Microsoft Intune er en skytjeneste som administrerer klienter, hvilke data forskjellige brukere kan få tilgang til, samt hva de kan gjøre med dataene. Bakgrunnen for denne artikkelen er tilbakemeldinger om at det oppleves utfordrende å få aktivert Intune og konsollene for å administrere klientene. Dette er ikke en komplett «How-To» gjennomgang av Intune, ei heller en gjennomgang av alle tilgjengelig muligheter, men mer en kjapp gjennomgang for å kunne klare å sette opp eget miljø og prøve ut selv.

Komme i gang – noen avhengigheter.

Det er noen forutsetninger og avhengigheter for å kunne teste ut Intune. Det ene er at man har ett Azure AD. Det er gratis og kan registreres til et domene man eier. Dette betyr også at man bør ha ett registrert domene, .com, .no eller liknende.

For å sette opp Autoenrollment må man ha tilgang til å endre på DNS til det domenet man eier. Det kan også være lurt å lage en gruppe som man delegerer Enrollment til, for ikke å få mange nye klienter inn i systemet. Standard funksjonalitet er at alle brukere kan meldes inn i Azure AD og potensielt Intune.

Installere / konfigurere

Legg til Microsoft Intune i Mobility (MDM and MAM), dette slår på Enrollment av devices

Legg deretter til lisens for å administrere (ellers får man Access denied i konsollene)

Jeg anbefaler Microsoft Mobility + Security E3 ettersom denne inneholder Azure AD P1, Azure Information Proctection, Advanced Threat Analysis og Intune (Dette er i skrivende stund rundt 70 kroner per måned per bruker). Trenger man Azure AD P2 og Azure Advanced Threat Protection får man dette ved å gå til E5 for omlag 120 kroner per måned per bruker.

Etter at lisens er lagt til og delegert til brukerne som skal teste, går man videre ved velge MDM Authority, enten Config Manager eller Intune. Mobile Management fungerer ikke før en av disse er valgt.

Gå igjennom Device Enrollment, og slå på Windows Hello for Business og lag en konfigurasjon. Dette er bare ett eksempel hvor PIN settes til 4 tall, standard er 6 (Gjør det lett å se at policy fungerer)

DNS-registrering

Som nevnt ovenfor må man sjekke at DNS for domenet er konfigurert riktig med hensyn til Autoenrollment og Enterprise registration.

EnterpriseRegistration.domene.no CNAME skal peke på enterpriseregistration.windows.net.

Enterpriseenrollment.domene.no CNAME skal peke på enterpriseenrollment-s.manage.microsoft.com.

Bruker man for eksempel ADFS i en hybrid-løsning, er det denne som skal settes opp.

Sjekk denne artikkelen.

Ønsker man at brukerne IKKE skal kunne bruke klient FØR applikasjoner er installert, sett «Block Device use until all apps and profiles are installed» til Yes.

Autopilot

Jeg går ikke i detalj om Autopilot, men dette er den «Moderne» metoden å installere operativsystemet på (eller egentlig bare det som kommer ETTER os´et), hvor man knytter hardware ID til maskinen til Intune organisasjonen. Her kan man da lage forskjellige profiler og forhåndsstyre hva som kommer på maskinen når den settes på nett.

Her kan de fleste leverandører nå gi denne informasjonen i bulk, og de fleste tar ikke lenger penger for denne tjenesten.

Skal man teste dette ut i lab kan man kjøre ett powershell-script for å hente ut denne informasjonen og importere dette manuelt. Dette er fortsatt en litt omstendelig prosess.

Skal man slå Autopilot og lage forskjellige profiler, gjøres dette her:

Intune Policies

Fordelen med Intune policies, er at disse blir tredd på klientene uavhengig om de er i nærheten av domenekontroller eller ikke

Her er ett eksempel på policy for Windows 10 klienter:

Det er for tiden mulig å lage policies for kun disse plattformene: Android, Android Enterprise, iOS, macOS, Windows Phone 8.1, Wimdows 8.1 og senere, Windows 10.

Merk her at det skilles på legacy-Windows og Windows 10.

«Group Policies» i Intune.

Ønsker man å erstatte dagens GPO´er med Intune Policies, er ikke det fult mulig ennå.

Det er likevel definert ganske mange forskjellige innstillinger (selv om en del er i Preview):

Noen eksempler på hvilke innstillinger som kan settes:

Powershell scripts

Det er også mulig å dytte ut powershell-scripts under Device Configuration, noe som også vil kunne forenkle overgangen til «Modern Management», som det så fint heter.

Det har dog noen krav:

Client apps

Intune har mange muligheter for å styre applikasjoner på klientene som er «Managed» av Intune. Dette gjelder også installasjon av en rekke applikasjoner, både fra Microsoft Store, Office 365 Suite (OneClick installasjon) eller Other.

Other kan være en Weblink, innebygd app, LOB-app eller en Win32-app.

Den siste her er interessant for mange, som helt sikkert har en del Win32-applikasjoner som fortsatt må installeres på klientene. For å få dette til å fungere, må Win32-applikasjonene pakkes om med ett eget rammeverk som ligger på GitHub: https://github.com/Microsoft/Intune-Win32-App-Packaging-Tool

Når pakken er klar for å lastes opp til Intune, må man ha en kommando for silent installasjon og en for avinstallasjon. Disse applikasjonene kan da være mandatory og bli installert som en del av enrollment-prosessen. Den kan også være valgfri, men den må installeres fra Company Portal. LOG-app kan man bruke for å installere 64-bits applikasjoner ved å peke på en .msi, .appx, .appxbundle, .msix, eller .msixbundle.

Teste ut enrollment og installasjon avapplikasjoner + policies

Sett opp en ny Windows 10 klient, gjerne Enterprise edition. For å teste autoenrollment, må DNS være konfigurert.

Dobbeltsjekk av brukeren er assigned med en Intune-lisens i Azure eller Office-portalen.

Kjør gjerne en Reset av klienten, så får man testet hele prosessen med å få inn klienten.

Velg Remove everything og Clean the drive. Denne gjenoppretter maskinen til standard innstillinger, og kan da brukes for å teste ut enrollment til Azure AD og Intune.

Logg på med bruker som har fått tildelt Intune-lisens (og har rettigheter til å joine AzureAD/Intune om ikke alle har det – Standard).

Legg merke til at man nå får opp en status på innrulleringen, og at denne også installerer applikasjonene som er satt til required.

Det er også viktig at Internett er tilgjengelig under enrollment, det fungerer dårlig uten 🙂

Her holder den på med å installere Office 365, men det er mulig å trykke på Continue anyway om man ikke ønsker å se at alt er klart før man går videre.

Microsoft Intune Dashboard

Microsoft har lansert et eget Dashboard i Azure som heter Microsoft 365 Device Management.

Dette får man opp når man velger Microsoft Intune i Azure portalen

Eller så kan man gå direkte via url https://devicemanagement.microsoft.com