Maandelijks archief: april 2012

Dag 4: Windows Intune–The Grill

Geplaatst op door

Laatste dag van de Windows Intune review. De nieuwe versie komt er al weer aan, met wat meer functies dan de huidige versie heeft. De nieuwe functies zijn echter vooral gericht op mobiel werken en integratie met de lokale AD.

Deze laatste dag wordt gekeken naar hulp op afstand, verdeling van beheer en rapportage.

Hulp op afstand

intune31Hulp op afstand geeft de gebruiker de mogelijkheid om de beheerders een seintje te geven dat hij met een probleem zit op zijn machine en daar hulp bij nodig heeft. Andersom is het niet nodig, je kunt als beheerder dus niet pro-actief hulp aanbieden. Microsoft gebruikt voor het beheer op afstand een oude bekende, namelijk Microsoft Easy Assist uit de Microsoft Office hoek.

intune80Nadat de gebruiker via zijn Intune client om hulp heeft gevraagd verschijnt er een notitie in de management interface. Hierbij wordt geen actieve pop-up of geluid gegeven, de beheerder moet er dus we op letten. Vanuit Intune kan tevens een email gestuurd worden naar de beheerders met de waarschuwing dat iemand hulp nodig heeft. Windows Intune behandelt het verzoek als ‘kritiek’ met rode kruizen voor de berichten. Daarnaast wordt de client vermeldt, niet de gebruiker die gebruik maakt van de machine. Dat was mogelijk wel handiger geweest bij gebruik van fatclients waar meerdere mensen achter kunnen zitten (flexplekken). Een actieve waarschuwing was daarnaast ook handiger geweest, zoals bijvoorbeeld met een nieuw bericht in Outlook Webaccess. Dat had het geheel iets duidelijker gemaakt voor beheerders.

intune81Voor het bevestigen van het verzoek moet je een aantal website-schermen door, wordt de Easy Assist client op je pc geïnstalleerd en daarna krijg je de interface voor je. De client die de beheerder gebruikt is nog niet Windows 8 en IE10 ready. In de client kun je chatten met de gebruiker en de gebruiker verzoeken om het beeld door te geven en/of de muis van hem hem over te nemen. Als de gebruiker meerdere schermen heeft aangesloten, wordt gevraagd welke van de twee schermen hij wil tonen. Ook bestaat er de mogelijkheid om alleen de applicatie door te geven die het probleem heeft.

Voor rest werkt het redelijk standaard. Je kunt muis en toetsenbord van de gebruiker bedienen en meekijken. Dat werkt allemaal naar behoren, zoals je mag verwachten van Hulp op afstand. Tevens kun je je eigen pc blijven gebruiken, het scherm van de gebruiker komt niet fullscreen over je eigen scherm heen. Verder zijn er geen problemen als je zelf twee schermen in gebruik hebt en de gebruiker er maar één heeft. Dit zou dus een perfecte oplossing zijn voor Remote Desktop Servers, aangezien Microsoft daar sinds Windows 2008R2 een beperking in heeft zitten waarbij je geen enkele schermen kan overnemen als je zelf twee schermen gebruikt (en andersom). Een laatste mooie optie is de mogelijkheid om de sessie op te nemen. Hierdoor kun je het gebruiken om later bijvoorbeeld een kb-artikel te maken op het intranet of het gebruiken voor leer-doeleinden.

Beheer splitsing

intune82Over dit onderwerp kunnen we snel zijn. Het splitsen van beheer is niet mogelijk. Je hebt of volledig beheer of alleen leesrechten. Andere smaken zijn er niet. Daarnaast is er altijd één ‘super-beheerder’. Dat is het account dat is gebruikt voor het ‘kopen’ van Windows Intune. Dit account kan niet verwijderd worden uit de console.

