Blog

Windows 10 Settings & Microsoft Intune

Door: Siegmund Bosmans

Settingsbeheer is een essentiële stap in de creatie van je productieve digitale werkplek en de aangewezen tool om de veiligheid en versioning van je netwerk en toestellenpark in de hand te houden. Al is het maar om er voor te zorgen dat niemand per ongeluk de verkeerde software verwijdert.

Deze gebruikersbeperkingen zorgen ervoor dat essentiële systeemaanpassingen en installatie van software niet zomaar worden uitgevoerd en voorkomen dat Windows besmet raakt met ongewenste, mogelijk schadelijke software. Al deze settings kan je met Microsoft Intune beheren. Wat Intune juist is, hoe je het gebruikt en welke manier nu net dat beetje beter is, bekijken we in dit blogbericht.

 

In een wereld waarin cloudbeheer van toestellen, gebruikers of andere endpoints steeds meer modaal wordt, is het soms nodig om gevestigde waarden uit het verleden op te geven om de dingen, zelfs banale dingen, op een andere manier te verwezenlijken. Het beheer van Windows 10 settings via group policies of GPO is hier een voorbeeld van. Je gebruikt GPO om gedetailleerde computer of user instellingen in te voeren en mogelijkheden voor gebruikers en toestellen in te perken of onmogelijk te maken.

Natuurlijk kan en mag het niet de bedoeling zijn om in cloudbeheer alles op exact dezelfde manier te doen zoals we het vroeger on premise deden. Maar het kan wel handig zijn als er een vergelijkbare manier zou bestaan, niet? En die is er: tot nog toe zijn er een aantal mogelijkheden om GPO-settings via Intune te beheren.

 

Microsoft Intune?

Intune is een Azure cloudservice die deel uitmaakt van Enterprise Mobility + Security (EMS) waarmee je werknemers productief laat werken en bedrijfsgegevens beschermd blijven. Intune stelt je in staat mobiele apparaten, PC’s en toepassingen te beheren en de toegang van gebruikers te regelen. Het integreert nauw met andere EMS-componenten zoals Azure Active Directory (Azure AD) voor identiteits- en toegangsbeheer en Azure Information Protection voor gegevensbescherming. Net als andere Azure-services is Microsoft Intune beschikbaar in de Azure-portal.

 

Er zijn een aantal stappen die je kan ondernemen om een duurzame aanpak in je settingsbeleid tot stand te brengen in Intune. We overlopen enkele frequent gebruikte pistes.

 

Device configuration profiles

Een methode die velen onder ons tot voor kort gebruikten is waarschijnlijk device configuration profiles. Ook in Intune kan je hiermee aan de slag. Deze pregedefinieerde gebruikersprofielen omvatten sets van instellingen om gebruikersgroepen efficiënt in te delen. Je gebruikt dan ook vaak meer dan één profiel om al je gebruikers en toestellen te ordenen.

Je creëert doorgaans meerdere profielen per configuratie type, zoals in dit voorbeeld:

Windows 10 setting Intune II  

 

Windows 10 setting Intune III

 

 

Al heel wat instellingen zijn beschikbaar in de voorgedefinieerde profielen. Toch is er al te vaak een instelling of een combinatie van instellingen die niet door device configuration profiles wordt gecoverd. In dat geval is een alternatief aan de orde.

 

Custom configuration profiles (al dan niet in combinatie met ADMX)

Creatievelingen gaan dan op zoek naar oplossingen. Meestal is een custom configuration profile of ook wel bekend als CSP of configuration service providers de volgende stap. Aan de hand van een open mobile alliance uniform resource identifier of OMA-URI setting zet je zo nog meer gedetailleerde instellingen op die je niet bij de gedefinieerde profielen kan terugvinden.

De complexiteit neemt toe en additionele settings zijn meer gedetailleerd, maar uiteindelijk zijn ook deze profielen beperkt in configuratiemogelijkheden. Als je echt vindingrijk bent, kan je via een custom profiel ook ADMX-instellingen toevoegen, petje af daarvoor.

