www.SAMURAJ-cz.com 

23.02.2024 Svatopluk Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Microsoft Intune - konfigurace nastavení zařízení

Pondělí, 06.03.2023 15:47 | Samuraj - Petr Bouška |
Ve třetí části o Microsoft Intune se podíváme na konfiguraci vlastností a nastavení spravovaných zařízeních. Intune umožňuje konfigurovat ohromné množství nastavení (nejvíce pro Windows). Pro konfiguraci můžeme využít několik způsobů. Hlavní je rozmyslet, co chceme nastavit, pak již zvolíme vhodnou metodu (k detailům nám pomůže dokumentace). Druhá otázka je, zda budeme nastavení aplikovat (přiřazovat) zařízení nebo uživateli.

Konfigurace nastavení zařízení

Microsoft Intune umožňuje konfigurovat vlastnosti a nastavení zařízení pomocí konfiguračních profilů - Configuration profiles. Někde Microsoft používá také označení profily zařízení - Device profiles. Jinde zase, že vytváříme Policy (politiku či zásadu). Profily vytváříme pro různé platformy a aplikujeme na vybrané uživatele nebo zařízení.

Obecně (pro Windows, macOS a iOS/iPadOS) volíme ze dvou typů profilu:

  • Templates - šablony obsahují skupiny nastavení pro určité funkce (jako Device restrictions, Domain join, Email, VPN), Intune obsahuje velké množství šablon
  • Settings catalog - katalog nastavení obsahuje seznam všech nastavení, která můžeme konfigurovat, pro Windows se jedná o tisíce položek, včetně takových, která se nenachází v šablonách, pro macOS nahrazuje využití Preference file

Microsoft v dokumentaci uvádí, že pro Windows máme další dvě možnosti na vytvoření konfigurace zařízení:

  • Administrative templates - nachází se v konfiguračním profilu pod šablonami i v katalogu nastavení, umožňuje využít vybranou skupinu nastavení Group Policy administrative templates (ADMX policies), můžeme importovat i další ADMX šablony
  • Security Baselines - obsahuje před konfigurovaná bezpečnostní nastavení od bezpečnostních týmů Microsoft, můžeme nasadit určitý připravený Baseline nebo vytvořit upravený profil, konfigurace se nachází pod Endpoint security

Patrně poslední možnost, pro konfiguraci zařízení, je spuštění skriptu na zařízení.

  • PowerShell Script na Windows
  • Shell Script na macOS

Windows Configuration Service Provider (CSP)

Configuration Service Provider je rozhraní pro čtení, nastavování, úpravu a mazání konfiguračních nastavení na zařízení. Tato nastavení se mapují na klíče v registrech nebo soubory. Využívá se Open Mobile Alliance (OMA) Device Management (DM) protokol a SyncML standard. Nebo Wireless Application Protocol (WAP).

Apple Configuration Profiles

Apple také využívá něco, co nazývá konfigurační profily, pro nastavení velkého množství zařízení. Konfigurační profily můžeme na macOS zařízení nasadit různými způsoby. Jedním z nich je MDM server jako je Intune. Další možnost je Apple Configurator, který můžeme využít i pro vytváření profilů. Profily můžeme také vytvářet pomocí Profile Manager, což je komponenta macOS Server app. Profily se ukládají do souborů s příponou .mobileconfig. nebo .xml.

Konfigurační profil se ukládá v property list (plist) formátu, který je založen na XML. V TopLevel objektu se nachází vlastnosti, které popisují profil a jeho nasazení. Konkrétní konfigurační hodnoty jsou uloženy v jednom nebo více (pole) Payload ve vlastnosti PayloadContent.

Pro konfiguraci určité oblasti máme odpovídající Payload (Intro to MDM payloads). Každý má své jméno a identifikátor (Payload Type). Například DirectoryService má typ com.apple.DirectoryService.managed. Seznamy a popisy nalezneme u Apple, například MDM payload list for Mac computers, Review MDM payloads for Apple devices či Profile-Specific Payload Keys.

Obnova politik

Zařízení registrovaná do Intune si stahují změny (kontrolují aktualizace) v určitém intervalu. Ten záleží na několika podmínkách, ale běžně je zhruba každých 8 hodin. Pokud připravíme konfiguraci zařízení, tak k jejímu uplatnění nedojde hned.

