Nyheter i bruset från Ignite 2018: Modern Workplace Special

Knowledge Factory Blogg
02.10.2018

Nyheter i bruset från Ignite 2018

Daniel Källström jobbar som Technical Architect på specialistenheten Knowledge Factory. Detta är hans personliga rapportering och summering från MS Ignite där nu ett par tekniker beskrivs mer i detalj. Här är kring Modern Workplace - Intune / AutoPilot / Modern Desktop.

Läs om uppdateringar från dag 1 här: Ignite 2018 - Dag 1

Läs om uppdateringar från dag 2 här: Ignite 2018 - Dag 2

Läs sammanfattning om Windows Admin Center: Ignite 2018 - Windows Admin Center Special

 

I den här posten har jag samlat några olika ämnen som jag tycker allihop har med Modern Workplace/Modern Desktop eller Microsoft 365 att göra på ett eller annat sätt. Dom ämnena är alltså Microsoft Intune, Autopilot och deras nya paketering Managed Desktop.

 

Modern Workplace

Uttrycket som Microsoft har myntat (eller ?) beskriver lite förenklat slutmålet för resan från en "Legacy" onprem miljö med klassiskt AD-joinade maskiner som kör Office2016 paketet på tillexempel Windows 7 eller 8.1, och manageras av SCCM, hela vägen fram till en "cloud first" hantering av samma resurser. Dvs maskiner som kör Windows 10 current release, har Windows Hello-enheter som fingeravtrycksläsare och kameror med ansiktsigenkänning, som kör Office365 Click-to-run paketet, är joinade i Azure AD och hanteras av Intune.

Det här passar givetvis inte alla i dagsläget, speciellt inte större företag, men Microsoft vill nog gärna att det åtminstone framöver ska göra just det. Intune har tillexempel gått att köra i hybridläge med just SCCM, men den funktionen blev så kallad "deprecated" i Augusti i år vilket gör att vi inte kommer ha stöd för det. Jag har för mig att befintliga kunder ska kunna köra med hybrid MDM fram till och med sommar/höst 2019 nånting, men jag vågar inte svära på det.
Däremot tror jag faktiskt inte att Co-Management är påverkat av det här beslutet, men jag är dåligt påläst om det. Min uppfattning spontant när det kom var att det är ett sätt att få kunder att börja migrera sina SCCM funktioner till Intune. Idag verkar det vara ett hybrid-managementverktyg för att sköta saker som Compliance, Office Click-to-run, Endpoint Protection, Windows Update och några till funktioner som klassiskt sett har varit rena SCCM funktioner.
 
Som ni kanske märker jobbar jag inte med SCCM, så vi får helt enkelt vänta in en post från nån som har koll på området :) Det jag är helt säker på däremot är att SCCM "ABSOLUT INTE" är dött eller döende :) det snackades det om i varannan dragning, och inte minst i dragningarna kring System Center 2019 så det var väl lika bra att skriva det här också, MS verkar lite nervösa över att kunder och partners tror det.
 
Men om vi ska börja prata om dom sakerna jag nämnde i början, så börjar vi med Intune, mer specifikt Intune Win32 application deployment som jag skrev om i en tidigare post.
http://www.scconfigmgr.com/2018/09/24/deploy-win32-applications-with-microsoft-intune/

 

"Ja var börjar man ? Halleluja kanske är på sin plats….

Hur som helst verkar som att man ska kunna paketera vanliga .exe filer ungefär med samma tänk som man förpackar containers med hjälp av ett verktyg. I verktyget plockar man upp sin chromeinstaller.exe och packar om den tillsammans med växlar och grejer till en chromeinstaller.intunewin. Man assignar sen paketet till en kombination av användare/devices/arkitektur osv precis som vanligt. Några saker jag inte riktigt är 100% säker på just nu innan jag labbat med det, är om man kommer behöva självinstallera appen via sin ”Company Portal” på datorn eller om man kan tvinga ut appen på alla som uppfyller den assignment man satt, men det lär ju visa sig när man börjar pilla runt lite. Dessutom har SCCM agenten varit inblandad i dom demos jag sett hittills, men det hoppas jag bara är för att locka dom stora företagen som redan kör Config Manager."


