Moderni Windows 10 ja kaksi hallintakanavaa: MDM ja perinteinen

Blogin kirjoittaja on Centeron modernia päätelaitehallintaa tutkinut asiantuntija, Tuukka Tiainen.

Windows 10 -käyttöjärjestelmän julkaisun jälkeen Microsoft esitteli mahdollisuuden hallita työasemia ja mobiililaitteita MDM-rajapinnan kautta. Siitä lähtien olemme pohtineet sen tuomia etuja ja rajoitteita verrattuna perinteiseen hallintaan.

Microsoft Intune siis tarjoaa mahdollisuuden hallita Windows 10 -työasemaa joko asennettavalla asiakasohjelmistolla tai edellä mainitun mobiililaitehallinnan avulla. Yksittäistä laitetta ei voi hallita molempien kanavien kautta.

Laitteen liittäminen hallintaan

Perinteinen malli on käyttää asennettavaa asiakasohjelmistoa eli agenttia. Agentti vaatii asentuakseen joko Windows Vistan tai uudemman Professional- tai Enterprise-tason käyttöjärjestelmän. Tämän lisäksi asennus tulee tehdä järjestelmänvalvojan oikeuksilla.

Yleensä käyttöönotoissa asennus tehdään työasemiin yksitellen ellei käytössä ole esimerkiksi Active Directoryn tarjoamaa GPO-asennuksen (Group Policy Object) mahdollisuutta.

MDM-hallinta työasemille saadaan käyttöjärjestelmästä tehtävällä liittämisellä. Tämä toimenpide tehdään asetuksista ja sen lisäksi siihen tarvitaan organisaatioon kuuluva Azure AD -tunnus, jolla liittäminen on sallittua.

Eroavaisuudet

Tavasta riippumatta itse hallintaan liittäminen ei ole kovinkaan työläs toimenpide. Mitä eroa näillä hallintatavoilla sitten on? Seuraavassa taulukossa on listattu Intunen ominaisuuksia, ja miten ne ovat käytössä hallintakanavasta riippuen. Taulukon jälkeen perataan nuo ominaisuudet ja erovaisuudet auki hieman tarkemmin.

* Windows 10 -laitteille voidaan määritellä päivityskanava, mutta sen tarkempaa hallintaa ei voi tehdä.
** Voidaan jakaa pelkästään yksittäisiä MSI-tiedostoja. Tämän takia monen sovelluksen asentaminen ei ole mahdollista MDM-hallinnan kautta.

Päivitystenhallinta

Monessa vähänkin isommassa ympäristössä halutaan monesti hallita päivityksiä laajasti, koska tämä vähentää ongelmien riskiä joita toimimattomat päivitykset silloin tällöin aiheuttavat. Agenttia käyttämällä laitteiden päivitykset saadaan hallintaan todella laajasti. Toisin sanottuna voidaan päättää, mitkä päivitykset menevät millekin laitteelle.

Päivitystenhallinnan kautta on ollut myös mahdollista jakaa kolmannen osapuolen MSP-päivityspaketteja, mitä esimerkiksi Adobe käyttää. Sen lisäksi päivityksistä saadaan raportit, jolloin nähdään mitä päivityksiä on asennettuna milläkin työasemalla. Tällainen on ollut erittäin toimiva tapa erityisesti ennen Windows 10:n ilmestymistä.

Kun Windows 10 ilmestyi niin Microsoft loi täysin uuden tavan toimittaa päivitykset ja uudet versiot käyttöjärjestelmään (Windows as a Service). Microsoft julkaisee noin kaksi kertaa vuodessa niin kutsutun ominaisuuspäivityksen (feature update). Näitä koottuja päivityksiä ovat tähän mennessä olleet versiot 1511, 1607 (Anniversary Update) ja tuoreimpana 1703 (Creators Update).

Jostain tuntemattomasta syystä johtuen Microsoft Intunen agentillinen hallinta ei varsinaisesti tue ominaisuuspäivityksiä. Microsoft näkee nuo ominaisuuspäivitykset omina käyttöjärjestelmäversioinaan. Tämän ajatusmallin mukaisesti Intunella ei voi myöskään päivittää esimerkiksi Windows 7 -versiota uudempaan Windows 8.1 versioon, mikä pitää täysin paikkansa.

Toisin sanottuna Intunen agenttihallinta ei täysin pysty vastaamaan Windows 10:n mukanaan tuomiin uusiin päivitystarpeisiin ja kiihtyneeseen useamman kerran vuodessa tapahtuvaan päivitysrytmiin.

