Microsoft Intune, wat is nu toch modern management?

Microsoft Intune biedt modern management van devices in de cloud. Modern management betekent een versimpelde aanpak van beheer, deployment en beveiliging van de werkplek in de cloud alsmede management vanuit de cloud met een standalone instance van Intune.

Intune Standalone – Modern Management

Binnen Intune zijn er bij de standalone variant twee mogelijkheden om een device te enrollen en dus te beheren in Intune, namelijk als Mobile of als Computer.

• De Mobile variant maakt gebruik van de ingebouwde MDM agent in Windows 10.
• De Computer variant maakt gebruik van de losse Intune agent.

De twee varianten kunnen niet gecombineerd worden en hiernaast geeft de ingebouwde Windows 10 MDM agent niet dezelfde ervaring als de losse Intune agent. Waar de ingebouwde Windows 10 MDM agent naadloos aansluit op de visie Modern Management, sluit de losse Intune agent niet volledig aan bij deze visie door het ontbreken van configuratie beleid en biedt naast software deployment daarom geen meerwaarde.
De verwachting is ook dat de Intune Agent niet verder ontwikkeld zal worden na de aangekondigde Teamviewer integratie en Microsoft inzet op zogeheten Modern Management.

Samengevat betekent dit:

Management Actie	Windows 10 Intune Agent (computer)	Windows 10 built-in Agent (mobile)
Software Deployment (MSI)	Ja	Ja
Software Deployment (MSI + MST transform files)	Ja	Nee
Software Deployment (EXE)	Ja	Nee
Policy Refresh op Afstand	Ja	Nee
Reboot op Afstand	Ja	Nee
Windows Update Management	Ja, volledig	Beperkt
Configuratie Beleid	Nee	Volledig
Auto Enrollment via Azure AD	Nee	Ja
Remote Beheer	Niet op Windows 10	Niet in deze release

Eerder genoemd configuratie beleid is hieronder schematisch uitgewerkt. Zie voor meer informatie en een uitgebreid overzicht van instellingen:
https://docs.microsoft.com/nl-nl/intune/deploy-use/microsoft-intune-policy-reference#windows-configuration-policies

Functionaliteit/policy	Windows 10 built-in Agent (mobile)	Windows 10 Intune Agent (computer)
Custom configuration (oma-uri)	✓
Edition upgrade policy	✓
Emal profile	✓
Enterprise data protection	✓
General configuration	✓
Pkcs #12	✓
Scep certificate profile	✓
Trusted certificate profile	✓
Vpn profile	✓
Wi-fi profile	✓
Compliance policy	✓
Conditional access	✓
Microsoft intune agent settings		✓
Microsoft intune center settings		✓
Windows firewall settings		✓
Uitgebreide windows updates beheer en deployment		✓
Policy refresh op afstand		✓
Restart op afstand		✓
User targeted policies cross device***	✓

***Werkt alleen voor user op het enrolled device

In onderstaande zet Microsoft de voor en nadelen uiteen van Intune Standalone:

Pros	Cons
Rapid build and deployment	Limited reporting capabilities
No on-premises infrastructure	Limited security role restriction
More frequent updates and feature releases	No external tooling (such as PowerShell, etc.)
Low learning curve	Limited app inventory
Admin console available externally	Basic user and device grouping capabilities
	Silverlight required
	Limited security role restriction

Intune Hybrid – Volledig Management

Voor organisaties met een on-premises infrastructuur, Active Directory en System Center Configuration Manager is het mogelijk om een cloud connector toe te voegen aan ConfigManager en biedt op deze manier single pane of glass voor zowel on-premises als mobiele devices. Microsoft refereert naar deze wijze van beheer als volledig management. Met deze Volledig Management oplossing beschik je over de best of both worlds:

• Active Directory GPO’s
• OU en groep management
• Software management
• Operating System deployment voor Windows devices d.m.v. TaskSequence
• Totale controle over Microsoft Updates
• Volledig certificate management
• Zeer uitgebreide rapportage mogelijkheden

In onderstaande zet Microsoft de voor en nadelen uiteen van Intune Hybrid:

Pros	Cons
Ability to scale	On-premises complexity (configuration and management)
Advanced tooling (such as Configuration Manager console, PowerShell, logging, etc.)	Steep learning curve
Role Based Access Control (RBAC)	Servicing required for updates and feature releases
Advanced reporting	Additional licensing requirements (such as Windows, SQL Server, etc.)
“Single pane of glass” management for MDM + traditional clients
Extended app inventory
Advanced user and device grouping
Multiple Exchange on-premises and Exchange Online connectors supported
Multiple NDES/CRP roles supported
Ability to mark devices as "company owned"
Greater troubleshooting capabilities
Configuration Manager user CALs included in subscription

 

Startpunt

Het algemene startpunt is om alle eisen en wensen binnen een organisatie te inventariseren. Identificeer hiernaast gebruikers en type devices om een weloverwogen besluit te nemen. Onderstaande flow-chart van Microsoft is hiervoor een handig hulpmiddel.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Voor verdere uitwerking en uitleg van criteria in bovenstaande flow-chart zie:
https://technet.microsoft.com/en-us/library/mt706478.aspx