Med moderne menes forenklede måter å administrere datamaskiner på som kan minne om hvordan du håndterer mobilenheter over Internett. For IT-avdelingen blir det lettere å klargjøre enheter og distribuere applikasjoner. Sluttbrukere får en bedre opplevelse, samtidig som sikkerheten styrkes. Administrasjonen blir mer helhetlig og strømlinjeformet, noe som kan bidra til å senke driftsutgifter. Intune er Microsofts skybaserte løsning for mobil enhets- og applikasjonsbehandling. Den gjør det mulig for brukere å være produktive, mens du holder bedriftsdata beskyttet. Intune er integrert med andre tjenester, som Microsoft 365 for produktivitet og samarbeid, Azure Active Directory (AD) for tilgangsstyring og Azure Information Protection (AIP) for databeskyttelse.
Oversikt over Intune
Grafikken viser et høynivåbilde av arkitekturen i Intune. Microsoft Intune og Azure AD arbeider tett sammen. Begge kjører i Azure, Microsofts skyplattform for databehandling. Du konfigurerer enheter ved hjelp av konfigurasjonsprofiler, ikke ulikt fremgangsmåten med gruppepolicyer. Du sikrer data med beskyttelsespolicyer for apper og samsvarspolicyer for enheter. Intune lar deg rulle ut programvare, holde den oppdatert og tilpasse den med konfigurasjonspolicyer. Betinget tilgang sørger for at ressurser i virksomheten bare er tilgjengelig for klarerte brukere på klarerte enheter som bruker klarerte apper.
Du administrerer Intune i nettkonsollen for Microsoft Endpoint Manager (Endepunktbehandling). Det er full støtte for hybride miljøer med lokalt Windows AD. Med Intune kan du distribuere apper fra Apple App Store, Google Play og Microsoft Store. Azure AD godkjenner og autoriserer brukere når de benytter applikasjoner fra tredjeparter og i Office 365. Med det følger alle sikkerhetsmekanismer i identitetstjenesten, som enkel pålogging (single sign-on), multifaktor-autentisering (MFA) og ulike former for identitetsbeskyttelse. Kombinert med Intune blir enheten til en identitet i tillegg til bruker.
Med Intune når du alle enheter uansett hvor de befinner seg så sant de har en Internett-forbindelse. Intune er zero touch – du behøver ikke nærme deg enheter fysisk. Det gjør det til et ideelt verktøy for å administrere maskiner som sjelden eller aldri er innom bedriften. For øyeblikket og antakelig en god stund fremover gjelder det for eksempel hjemmekontor. Hendig her er integrasjonen med TeamViewer for fjernassistanse. Intune gir detaljerte opplysninger om maskinvare og installerte programmer. Du kan sette opp varsler og ta ut rapporter, blant annet om enhetene er i samsvar med retningslinjene dine. Intune lar deg distribuere sertifikater, Wi-Fi-konfigurasjoner og VPN-profiler.
Microsoft Endpoint Manager og Intune
Microsoft Endpoint Manager er en serie integrerte produkter som hjelper deg med å administrere endepunktene dine, uavhengig om de befinner seg i bedriftsnettverket eller ikke. Løsningene og komponentene inkluderer Microsoft Intune, Microsoft Endpoint Configuration Manager (tidl. System Center), Windows Autopilot og Desktop Analytics.
Administrerte enheter i Intune
Du slipper typisk bare inn enheter i organisasjonen din som er registrert i Intune. Det gir deg en god oversikt over hvilke som har adgang til bedriftsressurser. Alle andre stenges ute allerede ved inngangsdøren. Det er støtte for Windows, macOS, iOS/iPadOS og Android. Personlige enheter er som regel meldt inn av brukere. Her får IT ikke tilgang til private apper og data. Bedriftseide enheter er innrullert med automatiserte eller halvautomatiske metoder. For deg som administrator gir det langt bedre kontroll. Vi har konfigurert enhetene, distribuert en Wi-Fi-profil, rullet ut programvare og sørget for at de er i samsvar. Helsetilstanden benyttes senere som ett moment i vurderingen av om – og i så fall hvordan – de skal få tilgang til ressurser i organisasjonen vår.
Fjernslette enheter
Mobiler blir borte. Da er det viktig å hindre uvedkommende i å få tilgang til kritisk informasjon. Retire (fratre, gå av) fjerner bedriftsdata som er administrert av Intune, uten å berøre personlige data, også kjent som selektiv tømming. Wipe (viske ut) nullstiller enheten til fabrikkinnstillingene. Enheten fjernes fra Intune og sletter alle data. Delete tar enheten ut av Intune. Remote lock låser enheten. Sync fremtvinger en synkronisering med Intune. Remove passcode opphever beskyttelsen med passord eller PIN-kode. De fleste andre alternativene er grånet ut fordi mobilen er registrert manuelt som privat. Det gir administrator bare begrensede rettigheter. For full kontroll må en iPhone være innrullert via Apples Automatic Device Enrollment-program.
