Microsoft Intune
Indholdsfortegnelse
Generelt
Intune er på en måde en erstatning for On Prem Group Policy og meget mere.
Der kan gå 8-12 timer fra ændring i policy slår i gennem på klienter. Dette kan være svært at komme uden om på forskellige måder.
Portal: https://intune.microsoft.com/ Endpoint?
Windows
Baseline politikker for en "Cloud Only" løsning:
Office pakken
Installer Office Apps, auto login, auto opsæt Outlook
MSI programmer
Fx 3. part antivirus, eller RMM. Eller printer styring.
OneDrive policy
Auto sync OneDrive Flyt skrivebord, dokumenter, billeder til onedrive Team Sites
AutoPilot
Hvis computeren allerede er med i Intune, men man gerne vil sikre at selvom den nulstilles så tilhøre den firmaet, så kan man melde enheden til AutoPilot.
Opsæt en profil med "Converting all targeted devices to Autopilot" (Som en skriver på Reddit: "The option should really be renamed to something like: “register the hardware hash of the device to autopilot”".)
Der sker altså ikke noget på enheden lige med det samme. Den skal nulstilles først, før profilen køres på.
For nye enheder er det muligt at få hardware hash på forhånd, på forskellige måder. Ved Lenovo står der et PKID på boksen, som partnere kan bruge: Se side 13.
Diverse politikker
Sync Edge
Windows Hello
Husk et godt password for brugerne - Se mere her: IT-sikkerhedsråd
Windows Hello og Windows Hello for Business gør det nemmere at logge på Windows enheder med ansigt scan eller fingeraftryk, eller pinkode. I stedet for at skulle huske et langt kodeord. Enheden tæller som den ene faktor i et to-faktor opsætning, fra Benefits of Windows Hello:
You may wonder how a PIN can help protect a device better than a password. Passwords are shared secrets; they're entered on a device and transmitted over the network to the server. An intercepted account name and password can be used by anyone, anywhere. Because they're stored on the server, a server breach can reveal those stored credentials. (...) When a user enters the gesture on the device, the identity provider knows that it's a verified identity, because of the combination of Windows Hello keys and gestures. It then provides an authentication token that allows Windows to access resources and services.
Hvis man bruger PIN kode, skal man altså være opmærksom på denne PIN kode kun gælder for den specifikke enhed. PIN koden gemmes ikke i skyen.
Opsætning bl.a. her: https://learn.microsoft.com/en-us/mem/intune/protect/identity-protection-configure https://www.reddit.com/r/Intune/comments/sz1hhi/endpoint_manager_disabled_windows_hello_but_users/
Windows Hello beskytter altså ikke Cloud login, der skal stadig opsættes MFA for at beskytte login via internet. Se mere her Beskyttelse af konto under IT sikkerhedsråd