Microsoft Intune -virheet
Windows Autopilot esiteltiin ja julkaistiin vuonna 2018. Pilviympäristöjen infrastruktuuri päivittyy nykyään kovaa vauhtia. Microsoft Intuneen, joka on myös Windows-hallinnan pilvialusta, tulee uusia ominaisuuksia jopa kuukausittain. Tämän takia ympäristöjä ei saisi jättää oman onnensa nojaan, kun ne on ensimmäisen kerran otettu käyttöön, vaan kehitystä on seurattava ja uusia ominaisuuksia on arvioitava koko ajan.
Kun olemme ottaneet uusia asiakkaita palvelutuotantomme piiriin, tai olemme konsultoineet ulkopuolista asiakasta jonkun teknisen ongelman takia, olemme joskus havainneet, että konfiguraatio on vanhalla tavalla tehty, tai tehty jopa väärin, ja se vaikuttaa isompaan kokonaisuuteen. Yleensä syynä on se, ettei ympäristöjä tarkisteta säännöllisesti, eikä uusista menetelmistä tai ominaisuuksista olla tietoisia ja/tai niitä ei ole huomioitu. Pari yksinkertaista esimerkkiä oikeista tilanteista erilaisista organisaatioista;
1. Organisaatiossa on kuviteltu, että työasemat on asennettu Windows Autopilotilla, mutta tämä ei ole pitänyt paikkaansa. Erään kerran syynä tähän oli. että Autopilot -profiili oli kohdistettu ryhmään, joka oli tehty väärällä tavalla, eikä Microsoftin ohjeita noudatettu. Toinen syy on saattanut olla device hash -laitetietojen puuttuminen, joko tarve ei ole ollut kaikille selvää olemassa olevien PC-laitteiden kohdalla tai laiteosto on tehty esim. verkkokaupasta, jossa ei ole valmiina device hash -laitetietojen hallittua tuomista. Voimme tarjota tähän myös ratkaisun, jos laitteita hankitaan eri paikoista ja device hashin vienti Intuneen koetaan liian hankalaksi.
2. Ympäristön selkeys on tärkeää, varsinkin jos hallitaan pilvialustaa itse, ja käytetään eri konsulttiyrityksiä haastavampien ongelmien selvityksessä tai uusissa pienhankkeissa. Koska Azure ADssa ei ole OU-tasoista hierarkiaa, niin Groupien nimeämisen selkeys on nykyään entistä tärkeämmässä roolissa. Tämä sama virhe nähtiin monesti vanhassa on-prem -maailmassa, jossa Group Policy -objekteja nimettiin, miten sattuu ja järjestyksestä ei ollut tietoakaan. Prefix-nimeämisen kulttuuri on nyt entistä tärkeämpää.
Me suosimme AAD:ssa kaikkiin Intuneen liittyviin objekteihin seuraavaa ryhmien nimeämiskäytäntöä, jolloin haun yhteydessä on heti selvää, mihin ne liittyvät. Esimerkiksi:
Intune Device Dynamic Autopilot All
Intune Device Assigned Pilot 2nd wave
Intune User Dynamic All
Intune Device Dynamic Windows Managed
Intune User Assigned Application XXX Required
Hyvä lukija, mikäli organisaatiossanne on käytössä Microsoft Intune, ja on epäilys, että kaikki ei ole ihan kohdallaan, tai kohtaatte haasteita esim. Windows -työasemien käytössä, hyvin todennäköisesti voimme auttaa!