 

Powershell

Dan moet Powershell de oplossing zijn? Met deze objectgeoriënteerde shell- en scripttaal schrijf je de instellingen op maat. Dat klinkt dus als een goede en logische oplossing, maar wij zien hier toch vooral de nadelen van.

Zelf vermijden we deze piste zoveel mogelijk, deze scripts fungeren als het ware als tatoeages over de echte instellingen heen. Om een correct overzicht te bewaren van je instellingen is dit zeker niet aan te bevelen.

 

Provisioning package

In de lijn van wat je met CSP en OMA-URI kan doen, is een provisioning package. Dit is misschien wel de meest voor de hand liggende next step. Met de Windows 10 assessment and deployment kit (ADK) of de store app Windows configuration designer creëer je een .ppkg-bestand. Dit is een container die verschillende instellingen bundelt waarmee je efficiënt toestellen kan configureren. Je kan de packages op verschillende manieren installeren en ze zijn bovendien weinig complex zodat ook een niet-technische medewerker toestellen correct kan instellen. Als je op regelmatige basis een uitgebreid toestellenpark moet configureren kan dit je heel wat tijd besparen.

Er is echter een kleine downside: de provisioning packages zijn nog steeds geen native mogelijkheid in Intune. We kijken uit naar het moment dat dit verandert. Uiteraard zijn er manieren om dit te verwezenlijken, maar dan moet je freewheelen. En dat is typisch niet waarnaar de gemiddelde IT-pro op zoek is.

 

Graph API

Het vraagt wel wat script-kennis om Graph API en Intune te verbinden maar biedt je wel wat mogelijkheden. Je kan onder meer je ADMX-templates importeren en exporteren, maar dat vraagt dus wel wat technische kennis. Een goede oplossing voor de geeky IT-beheerder.

 

ADMX administrative template (preview)

Eindelijk is er een weliswaar beperkte ADMX-set beschikbaar. Deze administrative templates zijn beschikbaar in de configuration profiles van Intune. Met deze templates kan je een hele resem van settings toepassen op groepen van gebruikers of toestellen en breng je een traditionele GPO-aanpak naar Intune.

Voor ons is dit alvast de meest logische en gebruiksvriendelijke optie om settings in te stellen via Intune. Het is het meest vergelijkbaar met wat we kennen van de oude GPO’s. De instellingen die vandaag al beschikbaar zijn, zijn de meest voorkomende zaken in Windows 10, Internet Explorer, Onedrive en Office365. Je krijgt per setting een beschrijving en een aantal mogelijkheden om de setting toe te passen:

 

Windows 10 setting IntuneI

 

Helaas is deze administrative template slechts een preview en dus maar een fractie van al wat je vandaag via group policy kan configureren en is er nog geen ondersteuning voor co-managed devices.

Laat ons hopen dat de templates snel worden aangevuld en we niet langer een toevlucht moeten nemen naar de minder gebruiksvriendelijke opties die we in dit artikel hebben aangehaald.

Dan is de beste oplossing voor het beheer van je endpoints mogelijk toch nog een hybride aanpak? Zodat we nog steeds GPO’s kunnen gebruiken? Bezint eer ge begint: Autopilot hybrid join is helaas ook nog steeds één van die talrijke preview features.

Samengevat: er zijn uiteenlopende mogelijkheden. Maar, de goede oplossingen gaan steeds gepaard met nadelen en voor de bedenkelijke pistes is toch steeds wat te vertellen. Het is een afweging. Tot op welk niveau levert een extra inspanning op? Wat is voor jouw organisatie een duurzaam en kwalitatief endpointbeleid? Dat maakt elk bedrijf uit voor zichzelf.

 

Sta je voor een denkoefening op vlak van instellingen van gebruikers en toestellen of wil je het roer omgooien? Neem contact op! We zoeken graag mee naar een aanpak en strategie die het digitaal werken voor jouw onderneming vergemakkelijkt en verbetert.