Rapporten

intune85Windows Intune kan enkele basis rapporten tonen op het gebied van Windows Updates, software inventarisatie en uitrol, hardware inventarisatie en licenties. In elk rapport is verder in te zoomen op bijvoorbeeld in het software overzicht is op te vragen welke pc’s de software geïnstalleerd hebben. Het zijn basis rapporten, die voor een kleine organisatie wel ok zijn.

intune86

In de volgende blog trekken we de conclusie over Windows Intune en beantwoorden we de vragen die we op dag 1 hebben gesteld.

Dag 3: Windows Intune–The Grill

Geplaatst op door

Na gekeken te hebben naar de installatie van Windows Intune, het toevoegen van software en het uitrollen van software, was ik deze dag toe aan het installeren van updates.

Microsoft Updates

intune51

Het updates goedkeuren en verspreiden via Windows Intune werkt op ongeveer dezelfde manier als met WSUS. Dezelfde groepen van machines worden gebruikt als bij het verspreiden van software. Software updates moeten goedgekeurd worden door de beheerder. Hierbij zijn de updates ingedeeld in verschillende categorieen en classificaties, die ook door WSUS worden aangehouden.

intune52Enige wat mist ten opzichte van WSUS, is het grafische dashboard dat WSUS toont na het inloggen. Hiervoor in de plaats is een wat minder zeggend textueel overzicht gekomen.

Na het goedkeuren van de updates, worden deze redelijk snel door de client opgepikt. De clients halen de updates niet van een interne server af, maar altijd via Windows Update. Voordeel hiervan is, dat een client altijd de dichtsbijzijnde Windows Update server in de wereld gebruikt. Binnen een iets grotere omgeving heeft dit echter ook een nadeel; elke client zal afzonderlijk de update van internet afhalen. Een goede proxycache is dan ook een must in dit geval.

Endpoint Protection

Windows Intune komt met een volledige versie van Windows Endpoint Protection. Aan de beheerder is de keuze of hij deze wel of niet wil gebruiken. Gebruik je hem, dan krijg je extra informatie binnen de Windows Intune Managementconsole te zien, gebruik je hem niet, dan is alleen de melding te zien dat dat client een andere vorm van Endpoint-protection heeft.

initune53De taken die de management console aangeeft bij het selecteren van Endpoint Protection verwijzen vreemd genoeg allemaal naar internetsites. Als je bijvoorbeeld klikt op ‘Instellingen voor Endpoint Protection Agent configureren’, dan wordt je omgeleid naar een externe pagina waarop staat dat je binnen de Windows Intune Manager naar beleid moet, om daar de instellingen te maken. Vreemde keuze naar mijn idee, waarom niet gelijk naar die functie linken.

intune54Via een beleid is EndPoint protection in te stellen. Daarbij kun je de gebruiker nog wat keuze vrijheid geven of alle opties als administrator instellen waarbij de gebruiker niets zelf meer kan aangeven.

 

Mocht de gebruiker onverhoopt een virus in het wild tegenkomintune23en, dan geeft Endpoint Protection dit direct terug naar de management console. Hierin wordt vervolgens per client aangegeven welke virussen hij tegen is gekomen en wordt er ook een totaal overzicht gegeven van alle virussen die gevonden zijn op de clients.

De komende dag gaan we kijken naar hulp op afstand, beheer splitsing en naar de verschillende rapporten die Windows Intune voor je kan genereren. Daarna volgt in de laatste dag een conclusie en afsluiting van Windows Intune Grill.

Tot slot nog een filmpje dat ik voor de Microsoft Grill heb gemaakt met betrekking tot Windows Intune. Kort in beeld Endpoint Protection en Updates en Software installatie:

 

Dag 2: Windows Intune–The Grill

Geplaatst op door

Deel 2 van de Windows Intune review. De vorige keer heb ik gekeken naar het installeren van Windows Intune en het gedeelte waarin software klaargezet kan worden voor gebruikers.

