle functionaliteiten moet inzetten, maar begin bij de features die voor de IT-afdeling het meest handig en efficiënt zijn.

 

Geschreven door Jorn Schouten, hybrid cloud consultant

×

Heb je een vraag?

Klik hieronder om ‘m snel te stellen aan ons via WhatsApp!

×