Sen jag fick nys om det här har jag gjort lite mer efterforskningar, men egentligen inte blivit klokare kan man säga. Jag har fortfarande inte tillgång själv till det här i nån av mina tenants så jag kan inte testa att faktiskt skjuta ut en app, även om verktyget är tillgängligt så man kan packa den. Däremot har jag säkerligen många kära kollegor som har mycket mer detaljer kring Intune Win32 app deploy.

 

Andra saker värda att nämna:

Intune Management Extensions

Min uppfattning är att det här är en slags agentbaserad kanal in i dina managed Win10 maskiner, men om det faktiskt behövs en fetagent eller inte är jag osäker på. Via den kanalen kan man sen exekvera powershellscript mot maskiner genom att först ladda scripten i Intune och sen tala om för agenten vilka script som ska köras lokalt. Jag tror även att det är via den här funktionen som saker som policies och liknande appliceras på maskinen, vilket gör att jag är osäker på om agenten behövs :) Men jag kan vara ute och cykla här
 

Intune Managed Browser

Eller hanterad Microsoft Edge för iOS och Android. Huvudtanken här verkar vara att kunna kräva multifaktor, policy compliance och liknande saker för att alls få tillgång till interna resurser som är publicerade exempelvis via Azure App Proxy Web applications.
Ett Intranät som inte är publicerat på internet ska alltså på ett säkert sätt gå att komma åt via en mobiltelefon på ett flygplats-wifi.
Dessutom kan man styra ifall copy/paste eller screenshots är tillåtna, samtidigt som Edge på mobiler verkar stödja Dual-Identity, där man har en managed browser för corp-resurser och en unmanaged browser för resten så man inte är helt nerlåst när man surfar privat på en corp device där det är tillåtet.
Sen kan man såklart även ställa in saker som favoriter och startsida
 

Android Enterprise fully managed devices

Microsoft och Google jobbar tillsammans för att Intune (men säkert även andra MDM verktyg) ska kunna hantera alla viktiga funktioner i en Android-device framöver. Preview ska släppas runt årsskiftet verkar det som. Det kommer göra att man kan hantera sina Android devices som BYOD där man egentligen ”bara” skyddar företagsdata, hela vägen upp till Fully Managed vilket jag tolkar som att man styr hela GUI, alla appar, lagringen och alla funktioner där emellan. Låter nästan som en Android Kiosk-device… och det kanske är såhär Microsoft vill hantera Chromebooks via Intune i framtiden, exempelvis i skolor ?
 
 

M365 för andra behov än E3/E5

Microsoft365 finns i lite andra flavors också beroende på behov, om man exempelvis är en lite mindre kund så ska man ha valet att köpa Microsoft Business Powered by Intune, vilket är en paketering anpassad för SMB. 
Sen finns även Intune for Education som då är integrerat med deras övriga Microsoft Education-verktyg som Teams och Appar. Är ni intresserade av mer information kring Microsofts skolerbjudande är jag helt fel person tyvärr, men hör av er till Advania Skolpartner så hjälper dom gärna till: https://www.advania.se/erbjudande/workplace/advania-skolpartner/
 
 

Intune ADMX-Backed policies

Microsofts svar på "GPO i molnet" kan man säga. Finns en massa inställningar redan, som tillexempel inställningar för Exploit Guard och Officepaketet men förmodligen inte alla som vi idag har tillgång till i våra onprem GPOer. Det är alldeles för många för att skriva om här däremot (bokstavligen tusentals, men sökbara som tur är, även direkt i Intune-portalen), så kolla listan själv så får du en bild över vad som finns just nu :
https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-configuration-service-provider#admx-backed-policies

Microsoft släppte ett verktyg förra Ignite som hette "MDM Migration Analysis Tool" eller MMAT, och syftet med det var att jämföra applicerade GPOer på en dator med möjligheterna till MDM Management i Intune. Det skulle förvåna mig mycket om det inte finns eller är på väg ett liknande verktyg specifikt för ADMX-backade policies.
 