Software Installatie

intune40

Pc’s en laptops zijn in te delen in groepen. Aan deze groepen kun je vervolgens software toekennen. Deze manier kennen we van WSUS, SCE en SCCM. Bij het toekennen kun je ook een deadline aangeven om aan te geven hoe snel de software moet worden geïnstalleerd. Software met een deadline die snel verloopt, zal met voorrang door de Intune client worden gedownload. Dit downloaden gebeurd via het bits-protocol, dus alleen als je je netwerkverbinding niet veel gebruikt, op de achtergrond. Is alles binnen, dan geeft Intune je een seintje om de installatie af te trappen.

intune7Windows Intune geeft je echter maar zeer weinig informatie terug over deze installatie. Eigenlijk is het niet meer dan ‘het is gelukt’ of ‘het is mislukt’. Bij de laatste zit vervolgens een code waar je eigenlijk niets aan hebt. Kijk je lokaal in de eventviewer van de machine, dan is veel meer informatie te vinden waarom de installatie is mislukt. Ik kan alleen maar hopen dat Microsoft deze informatie in het vervolg ook in de console weergeeft, in plaats van de nietszeggende fout code. Bij installatie via een executable is het helemaal nauwelijks terug te vinden wat er mis ging en moet je hopen dat de applicatie een logfile bijhoudt die je als beheerder kan inzien op de machine waar het op zou moeten komen.

Patches

Windows Intune geeft niet de mogelijkheid om rechtstreeks patches te installeren. Dit gemis komt uit al uit de tijd dat er alleen GPO was om de installatie door te voeren. Later bevatte ook System Center Essentials niet de mogelijkheid om dit rechtstreeks te doen, ondanks dat MSI uitrol wel wordt ondersteund. Ook bij Windows Intune moet je noodgrepen uithalen, bijvoorbeeld via het installeren via een Administrative Installation waar je de patch in verwerkt. Dit werkt echter alleen bij een MSI. Bij een update via een executable of nieuwe versie van de software, waarbij je de software wil de-installeren, loop je tegen een probleem aan. Hoe zorg je er voor dat de de-installatie (wat volgens Intune een installatie is) plaatsvind voordat je de nieuwe versie installeert. Dit probleem geldt overigens ook voor het installeren van software waar afhankelijkheden in zitten. Je kunt niet afdwingen in welke volgorde de software wordt geïnstalleerd. Ook dat probleem is een oude bekende binnen GPO en SCE. Via GPO’s was dit nog op te lossen, in SCE al niet meer en in Windows Intune moet je ook maar hopen dat het in de juiste volgorde gebeurd.

Software rapportage

intune41Het software overzicht in Windows Intune geeft redelijk overzicht welke software er klaar staat geïnstalleerd te worden en op hoeveel clients de software al staat. Doorklikken geeft vervolgens een gedetailleerde beeld over welke clients het gaat. Ik kan me echter voorstellen dat dit overzicht niet duidelijk is op het moment dat je een kleine 200 clients beheerd met 50-100 applicaties.

intune42Naast de door de beheerder ingevoerde applicaties is er ook een rapport op te vragen over alle geïnstalleerde/gedetecteerde software op de clients. Hier komt echter het versie probleem weer terug. In de rapporten staat bijvoorbeeld dat bepaalde software 3 maal is geïnstalleerd. Door klikken levert echter op dat het pakket 3 maal op dezelfde pc staat, maar telkens met een ander versie nummer. Dit maakt het rapport vrijwel onbruikbaar voor het nalopen van je licenties. De vraag is ook of het licentie beheer systeem wat in Windows Intune zit, niet dezelfde ‘fout’ bevat in de rapportage. Helaas kan ik dat gedeelte niet testen, omdat ik geen licenties heb om in te voeren en ik de ‘custom’ licentie niet goed werkend krijg.

Morgen gaan we verder met dag 3. Deze dag bekijken we de mogelijkheid tot het installeren van updates en de virusscanner.