Intune mahdollistaa ominaisuuspäivitysten hallinnan, mutta sen edellytyksenä on hallinta MDM-hallintakanava. Tällöin ei päivityksiä voida hallita niin kokonaisvaltaisesti eikä päivityksistä saada muodostettua raportteja. Hallitut laitteet voidaan määritellä kuulumaan haluttuun päivityshaaraan. Tämä kuitenkin edellyttää, että työaseman Windows 10 -versio on vähintään tasolla 1607.

Machine generated alternative text: 1tE julkaistu 10_22002 Windu.•s 10 (G3L2S2L7) Windu.•s 10 Windu.•s 10 (G3L73427) 10 ea3L73428) 10 Windu.•s 10 V 10 V w- w d 10 V n 1607 d 10 V n 1607 ISI', 1607 psivit•ß (K3401S220) -käyttöjSrjesteImSn 1 -käyttöjSrjesteImSn 1 käyttöjSrjesteImSn 1 10 1607 -psivitß (KB31992E) Luokittelu TS St #ivitykEt TS 'ke St #ivitykEt TS 'ke St #ivitykEt TS St #ivitykEt TS 'ke St #ivitykEt TS 'ke St #ivitykEt TS St #ivitykEt TS 'ke St #ivitykEt TS 'ke St #ivitykEt TS St #ivitykEt TS 'ke St #ivitykEt

Kuva 1. Päivitystenhallinta perustuen agentilliseen hallintaan.

Machine generated alternative text: Settings ov,s 10 and latu - PREVIEW Servicing branch O Microsoft product updates O Windows drivers O Automatic update behavior O Active hours start O Active hours end O Quality update deferral period (days) O Feature update deferral period (days) O Delivery optimization download mode O Allow Allow Block Block Auto install at maintenance time 8 AM HTTP blended with peering behind same v

Kuva 2. Päivitystenhallinta uudessa MDM-hallinnassa sekä uudessa portaalissa.

Huom.: Windows 10 -palvelumallin termistö

Windows-palomuuri

Agentillinen hallinta mahdollistaa Windowsin palomuurin määrittelyn ja ylläpidon. Tämä on yksi selkeä ominaisuus, mitä ei Windows-laitteille voida tehdä enää, jos käytössä on MDM-hallintakanava. Hyvin monessa tapauksessa palomuurin asetuksia ei yleensä tarvitse muokata.

Tapauksia kuitenkin varmasti löytyy, missä palomuurin keskitetty hallinta on vaatimus ja tällöin onkin syytä punnita, millä tavalla laitteet otetaan hallintaan.

Järjestelmän luoma vaihtoehtoinen teksti: Ve rt. ntS : Velitæ verkkoprofiilit, joita täm poik&us ZJ V&ityinen T CJ BITS @ Velitæ verkkoprofiiht, joita täm poik&us Kohdetta yhtev verkkoprojektm-ll r. verkko: @ Velitæ verkkoprofiiht, joita täm poik&us

Kuva 3. Esimerkkejä Windows-palomuurin hallintamahdollisuuksista, joita Intune agentti mahdollistaa.

Hälytykset ja ilmoitukset

Centerolla meidän tuottamamme Seremoniamestari-palvelu saa paljon lisäarvoa Intunen hälytystoiminnallisuudesta. Hälytysten määrittely asiakaskohtaisesti mahdollistaa meitä valvomaan päätelaitteilta tärkeitä asioita proaktiivisesti. Hälytykset ja ilmoitukset liittyvät eri osa-alueisiin kuten käyttöjärjestelmään, Office-sovelluksiin, käytäntöihin, päivityksiin, sovellusasennuksiin tai laitteen komponentteihin sekä resursseihin.

Ilmoitukset eivät ole suoraan riippuvaisia siitä, millä tavalla laite on liitetty hallintaan. Mobiililaitteista ja työasemista saadaan kuitenkin hyvin erilaista tietoa ja valvonta perustuu paljon saatavien tietojen asetettuihin raja-arvoihin. Windows 10 -laittesta, joka on liitetty mobiililaitteena hallintaan, emme saa esimerkiksi ilmoitusta keskusmuistin tai levytilan loppumisesta. Toisaalta agentillinen Windows 10 -laite taas inventoi paljon laajemmin laitteen resurssipuolta, joten edellä mainitut hälytykset ovat mahdollisia.

Ilmoitukset ja hälytykset ovat huomattavasti laajemmin käytettävissä, kun laite on liitetty hallintaan Intune-agentilla.

Järjestelmän luoma vaihtoehtoinen teksti: D H C pvSy-tetV DNS - patwu pvSytetty O K riitti silrtuiiæ j— klrjoitu&t) o an pitki Windm Windm Windm Windm N Sytä nys NSytä Oi kki N Oi kki N Oi kki N Oi kki N Oi kki N Oi kki Ky IIS kirjoitu

Kuva 4. Hälytysten hallinta Intune-konsolissa.

