Microsoft Intune er en skybasert løsning for enhets- og applikasjonsbehandling og Windows 10-administrasjon. Kombinert med Azure Active Directory (AD) Premium kan Intune fint erstatte dine domenekontrollere med Windows AD og gruppepolicyer. Da er det heller ikke like nødvendig med infrastrukturtjenester som virtuelle private nettverk (VPN) og Windows Server Update Services. Dermed er du på god vei til å flytte deg opp i skyen på en trygg og sikker måte.
Du får et kraftig system for å styre og beskytte brukere, enheter og datatilgang. I tidligere innlegg ga vi en innføring i Intune, viste hvordan du kan fjernslette bedriftsdata på mobilenheter og kontrollere tilgangen til applikasjoner og data. Her konsentrerer vi oss om å administrere Windows 10. Det omfatter å melde maskiner inn i Azure AD og holde dem oppdatert. Vi skal konfigurere dem og rulle ut applikasjoner. Så kan vi sette opp policyer for samsvar og betinget tilgang.
Azure AD Premium og Windows AD
Azure AD er neste generasjons aktive katalogtjeneste for identitets- og tilgangsstyring. Premium-versjonene kommer med en rekke sikkerhetsmekanismer du ikke finner i Windows AD. Det er støtte for godkjenning med flere faktorer og selvbetjent tilbakestilling av passord. Identitetsbeskyttelsen flagger mistenkelige aktiviteter som kan tyde på at påloggingsinformasjon er kommet på avveie. Du kan oppheve den faste kobling mellom bruker og privilegerte roller, for så å aktivere tidsbegrensede administratorrettigheter ved behov. Ikke minst kan du kvalifisere adgangen til tjenester, apper og data basert på betingelser. Vi skal benytte oss av flere av disse mekanismene for Windows 10.
Gruppepolicyer og konfigurasjonsprofiler
Gruppepolicy-objekter og -preferanser i Windows AD lar deg fininnstille Windows ned til minste detalj. Med konfigurasjonsprofiler i Intune får du mye av den samme funksjonaliteten. Du behøver ikke lenger tilpasse og vedlikeholde bilder av operativsystemet med et utall drivere som installeres på rent metall. I stedet tar du utgangspunkt i den OEM-optimaliserte versjonen av Windows 10 som er forhåndsinstallert på enheten. Den transformeres til en virksomhetsklar tilstand ved hjelp av profiler, policyer og apper du distribuerer. Du kan endre utgaven fra Windows 10 Pro til Enterprise.
Innmeldte og registrerte enheter
I et vanlig bedriftsscenario får de ansatte utdelt en Windows-maskin for skrivebordsarbeid. De har egne mobilenheter med iOS eller Android som benyttes for tilgang til e-post og andre ressurser i virksomheten. For at IT skal få kontroll med og administrere enheter i Intune, må de være oppført i Azure AD. Med Windows 10 kan du melde dem inn; i en hybrid konfigurasjon kan de samtidig være medlem av Windows AD. Mobilenheter er typisk registrert; data og tilganger er sikret ved hjelp av policyer for appbeskyttelse.
Melde Windows 10 inn i Azure AD
Velg Innstillinger, Kontoer (Dine kontoer, e-post, synkronisering, arbeid, andre, personer) og Logg på jobb eller skole. Her melder du maskinen inn i Azure AD med din konto på jobben og oppretter tilkoblingen til Microsoft Intune. Det gir en fast forbindelse eller affinitet mellom bruker og enhet.
Windows 10 som tjeneste og oppdateringer
Windows 10 ble lansert i slutten av juli i 2015 (versjon 1507). Det blir ingen ny utgave. I stedet utgir Microsoft to funksjonsoppdateringer i året, med forbedringer og ny funksjonalitet, som regel i mars og september. Det forklarer nummereringen. Forrige var 1809, den aktuelle er 1903. I tillegg kommer det månedlige kvalitetsoppdateringer for sikkerhet og feilretting.
Fordelen med Windows 10 som tjeneste er at det tar relativt kort tid før alle brukere er på siste versjon. Det krever ikke lenger utstrakt testing og omfattende opplæring av sluttbrukere. Du skal ikke foreta en ren installasjon, men legge den nye oppå den gamle. Fremgangsmåten tar vare på alle innstillinger og programmer. Du har en angrefrist for å rulle tilbake til en tidligere utgave.
