Management via Intune – Mobile vs Computer

Veel duidelijkheid kan ik er niet over vinden, software deployment via Intune. Naar tablets, laptops en mobile devices. Microsoft noemt alles Windows 10, hun managementsoftware denkt daar heel anders over, een korte recap.

De meesten kennen Microsoft System Center Configuration Manager, ook wel bekend als ConfigMgr of in de volksmond SCCM. Maar in Microsoft Intune werkt software deployment toch net een tikkeltje anders.

Kijkend naar het aanmaken van Apps in de Intune Management console hebben we een aantal keuzes:

1

De Apps voor Android en IOS spreken denk ik voor zich, voor Windows hebben we bij de App-Pakketen al twee keuzes, voor Windows en voor Windows Phone. Hetzelfde geld hier ook voor normale installatie bestanden (MSI’s), deze zijn er voor Windows en voor Windows via MDM, deze laatste categorie is voor mobiele devices.

Maar wat maakt nu een Mobiel device?
Microsoft heeft in Windows 10 Intune Management een stuk makkelijker gemaakt, er is zelfs geen Intune client meer nodig, of toch wel?

2
Zie hier een screenshot van mijn testopstelling, twee identieke Windows 10 devices (Dell Venue Pro), maar volgens Intune een Mobiel apparaat wanneer je deze via de ingebouwde Intune cliënt uitrolt. Wanneer je echter de Intune cliënt download en handmatig (of via GPO) uitrolt, ziet Intune dezelfde tablet ineens als Computer.

Dus, Ja!
Je kan Windows 10 automatisch via Intune laten managen zonder agent, ga hiervoor naar Settings – Accounts – Work Access en kies “Enroll in to device management”.
3

Of zorg dat je het device in Azure Active Directory opneemt via Settings – System – About en kies voor “Join Azure AD”.

4

Wanneer je trouwens bij deze optie de gebruiker een EMS licentie toekent en aangeeft dat Azure Active Directory Device Management mag uitvoeren, dan zal het device automatisch in Intune worden opgenomen.

5
Dit laatste doe je door naar Azure AD te gaan, het domein te selecteren en hierna te kiezen voor applications. Selecteer Intune en kies configure, je kan nu zoals je in deze screenshot kan zien ervoor kiezen om alle gebruikers, of een selecte groep hun device automatisch te laten managen via Intune.

Maar; deze ingebouwde Windows 10 management agent geeft je niet dezelfde ervaring als de losse Intune Agent. De Tablet wordt namelijk gezien als Mobiel device en je kan derhalve geen normale software pushen, enkel via de optie “Windows Installer via MDM” en deze ondersteund enkel MSI-formaat.

De tablet met losse Agent wordt gezien als Computer, hierdoor kan ik automatisch heel Office 2016 deployen, kan ik updates managen en kan ik meer policies definiëren dan de voor mobiele devices en deze ook op afstand refreshen of zelfs het device herstarten.

Samengevat:

Management ActieWindows 10 Intune AgentWindows 10 built-in Agent
Software Deployment (MSI)JaJa
Software Deployment (EXE)JaNee
Policy Refresh op AfstandJaNee
Reboot op AfstandJaNee
Windows Update ManagementJa, volledig beheerBeperkt
Intune Policy BeleidVolledigBeperkt
Auto Enrollment via Azure ADNeeJa
Remote BeheerNiet in deze releaseNiet in deze release

Volgende keer meer over Azure AD, Intune en wellicht wel over ASR 🙂

Met de agent heb je gewoonweg meer vrijheid in het deployen van software, kan je de policy refreshen vanuit de console, remote beheer doen en nog veel meer. Welke voorkeur je hebt, hangt natuurlijk volledig af van de eisen die je organisatie stelt en de vrijheid die je aan gebruikers wil meegeven.

3 reacties

  1. Tim Nieuwenhuijs

    Microsoft heeft hiervoor toch gewoon CSP’s in het leven geroepen. En Windows update for business. Geen enkele reden nog om een Intune Client te installeren.
    Dat was nodig voor oude OS-en. Windows 10 is gebouwd voor OMA-URI (met wat Eigen sausje). Windows 10 kan prima als MDM gemanaged worden.
    En bij elke feature release komen er meer en meer CSP’s bij

  2. Interessant artikel. Wat ik eigenlijk hierin mis, ja of misschien eigenlijk niet is het stukje MDM in O365. Dus buiten ems en intune om. Met name hoe daarmee om te gaan icm Windows 10 mobile devices.

    • Gert-Jan van de Werfhorst

      De MDM optie in O365 is eigenlijk te beperkt om over te schrijven. Je kan dit het beste vergelijken met de opties die Exchange Activesync met zich meebrengt, pincode zetten, remote wipe, etc…

Stel je vraag of geef feedback

  • Help WOW365 aan 100+ YouTube-abonnees