Sovellusjakelut

Mielestämme sovellusten julkaisu ja jakelu on alusta asti ollut yksi riippakivi MDM-hallinnan puolella. Se nimittäin mahdollistaa sovellusjakelun ainoastaan tapauksissa, missä käytetään yksittäistä MSI-tiedostoa. Kaikilla joilla on vähänkin kokemusta sovelluspaketoinnista ja MSI-teknologiasta, on selvää että sovellukset tarvitsevat useasti muitakin tiedostoja mukaansa.

Toisin kun Windows 10 MDM-rajapinta, niin Intune-agentti mahdollistaa jakelun MSI:nä tai EXE:nä ja sen lisäksi jakeluun voidaan liittää muitakin tiedostoja.

Machine generated alternative text: Ch 43,45 Mt Kyl IS ns_2017 1S_42.s3

Kuva 5. Sovellusten jakelu perinteisen agentin avulla.

OMA-URI & CSP käytännöt

Windows-ympäristöissä käytetään monesti Active Directoryn mahdollistamia ryhmäkäytäntöjä. Näillä pystytään määrittelemään ja rajoittamaan Windows-työasemia hyvin laajasti tarvittaessa. Ryhmäkäytännöt eli group policyt ovat olleet pitkään yksi syy, miksi paikallisen AD:n käytöstä on vaikea siirtyä Azure AD -pilvimalliseen hakemistokirjautumiseen.

Perinteinen Intune-agentti mahdollistaa hyvin vähän työasemakohtaisia muutoksia verrattuna ryhmäkäytäntöihin. Windows 10 on tehnyt tähän melkoisen parannuksen OMA-URI- ja CSP-teknologioiden muodossa. Erityisesti Creators-päivityksestä lähtien Windows 10 -laitteiden käytäntöjä voidaan muokata tarvittaessa hyvinkin monimuotoisesti.

Example of a custom policy that contains VPN settings

Kuva 6. Esimerkki työasemakäytäntöjen muokkaamisesta Intunen MDM-hallinnalla.

Antimalware hallinta

Intune agentin yksi hyvä puoli on viruksentorjunnan keskitetty hallinta, raportointi ja valvonta. Agentilla hallittuja koneita voi tämän lisäksi käskyttää esimerkiksi ajamaan täysi skannaus tai lataamaan uusimmat haittaohjelmatunnisteet.

MDM-rajapinnan kautta tapahtuva hallinta ei suoranaisesti mahdollista näitä edellä mainittuja asioita, mutta Windows 10 -maailmassa raportointi ja valvonta voidaan kuitenkin mahdollistaa Windows ATP:lla (Windows Defender Advanced Threat Protection). MDM-hallituille laitteille voidaan valjastaa valvonta ja raportointi ATP:n portaaliin yhdellä laitteille kohdistetulla käytännöllä.

ATP ei myöskään ole pelkästään Windows Defender -ratkaisua varten vaan se hyödyntää muitakin Windows 10:n tietoturvaratkaisuja ja muodostaa niistä yhtenäisen näkymän ja turvaverkon.

Machine generated alternative text: Haittaohjelman tila 0e Ongelmat Yleisimmät haittaohjelmat 0e Ongelmat Laitteen tila Ättæt. joihin rlittyy I lukm

Kuva 7. Esimerkki Intunen haittaohjelmien valvonnasta.

Machine generated alternative text: Linkit— eyttSjS... Luo ryhmlS Poiste / pv,'hi Suorite täysi +i&ohjelmien tarkistus Suorite pikatarkistus "Synnists Päivitä päivitä E±lukituE Kop' oi teksti

Kuva 8. Intune agentin kautta Windows Defender tai Microsoft Endpoint Protection ovat jossain määrin hallittavissa.

Inventointi ja raportit

Kuten jo aikaisemmissa kohdissa kävi selväksi niin agentillinen hallinta kerää erilaisia ja eri määrän tietoja kuin MDM-hallinta. Lähtökohtaisesti ainoastaan agentillinen hallinta tuottaa tietoja laitteen resursseista ja ominaisuuksista. Toinen tärkeä puoli inventoinnissa ovat sovellukset. Toisin kuin Intune agentin hallinnan avulla, MDM:n kautta saa ainoastaan Store-sovelluksista raportit.

Ainakin tässä vaiheessa tämä on selvä heikkous agentittoman hallinnan osalta. Valtaosa organisaatioiden laitteista on tässä vaiheessa vielä perinteisiä tietokoneita, joista ylläpitäjän olisi hyvä saada tietää tarpeen vaatiessa tarkempia tietoja.