Grunnleggende administrasjon av Windows 10
For å administrere Windows 10 effektivt må du gjøre fem ting. Her følger først en kortfattet oversikt over prosedyrene for å vise sammenhengen. Så utdypes de enkelte punktene med skjermbilder for å antyde mulighetene:
- Sette opp to oppdateringsringer for Windows 10. De fleste skal få siste utgave av Windows. Et lite utvalg får en stabil forhåndsversjon for å gjøre seg kjent med nye funksjoner.
- Opprette konfigurasjonsprofiler for enhetene, det nærmeste du kommer gruppepolicyer i skyen. Det gir deg Windows-maskiner slik du ønsker dem.
- Konfigurere policyer for å rulle ut applikasjoner. Det omfatter Office 365 ProPlus – eventuelt også med Visio og Project – skrivebordsappen Teams, den nye Azure Information Protection-klienten for enhetlig merking, samt en Microsoft Store-app eller to.
Oppdateringsringene, konfigurasjonsprofilene og policyene må tildeles sikkerhetsgrupper som inneholder enhetene. Dette fungerer på tilsvarende måte som med gruppepolicyer du knytter til organisasjonsenheter (OUer) i Windows AD. Når disse tre punktene er på plass, kan du ta for deg de to siste, som danner den hellige gral for oppsettet og sikkerheten:
- Sette opp samsvarspolicyer for enheter som kontrollerer at enhetene er i overensstemmelse med retningslinjene du har konfigurert.
- Nå først bør du gå i gang med regler for betinget tilgang, der én av forutsetningene er krav til samsvar med retningslinjene dine.
Oppdateringsringer for Windows 10
I Intune må du bla deg ned til Software updates og velge Windows 10 update rings. Det er opprettet en oppdateringsring kalt Semi-Annual Channel for alle brukere og en ring kalt Release Windows Insider for IT-folk, så de blir kjent med nye utgaver.
De to tjenestekanalene har undergrupper. Targeted, som distribuerer funksjonsoppdateringer fire måneder tidligere, er ikke gyldig lenger fra og med versjon 1903. I prinsippet er det en tredje kanal – Long-Term Servicing Channel (LTSC) – for kritiske systemer som ikke tåler endringer. Denne kan ikke administreres i Intune.
Her har vi holdt oss til standardinnstillingene. Det er tillatt å skanne for produktoppdateringer og Windows-drivere. Utsettelsesfristen for å installere kvalitets- og funksjonsoppdateringer er satt til null dager. Etter ti dager kan vi ikke avinstallere siste versjon. Oppdateringene foregår utenfor arbeidstiden. Brukere har til dels kontroll over dem. Det er en deadline på sju dager og ytterligere en nådeperiode på to dager før det skjer en automatisk omstart.
Et kakediagram viser status for programvare-oppdateringer, noe som skal interessere oss mindre nå. Vi er ute etter fullstendig samsvar, der oppdateringer inngår som bare ett moment sammen med konfigurasjonen av Windows 10 og distribusjon av applikasjoner.
Konfigurasjonsprofiler for enheter
Gå til Device configuration, Profiles. Her vises eksempler på hva slags konfigurasjonsprofiler du kan sette opp for enheter. Den mest omfattende profiltypen er Device restrictions. Der vil du tilbringe mesteparten av tiden. I likhet med gruppepolicyer bør du holde funksjoner samlet. Det forenkler oversikten og senere feilsøking.
Ovenfor ser du basis-konfigurasjonen for BitLocker-stasjonskryptering, sentralt for å sikre maskiner med Windows 10. Typiske innstillinger er å kreve TPM (Trusted Platform Module) ved oppstart, og at gjenopprettingsinformasjon for BitLocker lagres i Azure AD.
Her er et forholdsvis enkelt oppsett som automatiserer tilkoblingen til ditt trådløse nettverk.
Distribuere applikasjoner
Gå til Client apps, Apps. Dette er noen av appene som er gjort tilgjengelig for distribusjon.
Det er støtte for Store-apper for Android, iOS, Windows Phone 8.1 og Google Play. Office 365 er prekonfigurert for Windows 10 og macOS. I tillegg kan du distribuere web-koblinger, innebygde apper for iOS og Android, forretningsapplikasjoner og Windows-programmer (Win32). Her har vi valgt Office 365-suiten med skrivebordsversjonen av Teams.