Okamžitou synchronizaci můžeme vyvolat ručně. Pomocí aplikace Company Portal na zařízení v Devices - Check Status nebo Settings - Sync. Nebo pomocí Microsoft Endpoint Manager admin center - Devices na zařízení Sync.

Vytvoření konfiguračního profilu

Spravovat profily a vytvářet nové můžeme pomocí

  • Microsoft Endpoint Manager admin center - Devices - Configuration profiles

Pozn.: Můžeme se omezit pouze na určitou platformu (jejím zvolením pod By platform) nebo pracovat se všemi.

Intune - Configuration profiles

Když vytváříme nový profil (Create profile), tak nejprve volíme platformu. Následně pro většinu platforem vybíráme typ (Profile type), zda využijeme šablony nebo katalog nastavení. Pro Android vybíráme skupinu nastavení, které chceme konfigurovat. Pokud jsme zvolili typ profilu Templates, tak vybereme určitou šablonu.

Intune - Configuration profiles - Create profile - Templates

Basics

V prvním kroku průvodce vytvoření profilu nastavujeme jméno profilu a volitelný popis. Jméno by mělo být dostatečně popisné, abychom se orientovali ve stovkách profilů. Do jména můžeme dát platformu (i když ji většinou vidíme v seznamu profilů), co profil konfiguruje a případně také komu je přiřazen (jako All Win devices).

Configuration settings

Následuje hlavní krok Configuration settings (nastavení konfigurace), kde nastavujeme vlastní konfigurační položky. Další kroky se liší podle typu profilu a platformy.

Intune - Configuration profiles - Configuration settings

Assignments

Vždy nastavujeme Assignments, tedy přiřazení (nasazení) konfiguračního profilu na skupinu uživatelů nebo zařízení. Vždy je potřeba dobře zvážit, zda je vhodnější volit skupinu uživatelů nebo zařízení. Přidáváme zahrnuté skupiny (Included groups), kde můžeme také filtrem odebrat určitá zařízení.

Využít můžeme předpřipravené skupiny All users a All devices. Do skupiny všech zařízení patří všechna, která jsou registrovaná do Intune. Skupina všech uživatelů obsahuje uživatele, kteří mají přiřazenu licenci na Intune.

Můžeme také nastavit vyloučené skupiny (Excluded groups). Platí řada podmínek, jak je možno kombinovat zahrnuté a vyloučené skupiny.

Pozn.: Když se přiřazení odstraní, tak může být chování různé. Nastavení zůstane aplikované nebo se vrátí do výchozího stavu.

Intune - Configuration profiles - Assignments

Scope Tags a Applicability Rules

K profilu můžeme přiřadit Scope Tags (značku). Profil se pak aplikuje na skupinu s přiřazenou značkou.

Pro Windows můžeme využít Applicability Rules (pravidla použitelnosti), čímž filtrujeme aplikaci profilu na určité Windows edice nebo verze.

Intune - Configuration profiles - Applicability Rules

Settings catalog - katalog nastavení

Vytvořit konfigurační profil z katalogu nastavení můžeme pro Windows, macOS a iOS/iPadOS. Katalog nabízí všechna nastavení, která můžeme konfigurovat, na jednom místě. Průběžně jsou přidávána další nastavení. Můžeme vytvořit profil, který obsahuje řadu různých nastavení. Jde o podobný způsob, jako při vytváření Group Policy Object (GPO).

Rozdíly dle platformy

Pro Windows 10/11 máme k dispozici tisíce nastavení. Generují se přímo z Windows Configuration Service Providers (CSP). Můžeme také konfigurovat Administrative Templates, která přidávají další nastavení. Windows přidává a zveřejňuje další nastavení pro poskytovatele MDM, která jsou rychle přidávána do Intune.

Pro macOS a iOS/iPadOS obsahuje nastavení zařízení, která se generují přímo z Apple Profile-Specific Payload Keys.

Do katalogu nastavení je integrován Apple Declarative Device Management (DDM). Pokud konfigurujeme zařízení iOS/iPadOS 15+, registrované pomocí registrace uživatele (User Enrollment), tak se využije DDM. V ostatních případech se používá standardní Apple MDM protokol.