For Windows 10 er enkelte andre opsjoner tilgjengelig enn for iOS. Maskinen er innrullert som bedriftseid ved hjelp av Windows Autopilot. Med Autopilot Reset (tilbakestilling) kan du klargjøre enheter som allerede ligger i Autopilot, for neste bruker. Funksjonen kan også benyttes til å gjenopprette en Windows-installasjon det er for mange feil på. Du kan foreta en virusskann med Windows Defender og rotere BitLocker-nøkkelen. Her setter du opp en sesjon for fjernassistanse.
Førstelinjeforsvar mot uønskede enheter
Enrollment restrictions sørger for et første forsvar mot enheter i Intune du ikke vil ha. For uten begrensninger kan en autentisert bruker registrere en enhet og gjøre en uønsket ikke-administrert enhet til en potensielt uønsket administrert enhet. Standard er at hver bruker kan melde inn opptil fem, noe som kan økes til 15. Du kan tillate eller blokkere plattformer. Android device administrator bør avises fordi Google er i ferd med å fase den ut. Du kan spesifisere operativsystemversjonen. Du kan godta eller forby personlige enheter. Du kan tildele ulike regler for forskjellige grupper.
Oppgaver i Intune
Microsoft Intune er et omfattende produkt med et kontinuerlig tilsig av nye funksjoner. Oppgavene du utfører i Intune, kan brytes ned i tre kategorier:
- Innrullere enheter. For Windows 10 anbefales Autopilot. I små og mellomstore bedrifter (SMB) registreres mobilenheter og Macer typisk manuelt via Firmaportalen.
- Konfigurere og beskytte enheter og tilganger. Her vises noen av mulighetene for Windows 10, i forlengelse av dét en samsvarspolicy for å sette opp enhetsbasert betinget tilgang.
- Distribuere og sikre programvare. Det gis en kortfattet presentasjon av opsjonene.
Konfigurere enheter
Det er rikelig med muligheter til å konfigurere enheter. Administrative maler er nettopp det du tror de er: importerte innstillinger fra .admx-filer som Microsoft har kuratert. Det er konfigurasjoner for leveringsoptimalisering og begrensninger for enheter. Du kan sette opp en profil for å melde maskiner inn i et Windows AD-domene. Du kan oppgradere Windows-versjoner og konvertere fra Windows S. Det er innstillinger for e-post, endepunkts- og identitetsbeskyttelse, kiosk og Microsoft Defender ATP. Du kan avgrense nettverksområder. Det er flere forskjellige opsjoner for sertifikater. For undervisning er det en profil for sikker evaluering. Du kan konfigurere flerbrukerenheter, VPN, Wi-Fi og helseovervåking av Windows. Her har vi valgt Windows 10. Konfigurasjonsprofilene for andre plattformer er ikke fullt så rikholdige, men avgjort til stede.
Betinget tilgang
Betinget tilgang funger omtrent som en dørvakt på et utested. Vakten står ved inngangsdøren og sjekker IDen din, forsikrer seg om at du er gammel nok, at du er kledd i henhold til kleskoden, og at du ikke er for full. Hvis du ikke oppfyller disse betingelsene – la oss anta at t-skjorten er for fillete – vil han si: «Sorry kompis, du kommer ikke inn med de klærne. Dra hjem og skift!»
Dette er en kraftig teknologi utviklet for skyen fra bunnen av. Den bestemmer om og hvordan du skal få tilgang til applikasjoner og ressurser. Betinget tilgang er en egenskap i Azure AD Premium. Med Plan P1 følger muligheten til å la bruker/gruppe, sted og enhet inngå i vurderingen. Plan P2 gir støtte for risikobaserte policyer. Identitetslekkasje vil typisk føre til at du må endre passord. Forsøk på å logge på fra anonyme, infiserte og ukjente nettverk vil kreve MFA. Det samme gjelder en «umulig reise» – pålogginger fra vidt atskilte geografiske områder i løpet av et kort tidsintervall.
Med Intune gir det først mening å ta med enhet som forutsetning i policyer for betinget tilgang. Vi har innrullert enheter og konfigurert dem med konfigurasjonsprofiler. Så undersøker vi om de er i overensstemmelse med våre retningslinjer for sikkerhet. Kravene her er blant annet BitLocker-stasjonskryptering og Sikker oppstart (i produksjon vil vi velge langt flere innstillinger).