 

Intune Security Baselines

Policy sets för Windows 10 devices kan man säga.
Det är alltså (olika versioner av ? Produktnamnet indikerar ju fler än en) Microsofts rekommenderade säkerhetsinställningar för Win10.
Efter lite googling på det här hittade jag en post från "National Cyber Security Center" i UK där dom har skrivit ihop en egen guide för hur man konfigurerar en Win10 1803 "April Update" som är AAD joinad och hanterad via Intune, på ett säkert sätt ur deras perspektiv. Det är en förvånansvärt matnyttig post där dom går igenom många av dom sakerna man behöver fråga sig innan man tar steget. Informationen i posten kanske inte alls är förvånande för dom flesta, men jag blev impad och lärde mig en hel del från den faktiskt.
https://www.ncsc.gov.uk/guidance/eud-guidance-windows-10-1803-mobile-device-management
 
Ett annat bra ställe att kolla säkerhetsrekommendationer är "Center for Internet Security": https://www.cisecurity.org/
 
Men dom två posterna är ju såklart inte Intune Security Baselines, däremot är det den typen av baselines Microsoft verkar vilja återanvända. Jag har inte själv tillgång till Baselines i mina tenants så jag kan inte kolla i detalj, men från posterna om det och klippen jag sett så verkar det väldigt smidigt.
Tänk er en "Best Practices Analyzer" scan i en vanlig 2012-server där man får ett gäng rekommendationer för att säkra upp rollerna på servern.
Om man då tänker sig en liknande rekommendation fast för en Windows 10 maskin, så verkar det vara den typen av rekommendationer som då Microsoft tagit fram baselines för. Istället för att tala om att nånting saknas after-the-fact så "tvingas" helt enkelt inställningarna på via Intune direkt när policyn appliceras vilket gör att slutanvändaren får färre val att ta ställning till givetvis. Exempelvis Bitlocker på USB stickor eller vad det kan vara.
 
 

Desktop Analytics

Så här skrev jag i en tidigare post (lite saxad)

"Desktop Analytics (fd Windows Analytics ?) är en cool produkt jag hörde talas om för några veckor sen första gången. Dom snackade mer om den i nån stream här och det har börjat bli lite tydligare vad dom vill göra med den. Grundtanken är egentligen samma som överallt, att man ska återanvända Microsofts enorma databas på bästa möjliga sätt för att underlätta för sina kunder. Mer specifikt låter det som att det är en ”Windows 10 Ready analyser” på steroider. Dvs att man ska få reda på att kombinationen av Hårdvara, Drivrutiner, 3e parts appar och tillochmed sina LOBs är kompatibla med varandra. […]. Idag kräver den här funktionen SCCM, men en av höjdarna på Microsoft sa att dom jobbar på att integrera det i Intune (därav att den här nyheten ligger under intune)"

Det här verkar vara mer vinklat mot att skapa ”Update Readyness” pilotgrupper i projekt där man undersöker implementering av Win10, och då specifikt för att hantera utmaningen med att testa av så LOB appar funkar som dom ska. Man ska alltså kunna använda Desktop Analytics för att få fram en så liten grupp maskiner som möjligt för att pilota så effektivt som möjligt kan man säga. 
Man går helt enkelt in i sin Desktop Analytics portal och blir då välkomnad med en "pilotgrupp". Där ser man då direkt i interfacet hur många procent av sin klientmiljö som den pilotgruppen utgör. Exempelvis om nån laptopmodell saknas helt i gruppen, eller om någon version av Win10 saknas så kan inte procenten bli 100% såklart. Den siffran länkar dessutom till en rekommendation för vilka maskiner man kan lägga till för att komma upp i 100% av alla kombinationer i sin miljö.