Machine generated alternative text: Rungo n KSyaöJS#St I VMw.re Vlrtual E7440 tyyppi tieto ti eto tieto t i eto ti eto Valmistaj3 Dell FLL'1Tsu FUJITSU FUJITSU LIFEBOOK E7S6 LIFEBOOK E746 LIFEBOOK E736 Windm 10 S WindOÆ LO Windm LO Enterprise WindOÆ LO Windm LO Windm LO Enterprise TPM-turÆPiirin 2.0.0. 1.16 1.16 2.0.0. 1.16 Gt 237,98 Gt 930,96 Gt 471,S6 Gt 471,S6 Gt 471,S6 Gt Käytetty 9.SS Gt 893,14 Gt 63,29 Gt 3'61 Gt 68,26 Gt

Kuva 9. Raportti laitteista Intune-konsolissa.

Järjestelmän luoma vaihtoehtoinen teksti: Havaitut tietokoneohjelmat (230) App v. 1' v. 10111 2 PuTTY ox Realtek Hlgh Audio VLC Med- PDFforge TathEm Realtek Xbox pl.yer 2.24 ul v.lcoc GyttöjSrjesteI ja nnittelu j— -kehltuminen Ilukset mSSritykset ja Tu nte Pell täi Mihde

Kuva 10. Intune-agenttien keräämä sovellusinventaario.

Yhteensopivuuskäytäntö ja ehdollinen käyttöoikeus

Intunen yksi suurista eduista yhteensopivuuteen perustuvat pääsyluvat eri Microsoftin palveluihin. Organisaatio voi päättää esimerkiksi, että ainoastaan rekisteröidyillä laitteilla päästään lukemaan Sharepointin sisältöä. Mikäli tätä ominaisuutta halutaan käyttää työasemilla niin laitteen tulee olla hallinnassa MDM:n kautta.

Toiseksi erilaiset käytännöt kohdistuen laitteen yhteensopivuuteen eivät ole Intunen agentillisessa hallinnassa mahdollisia. Ainut ehdollistaminen toimii perustuen siihen, onko laite liitetty toimialueeseen vai ei. Nämä kaksi tärkeää ominaisuutta ovat huomattavasti heikommat perinteisellä Intune-agentilla.

Käyttöoikeuksien hallinta

Yksi vähiten huomiota saanut ominaisuus Intunessa on ollut lisenssisopimusten hallinta. Teoriassa eri lisenssejä vaatimusten sovellusten käyttöoikeuksia on ollut mahdollista hallita, määritellä ja raportoida agentillisen hallinnan kautta. Tämä ominaisuus on melkoisen turha eikä sille todellisuudessa löydy kovinkaan paljon käyttöä. Joka tapauksessa tämä toimii ainoastaan agenttipohjaisten työasemien kanssa.

Mielipide

Microsoftin ratkaisua jaotella hallinta kahteen kategoriaan on vaikea ymmärtää erityisesti sen takia, että asiasta ei juurikaan ole tiedotettu koko Windows 10:n alkutaipaleen aikana. Kaikesta viimeaikaisesta toiminnasta, kuten Intunen hallinnan siirtymisestä Azure-portaaliin on havaittavissa selkeä suunta ja se on agentiton.

Yksi ratkaiseva tekijä tässä kaikessa on tietysti vielä tällä hetkellä useampi tuettu Windows-käyttöjärjestelmä. Windows 7 -tuen loputtua tilanne on varmasti jo aivan toinen. Tosin vuodessa tai kahdessa ehtii muutenkin tapahtumaan niin paljon, että teknologia-alalla ei kannata noin pitkälle edes arvailla.

Joka tapauksessa molemmat hallintakanavat mahdollistavat eri asioita, mutta Windows 10:n riittämättömän ominaisuuspäivitysten hallinta ajaa pakosti MDM-hallinnan suuntaan. Aika näyttää sen tuleeko MDM-puolelle paikkaavia ominaisuuksia muun muassa sovellusjakelun, inventoinnin ja hälytysten suhteen.

Organisaatiot, tarpeet ja tilanteet vaihtelevat joten hallintakanavaa varten on syytä tehdä kartoitusvaihe huolellisesti. Mikään ei myöskään estä käyttämästä molempia hallintatapoja vaikkapa eri laitetyypeillä samaan aikaan. Centero seuraa tilannetta suurella mielenkiinnolla jatkossakin ja tiedottaa tulevista uudistuksista!

 

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Parannuksia Android:in ja iOS:in Outlook-mobiiliappiin
» Seuraava artikkeli: Centero Software Manageriin uusia huikeita ominaisuuksia