Støtten for Win32-apper markerer en milepæl for Intune. Dermed viskes skillet ut mellom tradisjonelle og skybaserte løsninger for å distribuere programvare for Windows – en grunn mindre til å bruke tunge systemer som System Center Configuration Manager.
Vi kan velge mellom 32-bits og 64-bits versjoner, oppdateringskanalen, om tidligere installasjoner skal fjernes, og ikke minst språk. Vi kan gjøre programpakken tilgjengelig for installasjon eller sette den til nødvendig. Den kan også avinstalleres fra Intune. Du kan inkludere og ekskludere målgrupper som den rulles ut til.
Samsvarspolicyer for Windows 10
Nå kan vi sette opp retningslinjer for hvilke krav Windows 10 må oppfylle for å være i samsvar. Gå til Device compliance – Policies. (Mobilt trusselforsvar for iOS er ikke konfigurert ennå.)
For enhetshelse krever vi BitLocker-stasjonskryptering og sikker oppstart, som hindrer tredjeparts kode i å kjøre, så som root kits. Det er ikke benyttet kode-integritet for applikasjoner. Egenskaper for enheter angår minimums- og maksimumsversjoner av Windows 10, angitt med interne byggnumre, som 10.0.18362.239 og 10.0.18362.500. Vi bruker ikke Configuration Manager. Legg merke til Actions for noncompliance. Her er valget: Marker enheten umiddelbart som ikke i samsvar.
For systemsikkerhet er dette valgene. Det er ikke huket av for TPM fordi maskinene i test er virtuelle. I produksjon bør du helst gjøre det om mulig.
Det vi er ute etter, er at alle enheter er i samsvar. I større miljøer tar det tid før alt er markert med grønt. Du bør vente i minst en uke til alt har stabilisert seg før du går videre.
Betinget tilgang basert på samsvar
Det er mange måter å sette opp betinget tilgang på: Hvis bruker har en administratorrolle, krev godkjenning med flere faktorer (MFA). Hvis autentiseringen ikke benytter en moderne protokoll, blokker adgangen til bedriftsdata. Her ønsker vi imidlertid å kreve overensstemmelse.
Dette er en policy for betinget tilgang til kjernetjenestene i Office 365. Det er to tilgangskontroller: (1) Krev MFA, og (2) krev at enheten er i samsvar med våre retningslinjer. Her må begge forutsetninger være oppfylt. I andre tilfeller kunne vi nøyd oss med å fordre bare én av dem. Se Microsoft 365 – Betinget tilgang med Azure AD og Intune for en mer omfattende gjennomgang.
Selv er jeg en svoren tilhenger av passordløs, biometrisk pålogging med Windows Hello. Microsoft kaller dette passord-mindre – en masete ting mindre å tenke på. Da blir tilgangsreglene: Logg på så sant enheten er i samsvar. Krev MFA, passordendring eller blokkert konto om det registreres noen faresignaler. Bare tillat adgang til følsomme data via godkjente apper og når du er på et trygt nettverk.
Lisenskrav til Intune med Azure AD Premium
Scenarioene ovenfor støttes ikke av Microsoft 365 Business. Der kommer med en redusert versjon av Intune i form av MDM for Office 365 for mobil enhetsadministrasjon. Minimumskravet er Intune med Azure AD Premium P1, som inngår i Enterprise Mobility + Security (EMS) E3 og Microsoft 365 E3. For risikobasert betinget tilgang trenger du EMS E5. Den er også del av Microsoft 365 E5, som i tillegg gir integrasjon med Microsoft Defender ATP.
Konklusjon
Intune har lenge vært en imponerende løsning for mobil enhets- og applikasjonsbehandling. Etter hvert har den utviklet seg til en like velegnet plattform for å administrere Windows 10. For små og mellomstore bedrifter bør Microsoft Intune være førstevalget for å håndtere mobilenheter, applikasjoner og Windows 10.
Sammen med Azure AD Premium i Microsoft 365 Enterprise kan Intune erstatte Windows AD og gruppepolicyer, foruten tjenester som VPN og Windows Server Update Services. Intune krever ingen egen infrastruktur; den kjører i skyen. Det er ikke noe behov for å rulle ut agenter; MDM-programvaren er integrert i Windows 10. Du tar i bruk en langt mer moderne katalogtjeneste som inneholder en rekke sikkerhetsmekanismer. Du slipper å drifte andre typer servere og er på god vei til å bli ServerFri – som vi kaller det.