 

Microsoft Managed Desktop

Även det här ämnet har jag skrivit om tidigare, så här tyckte jag då:

"Desktop as a Service direkt från Microsoft ?
Microsoft konkurrerar helt plötsligt med min arbetsgivare och många andra liknande tjänsteleverantörer genom att gå in i hardware/software/management triangeln verkar det som.
Jag har inte kollat dragningen om den här faktiska tjänsten ännu, men tanken verkar vara att man ska kunna leasa hårdvara direkt från MS inom sitt avtal med dom (eller via Advania Marketplace kanske? 😊), där det ingår nödvändiga licenser per användare. Som grädde på moset låter det som att all den hårdvaran även skeppas med Autopilot förkonfigurerat, vilket gör att man verkar kunna slippa deployment och hantering av dom maskinerna helt och hållet och istället bara konsumera."


Något som jag missade när jag kollade på originaldragningen om det här var att alla maskiner som levereras via MMD är tänkta att uppfylla Microsofts egna Best Practices. Så vitt jag kan läsa mig till i dom olika posterna och videos som är släppt om det här handlar det alltså specifikt om M365 E5-bundlingen, åtminstone till en start.  Många av tjänsterna som ingår i E5 kommer då helt eller delvis förkonfigurerade. Eller så gör man det tillsammans med Microsoft eller sin partner när man hanterar resten av sakerna som compliance policies, Win32 app paket och vad man nu behöver.
Dessa säkerhetsfunktioner ingår alltså i MMD : Credential Guard, Device Guard (Defender App Control), Applocker, Windows Defender Advanced Threat Protection. Cloud App Security verkar vara ett tillägg, men går även det att få managerat.

När en slutanvändare då behöver få support på sin dator så kommer Win10 med en förkonfad chatt-agent där man kan prata med en MS-support tekniker direkt. Däremot hanterar ju bara Microsoft vissa specifika saker, som Windowsinstallationen och Officepaketet, alla andra saker som LOB’ar och liknande är nog inte rimligt att tro att dom ska hantera om man inte har specialavtal. Därför undrar jag om det kommer komma nån möjlighet för MS-Partners att leverera sitt mervärde mellan kunden och MS via den chatten, så att exempelvis Advanias helpdesk är dom som svarar på eventuella slutanvändares frågor, hanterar tickets och allt sånt istället för att det måste vara Microsoft. Där har jag ingen som helst indikation på att det ska gå att göra, men det känns ju extremt rimligt att det är nånting kunderna kommer efterfråga.
 

Autopilot

Först var jag besviken över hur lite nyheter vi fick, det har ju trots allt gått ett år sen dom gjorde Autopilot offentligt. Sen blev jag lite inspirerad av några dragningar och tyckte att det har ju faktiskt ändå kommit en del nyheter som är bra, men sen kollade jag lite mer specifikt på vad som hänt under året som gått och insåg att det mesta nog inte släpptes under Ignite, utan jag hade bara missat en del av det tidigare under året :) Men bland annat släppte dom möjligheten att automatiskt lägga till alla AAD-registrerade maskiner in i Autopilot genom nåt dom kallar för Autoharvest.Sen pratade dom en del om Hybrid Azure AD Join, vilket alltså är maskiner som är ENROLLED i Intune men JOINED i onprem AD.Det kanske är jättebra för många, men jag funderar på om inte Azure AD join nästan är bättre om man ändå funderar på Autopilot med Intune MDM. Så vitt jag vet kan man fortfarande använda Kerberos auth för att komma åt lokala AD resurser onprem och det räcker kanske för att täcka många behov, åtminstone ska man nog överväga det inan man tar beslut i frågan.En annan sak som jag är osäker på om den är ny eller inte är att man kan tilldela Intune-hanterade maskiner till specifika användare, och då är användarens profil delvis förberedd när dom får/refreshar sin dator. Mailadressen är förifylld i inloggningsfasen, och vissa settings i profilen ska kunna preppas i förväg.

Jag kan inte tänka mig att man blir av med "Förbereder Windows, bara några minuter till" däremot, men det kanske kommer nåt sätt att deploya profile templates i framtiden. Vem vet.Den sista saken som jag uppmärksammat är att man kan skapa Autopilot Task Sequences i SCCM och MDT vilket låter intressant, men det har jag inte heller testat.  

//Danne

 


Daniel Källström
Technical Architect, Knowledge Factory


Back
?i