Microsoft Intune

Fra NørderiWiki
Version fra 8. nov 2023, 22:05 af Freesoft (diskussion | bidrag) Freesoft (diskussion | bidrag) (Windows Hello)

(forskel) ←Ældre version | se nuværende version (forskel) | Nyere version→ (forskel)
Skift til: Navigation, Søgning

Generelt

Intune er på en måde en erstatning for On Prem Group Policy og meget mere.

Der kan gå 8-12 timer fra ændring i policy slår i gennem på klienter. Dette kan være svært at komme uden om på forskellige måder.

Portal: https://intune.microsoft.com/ Endpoint?

Windows

Baseline politikker for en "Cloud Only" løsning:

Office pakken

Installer Office Apps, auto login, auto opsæt Outlook

MSI programmer

Fx 3. part antivirus, eller RMM. Eller printer styring.

SharePoint Team sites / OneDrive sync

OneDrive policy

Auto sync OneDrive Flyt skrivebord, dokumenter, billeder til onedrive Team Sites

AutoPilot

Hvis computeren allerede er med i Intune, men man gerne vil sikre at selvom den nulstilles så tilhøre den firmaet, så kan man melde enheden til AutoPilot.

Opsæt en profil med "Converting all targeted devices to Autopilot" (Som en skriver på Reddit: "The option should really be renamed to something like: “register the hardware hash of the device to autopilot”".)

Der sker altså ikke noget på enheden lige med det samme. Den skal nulstilles først, før profilen køres på.

For nye enheder er det muligt at få hardware hash på forhånd, på forskellige måder. Ved Lenovo står der et PKID på boksen, som partnere kan bruge: Se side 13.

Diverse politikker

Sync Edge

Windows Hello

Husk et godt password for brugerne - Se mere her: IT-sikkerhedsråd

Windows Hello og Windows Hello for Business gør det nemmere at logge på Windows enheder med ansigt scan eller fingeraftryk, eller pinkode. I stedet for at skulle huske et langt kodeord. Enheden tæller som den ene faktor i et to-faktor opsætning, fra Benefits of Windows Hello:

You may wonder how a PIN can help protect a device better than a password. Passwords are shared secrets; they're entered on a device and transmitted over the network to the server. An intercepted account name and password can be used by anyone, anywhere. Because they're stored on the server, a server breach can reveal those stored credentials. (...) When a user enters the gesture on the device, the identity provider knows that it's a verified identity, because of the combination of Windows Hello keys and gestures. It then provides an authentication token that allows Windows to access resources and services.

Hvis man bruger PIN kode, skal man altså være opmærksom på denne PIN kode kun gælder for den specifikke enhed. PIN koden gemmes ikke i skyen.

Opsætning bl.a. her: https://learn.microsoft.com/en-us/mem/intune/protect/identity-protection-configure https://www.reddit.com/r/Intune/comments/sz1hhi/endpoint_manager_disabled_windows_hello_but_users/

Windows Hello beskytter altså ikke Cloud login, der skal stadig opsættes MFA for at beskytte login via internet. Se mere her Beskyttelse af konto under IT sikkerhedsråd

Android

iOS