Tilgangskontrollen krever at enheten er i samsvar. Hvis den ikke er det, blir bruker oppfordret til å ordne med det. Sånn kan vi sørge for at vi bare godtar pålogginger fra klarerte enheter. Det gjør livet surt for en cyberkriminell som vil bryte seg inn i organisasjonen din. Angriperen vil trenge en av dine enheter og forhåpentlig din MFA. Sammenfattet er dette sentrale momenter for betinget tilgang som beskytter virksomheten:
Distribuere programvare
Microsoft 365 Apps – tidl. Office ProPlus, som er den skytilkoblede Office-pakken – og Microsofts Chromium-baserte nettleser Edge er klar til installering på Windows og macOS, også Microsoft Defender ATP for Mac. For mobiler henter du appene fra Google Play og Apple Store. På Windows håndteres de vanlige formatene: MSI, MSIX og AppX. For Win32 (EXE og avansert MSI) må du bruke Microsoft Win32 Content Prep Tool. App Wrapping Tool for Mac pakker inn PKG, DMG og APP.
Firmaportalen
Firmaportalen henvender seg til sluttbrukere. Du må benytte portalen når du manuelt registrerer macOS-, iOS- og Android-enheter i Intune. For Windows 10 er det anbefalt. Last ned Windows-versjonen fra Microsoft Store eller rull den ut med Intune. Vi kan sette opp firmavaremerking for portalen. Brukere kan få hjelp og støtte og kontrollere problemer med betinget tilgang, på samme måte som dørvakten kunne forklare hva som må til for å komme inn. Brukere kan administrere sine egne applikasjoner. De kan endre passord og synkronisere, fjernlåse eller tilbakestille en enhet.
Lisensiering
Intune kan lisensieres separat, men fungerer best sammen med Azure AD Premium, som har funksjoner for automatisk enhetsregistrering og betinget tilgang. Produktene inngår blant annet i Microsoft 365 Business Premium, Microsoft 365 Enterprise E3 og E5, foruten i Enterprise Mobility + Security (EMS) E3 og E5. For risikobasert betinget tilgang trenger du lisens på Azure AD Premium P2, som kan tegnes som et tillegg og kommer med E5-versjonene av EMS og Microsoft 365.
Avsluttende ord
Moderne administrasjon er kjent som Enterprise Mobility Management (EMM), Mobile Device Management (MDM) og Mobile Application Management (MAM). Det står for administrasjon av mobilitet i foretaket og mobil enhets- og applikasjonsbehandling. Dette er den nyere, for det meste skybaserte måten å utføre tilsvarende aktiviteter på som tidligere med lokale systemer. EMM er konseptet, en fancy betegnelse for å administrere enheter med innstillinger og applikasjoner over Internett. MDM er de bevegelige delene EMM bruker til å utføre arbeidet.
MAM er et spesialtilfelle i Microsoft-verden. Det krever apper som er integrert med Intune App SDK eller pakket inn av Intune App Wrapping Tool. Disse kan håndteres med appbeskyttelsespolicyer. Eksempler er Office på iOS og Android. Her kan du hindre funksjoner som Lagre som, Kopier, Klipp og lim. Du kan fjernslette bedriftsdata uten å berøre personlige data. MAM krever ikke at enheter er innrullert i Intune. Tilgangen til firmaressurser kan beskyttes med en PIN-kode i appene.
MDM er basert på åpne standarder. Protokollen kalles OMA-DM. OMA står for Open Mobile Alliance og DM for Device Management. OMA-DM behandler koblingsaspektet mellom maskin og MDM-system. MDM sender lettvektkommandoer i form av XML. Hvert moderne operativsystem har en MDM-motor som lytter, utfører instruksjonene og leverer tilbakemeldinger. Dette gjør at du står fritt i å velge MDM-løsning, så som VMware Workspace ONE (tidl. AirWatch), MobileIron og Citrix Endpoint Management (tidl. XenMobile). Men Intune er bedre integrert i Microsoft 365.
Til forskjell er gruppepolicyer et lukket system, basert på Kerberos for autentisering og SMB for transport. Det krever at maskinene er meldt inn i lokalt AD og kan bare benyttes sammen med Windows-enheter. Gruppepolicyer er ikke døde, men det skjer heller ikke noe videreutvikling, annet enn at produktgrupper produserer nye funksjoner som kan kontrolleres med gruppepolicyer. Fordelene med MDM er åpenbare. Behovet for lokal infrastruktur er mindre. Det støtter andre plattformer og lar deg administrere enheter innenfor og utenfor lokalnettet.
En innvending mot MDM som går igjen, er at gruppepolicyer har mange tusen flere innstillinger enn MDM-policyer, og at MDM ennå har en lang vei å gå. Egentlig ikke. Gruppepolicyer skriver seg fra en annen tid da man i mye høyere grad var opptatt av å begrense hva brukere kunne foreta seg på maskiner. Filosofien for MDM er å sikre enheter og sørge for at brukere er produktive, for den saks skyld får utfoldet sin kreativitet. Den henvender seg til mer datakyndige folk og millennium-generasjonen som er vokst opp alltid tilkoblet. MDM er ideelt for virksomheter uten egen infrastruktur, men kan også integreres i et eksisterende miljø med lokalt Windows AD.