Windows Intune är Microsofts molntjänst för klient managering och framför allt säkerhet. Intune tjänsten kommer lanseras under 2011 men jag har haft äran att testköra lösningen.
Tanken är att helt enkelt kunna övervaka och hantera din klientplattform via en webbläsare mot Microsofts molntjänst och slippa ha lokala servrar för bland annat hantering av antivirus och Microsoftuppdateringar.
Några av funktionerna i nuvarande beta är:
- Antimalware Protection
- Windows Firewall Configuration
- Microsoft Update
- Applikations Inventering
- Remote Assistant
Notera att allt i denna artikel bygger på en betarelease och därmed inte fastställt att motsvarande funktionalitet finns i skarp release. Den här artikeln har till syfte att ge en överblick i hur Intune är tänkt att fungera, men det uppskattas också att få kommentarer på vilka funktioner som önskas till den skarpa releasen.
Översikt
När du loggar in mot din Intune konsol möts du av en nulägesbild över din miljö, bland annat status över virusutbrott, Microsoft uppdateringar och hälsan på dina Intune Agenter.
Klientinstallation
Efter att du loggat in i din Intune konsol kan du också ladda ner en Intuneklient som då också innehåller kopplingen till din unika Intune konsol. Intune agenten finns för både 32 och 64 bitars klientoperativ från Windows XP till Windows 7. Krav för Windows XP är SP2 med uppdateringen FCS Filter Manager och MSXML 6.0 eller rekommenderat SP3. För XP stöds i dagsläget enbart Professional Edition och för Vista är det Enterprise, Ultimate och Business Edition och Windows 7 Enterprise, Ultimate och Professional Edition.
Installationsfilen är en MSI fil som du enkelt kan trycka ut via en GPO i Active Directory, efter att agenten har blivit installerad kommer Windows att ladda hem ett antal uppdateringar vid nästa uppdateringstillfälle. Eller som i det här fallet där jag installerar komponenterna manuellt.
Du kan även skapa olika typer av grupper där du placerar dina olika klienter för att på så sätt kunna konfigurera klienterna på olika sätt beroende på din verksamhet och krav.
Policy och Uppdateringsfunktion
Nästa steg är att konfigurera vilka produkter och uppdateringar som skall skötas via Intune. Jag skulle rekommendera att styra alla Microsoftprodukter via konsolen och även skapa en så kallad “Automatic Approval rule” för att automatiskt godkänna följande klassificeringar: Critical, Security och Definition Updates. Definitions Updates är extremt viktig då det är alla antivirus och antispyware definitioner till Intune men även om det finns några Defender eller andra Microsoft antimalwareprodukter i miljön.
Genom att skapa Policys styr vi både konfiguration av antimalware och Windows brandväggen samt supportinformation till dina användare.
Windows Firewall Settings
Tack vare ett färdigt gränssnitt med alla undantag vi känner igen från konfiguration av den lokala Windows brandväggen kan vi enkelt skapa en enhetlig policy för en grupp av datorer.
Ett undantag som är att rekommendera är “Remote Assistance” för att nyttja en riktigt smidig fjärrhjälpsfunktion som ingår i Windows Intune.
Intune Agent Settings
I den här policyn konfigureras Malware Protection i Intune. Du har även ett val att enbart aktivera antimalware i Intune om inte Windows redan identifierat ett installerat antimalware vilket kan vara bra om man rullar ut Intune i en organisation där man inte hunnit avveckla tidigare antiviruslösning. På det sättet kan man nyttja övrig Intune funktionalitet utan att det blir några konflikter med dubbla antimalware.
Här konfigurerar du också schemaläggning av quick och full scan samt undantag av mappar, filer med mera.
Konfiguration av Alerts och Remote Assistance
Genom att konfigurera olika typer av Alerts underlättar du för administratören genom att denna får ett mail om till exempel ett virusutbrott eller en fjärrhjälpsförfrågan. Idag har de flesta mail i telefonen vilket gör att vi kan hålla en 24/7 övervakning vart vi än befinner oss.
I dagsläget har Intune 379 fördefinierade alert typer, allt ifrån om disken håller på att bli full till ett virusutbrott. Genom att konfigurera så kallade Notification Rules bestämmer du vilka typer av Alerts som du vill ha notifiering via mail. Du även lägga till fler mailadresser till exempelvis en gruppbrevlåda för service desk.
Vid en remote assistance förfråga anländer ett mail med information om vilken dator och användare som önskar hjälp samt en länk till Remote Assistance sessionen.
Klientupplevelse
Direkt efter utrullning av klienten får användaren en Intune ikon på skrivbordet. Från denna kan användaren övervaka Windows Update, Malware Protection eller begära fjärrhjälp. Det är tydligt och lätthanterligt.
När klienten klickar på “Request remote assistance from your system administrator” anländer ett mail till en eller flera utpekade administratörer, som standard redovisas också detta på startsidan i Intune gränssnittet.
Administratören väljer att ta action på denna fjärrhjälpsförfrågan, anger sitt namn och där efter startas Microsoft Eeasy Assist där administratören kan starta en live chat med användaren och skicka begäran om att se eller ta över användarens skrivbord eller applikation.
Förutom att ta över användarens gränssnitt har du bland annat möjlighet att skicka över filer, välja att starta om datorn och ansluta på nytt till användaren.
Fördelen med Intune är att det inte ställer några krav på domänmedlemskap eller liknande utan du kan ansluta alla Windows klienter till Intune (utefter kraven ovan). Din manageringsmiljö ligger i molnet och du ansluter via en webbläsare via en https session vart du än befinner dig.
Jag skulle rekommendera den här lösningen för något mindre företag och organisationer som inte har för avsikt att ha någon serverdrift men ändå vidhålla en managerad och övervakad klientmiljö.
Du finner mer information om Intune här:
IT-Säkerhetsguiden 