Configuration settings

Do profilu přidáváme nastavení v kroku Configuration settings. Můžeme vybrat kategorii a z ní přidat jednotlivé nebo všechny položky. Nebo můžeme vyhledávat podle názvu nastavení či využít filtr. Krátký popis určitého nastavení se zobrazí po najetí na tooltip (ikona i v kroužku).

Intune - Configuration profiles - Settings catalog

Některá nastavení mají v názvu uvedeno (User) nebo (Device). Znamená to, že se daná politika uplatní pouze na uživatelský scope (HKEY_CURRENT_USER) nebo scope zařízení (HKEY_LOCAL_MACHINE). Profil můžeme přiřadit jak na skupinu uživatelů, tak zařízení.

Templates - šablony

Šablony obsahují logické skupiny nastavení. Pokud chceme při konfiguraci (vytvoření profilu) využít tato seskupení nastavení, tak využijeme určitou šablonu.

Při vytvoření profilu zvolíme určitou šablonu a v kroku Configuration settings máme připravené určité položky pro konfiguraci. Nemůžeme je odebírat ani přidávat další. Stručný popis položky se zobrazí po najetí na tooltip (ikona i v kroužku).

Některé šablony jsou speciální a stručně si je zmíníme níže.

Template - Administrative templates

Jedna ze šablon pro Windows je Administrative templates, kde se nachází mnoho set nastavení pro oblasti jako Office, Edge, Chrome, Windows Components, Network, apod. Nastavení Windows využívají Windows policy CSPs.

Jsou to podobná nastavení, jako se nachází v Group Policy. Nastavení jsou založena na ADMX, která jsou integrovaná v systému nebo jsou součástí standardních ADMX souborů (třeba Office). Můžeme také importovat další ADMX šablony třetích stran.

Pozn.: Administrative templates se dají konfigurovat pod Templates, ale také pod Settings Catalog. Katalog má k dispozici více administrativních šablon.

K dispozici je také nástroj Group Policy analytics, který analyzuje naše on-premises GPO a může automaticky vytvořit odpovídající konfiguraci pro Intune. Nejprve musíme exportovat GPO (volba Back Up) do XML souboru pomocí Group Policy Management console. Do Intune importujeme soubor gpreport.xml a spustí se analýza. Ta nám zobrazí, která nastavení jsou podporována v MDM, která jsou zastaralá nebo nedostupná. Pokud se nastavení nachází v podporovaném CSP, tak se zobrazí jeho jméno a CSP mapování (OMA-URI cesta).

Template - Custom

Šablona Custom umožňuje provést vlastní nastavení, která nejsou k dispozici v Intune. Konfiguruje se odlišně pro každou platformu.

Pro Windows a Android se využívá zadání hodnot Open Mobile Alliance Uniform Resource Identifier (OMA-URI). Příklad ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely.

Pro Apple zařízení (macOS a iOS/iPadOS) můžeme importovat soubor s konfiguračním profilem (Configuration profile) vytvořený pomocí Apple Configurator nebo Apple Profile Manager. Jde o soubor s příponou .mobileconfig nebo .xml.

Template - Preference file

Pro macOS můžeme nastavit Preference file, který využívá standardní property list (.plist) formát (seznam vlastností). Ten definuje předvolby pro macOS aplikace a zařízení. Můžeme tak nastavit položky, které nejsou k dispozici v Intune.

Property List Files obsahují konfigurační informace pro aplikace. Každá aplikace má svoje unikátní Bundle ID (Preference domain name), příklad com.Microsoft.Edge. Pro práci se souborem můžeme využít Xcode.

V konfiguraci zadáváme Preference domain name a importujeme Property list file s příponou .plist nebo .xml.

Scripts - skripty

Intune můžeme využít k nahrání PowerShell Script na Windows nebo Shell Script na macOS. A jeho následné spuštění na zařízení. Skripty můžeme využít k různým účelům, ke konfiguraci zařízení i instalaci aplikací. Rozšíříme tak možnosti správy zařízení (MDM).

Správu skriptů provádíme pod (případně pro určitou platformu vybranou v By platform)

  • Microsoft Endpoint Manager admin center - Devices - Scripts

PowerShell Script

Intune využívá integrovaného klienta pro správu ve Windows 10/11. Pro použití skriptů potřebujeme Intune Management Extension, která doplňuje integrované MDM funkce Windows. Pokud jsou splněny podmínky, tak se agent Intune rozšíření pro správu instaluje automaticky na zařízení. Ve chvíli, kdy je PowerShell skript nebo Win32 aplikace přiřazena uživateli či zařízení.

PowerShell skripty se mohou spouštět i bez přihlášeného uživatele. Časový limit pro běh skriptu je 30 minut. Intune management extension agent kontroluje při každém startu nové nebo změněné skripty. Pokud se skript spustí, tak se již nespouští znovu, dokud nedojde ke změně skriptu nebo politiky.

Při přidání skriptu (Add) zadáváme jeho popisné jméno a volitelný popis. V kroku Script settings nahrajeme PowerShell skript, který musí být menší než 200 kB. A nastavíme tři volby:

  • Run this script using the logged on credentials - zda běží skript pod uživatelem nebo pod systémem
  • Enforce script signature check - zda musí být skript podepsán důvěryhodným vydavatelem
  • Run script in 64-bit PowerShell host - zda se využije 32-bit nebo 64-bit PowerShell host
Intune - Scripts - Add PowerShell Script

V kroku Assignments přiřadíme skript na skupinu uživatelů nebo zařízení. Pokud chceme cílit na Workplace Joined zařízení (Azure AD Registered), tak můžeme využít pouze skupinu zařízení (uživatelé se ignorují).

Intune management extension agent standardně ukládá logy do C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Pro prohlížení můžeme využít CMTrace.exe.

Shell Script

Pro použití skriptů na macOS zařízení potřebujeme mít nainstalovaný Microsoft Intune management agent. Ten je potřeba například také pro instalaci DMG aplikací. Agent se instaluje automaticky na zařízení, pokud je přiřazen alespoň jeden skript. Více informací Microsoft Intune management agent for macOS.

Skripty začínají #! a musí být v platném umístění, jako #!/bin/sh nebo #!/usr/bin/env zsh. Skripty běží paralelně na zařízeních jako samostatné procesy.

Přidání skriptu (Add) je skoro stejné, jako pro PowerShell skript. Pouze v kroku Script settings máme jiné volby. Když nahrajeme Shell skript, který musí být menší než 200 kB, tak se zobrazí jeho obsah v read-only editoru. Nastavujeme volby:

  • Run script as signed-in user - zda běží skript s přihlašovacími údaji uživatele nebo jako uživatel root
  • Hide script notifications on devices - defaultně se zobrazuje uživateli informace IT is configuring your computer
  • Script frequency - jak často se skript spouští, výchozí je pouze jednou
  • Max number of times to retry if script fails - kolikrát se má skript spustit, pokud vrátí chybu (nenulový exit kód)
Intune - Scripts - Add Script macOS

Security Baselines

Security Baselines obsahují před konfigurovaná bezpečnostní nastavení od bezpečnostních týmů Microsoft. Intune umožňuje jednoduše nasadit Windows Security Baselines. Můžeme také upravit připravený Baseline a nasadit pouze nastavení a hodnoty, které požadujeme. Využít můžeme pro Windows 10/11.

Když vytváříme Security Baseline Profile, tak vytváříme šablonu, která se skládá z více Configuration Profiles. Nastavení je obdobné, jako když vytváříme konfigurační profil typu Template.

  • Microsoft Endpoint Manager admin center - Endpoint security - Security baselines

Vybereme baseline, kterou chceme použít a klikneme na Create profile. Procházíme průvodce. Hlavní je projít připravená nastavení v kroku Configuration settings a případně změnit výchozí konfiguraci baseline.

Intune - Security Baselines
zobrazeno: 2068krát | Komentáře [0]

Autor:

Související články:

Microsoft Intune

Cloudové řešení pro správu firemních i soukromých zařízení s různým operačním systémem. Podporuje Mobile Device Management (MDM) a Mobile Application Management (MAM). Umožňuje správu (přístupu) uživatelů, zařízení a aplikací.

Azure, Microsoft 365, Office 365, Cloud

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Azure AD a hostované služby Microsoft 365 / Office 365.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách