Dag 1: Windows Intune–The Grill

Ongeveer een week geleden vroeg Microsoft op Twitter of er nog mensen waren die Windows Intune aan een zware test wilden onderwerpen en hun ongezouten mening erover wilden geven. Ik vond het wel een leuk idee en heb me opgegeven om vervolgens uitgeloot te worden. In de komende 10 dagen ga ik kijken of ik tenminste om de 2 dagen een update kan geven over de positieve en negatieve zaken van Windows Intune

Uiteraard kan dat niet zonder mezelf een doel te stellen. Wat wil ik (of wat verwacht ik dat klanten) met Windows Intune willen bereiken. Ik kwam tot het volgende lijstje met vragen of zaken die ik beantwoord wil hebben (mogelijk komen er nog meer):

  • Is Windows Intune een goede vervanger voor SCCM, SC Essentials of RES Automation Manager. Hierbij vooral gekeken op gebied van updates beheren en software installatie.
  • In hoeverre kan Windows Intune mij een goed overzicht geven van al mijn hardware en software
  • Kan Windows Intune mij helpen in het beheer van lastig te bereiken hardware, zoals laptops van gebruikers die bijna nooit op kantoor zijn (denk aan updates van bedrijfsapplicaties en updaten van windows/microsoft producten).
  • Is Windows Intune makkelijk te beheren
  • In hoeverre is beheer binnen Windows Intune te splitsen

In de allerlaatste blog hierover kom ik terug op deze vragen om ze te beantwoorden (zover ik kan)

hero_grill_windowsintune_920x220

De eerste dag

De eerste dag staat uiteraard in teken van spielerij. Even een aantal zaken uitproberen om te zien hoever we er mee komen, zonder diep in de materie in te gaan. Tevens dingen testen die eigenlijk niet ondersteund worden, zoals het gebruik van Windows 8.

Activeren van Windows Intune en installatie van de client

Het aanmelden voor Windows Intune gaat vrij makkelijk. Je moet er als bedrijf alleen voor zorgen dat je een Windows Live account hebt. Zorg ervoor dat deze niet op naam wordt gezet van een gebruiker, maar op een afdelings- of beheeraccount binnen je bedrijf. Dit voorkomt problemen als het ‘hoofd Windows Intune’ er na enkele maanden vandoor gaat. Dit account krijgt namelijk de grootste rechten binnen Windows Intune (Pachterbeheerder) en kan alleen via Microsoft Online Services gewijzigd worden. (tip: gebruik hiervoor het account waarop u ook uw Microsoft Licenties beheert)

Na aanmelden kun je na een kleine 15 minuten inloggen op de website http://manage.microsoft.com. Daar kun je als eerste de client downloaden. Deze bestaat uit een executable en een certificaat. Deze client moet je op een of andere manier op je clients krijgen. Een hekel punt, want de meesten zullen juist met Windows Intune hun software gaan verspreiden. Mogelijk is deze in het image te plaatsen of via een stille installatie door MDT. Een extra puntje voor me om naar te kijken.

Spielerij

intune-combine1Na de client te hebben gedownload heb ik hem direct op mijn Windows 8 testmachine geïnstalleerd. Via Twitter had ik vernomen dat Windows 8 namelijk niet ging werken. De installatie van de client deed er langer over dan op een andere machine die ik tot mijn beschikking heb. Echter, geen foutmeldingen. De Update Service en Endpoint protection draaien zonder problemen. De Windows Intune Manager ziet het echter als Windows XP 64bit. Op zich interessant, want de client heeft een 32bit versie van de Intune Center geïnstalleerd. Geeft wel weer aan waarom Windows 8 niet wordt ondersteund door Windows Intune (al verwacht ik dat dit bij de volgende update voorbij is).

intune3De client op de Windows 8 machine krijgt al snel een update voor zijn kiezen, die van de 64bit Windows Intune Center. Die krijgt hij echter niet geïnstalleerd. Tot zover de Windows 8 test.

Software installatie voorbereiding

Windows Intune kan overweg met twee type installaties: MSI en Executable. Daarbij moeten beide vormen wel stil kunnen worden geïnstalleerd. Bij een MSI is dat eenvoudig te testen. Via een commandline msiexec.exe /i naam.msi /qb wordt een msi stil geïnstalleerd. Als een leverancier zich netjes aan de regels van MSI hebben gehouden is dat geen probleem. Helaas komt het nog wel eens voor dat dit niet gebeurd. Executables zijn een ander verhaal. Deze moet je ‘stil’ kunnen instelleren. Meestal lukt dit wel via /s, /silent, /q of /quiet gecombineerd met andere opties.

intune5Het uploaden van software gaat een beetje onhandig. Voor elke applicatie moet je een upload wizard doorlopen, die telkens weer vraagt om je inloggegevens. Dit is op te lossen door een vinkje te zetten om je gebruikersnaam en wachtwoord te onthouden, maar de vraag is hoe veilig dat is. De vraag is dan ook of je voor veiligheid gaat, of maar telkens je gebruikersgegevens invoert. Dat laatste ging mij in ieder geval na twee applicaties behoorlijk vervelen. Daarnaast vraagt hij na het sluiten van je volledige browser, telkens weer of je de upload-wizard wel wil draaien. Het lijkt erop dat de software niet ‘gesigned’ is, waardoor mijn computer de software niet vertrouwd. Erg slordig als je het mij vraagt.

Ander minpuntje is dat de uploader de MSI niet uitleest. Na het selecteren moet je alsnog invullen wie de fabrikant is, wat de naam van de software is en welke versie het om gaat. De meeste MSI’s hebben dit gewoon al in hun properties staan, net als de meeste executables.

intune4Dan het laatste probleempje in het toevoegen van de applicaties, je moet handmatig regels ter herkenning maken bij executables. Daarmee kan Windows Intune herkennen of de software al op verschillende machines staat. Daarbij kun je een MSI GUID opgeven, althans, alleen als je een msi hebt. Vreemde optie als je net een executable hebt geüpload, aangezien je dan meestal de MSI juist niet hebt. Een groot gedeelte van executables installeren wel MSI’s, maar de GUID ervan kan ik niet met de hand invoeren.

Naast de MSI regel zijn er nog twee anderen: bestandlocatie en registrykey. En ook hier moet ik helaas negatief over zijn. De bestandslocatie checked alleen of een bestand op een bepaalde locatie staat. Daarbij blijft even onduidelijk of %ProgramFiles% (standaard keuze) op een 64bit systeem verwijst naar c:\program files en c:\program files (x86) of maar naar een van die locaties. Hetzelfde geldt voor een registrykey die mogelijk naar HKLM\Software\Wow6432node of naar HKLM\Software gaat. Nog irritanter is dat de ‘bestandslocatie’ functie alleen naar een locatie kijkt. Waarom niet een bestandsversie check? In dat geval zou Windows Intune kunnen checken welke versie van de applicatie is geïnstalleerd in het geval dat versie 12.0 en 12.4 op dezelfde locatie terecht komen (en je toch je software goed wil indexeren).

Bij de upload kun je kiezen om naast de executable of MSI ook alle andere bestanden in dezelfde directory en sub-directories mee te kopiëren, mochten deze nodig zijn voor de installatie.

 

De volgende keer gaan we verder kijken naar het daadwerkelijk installeren van software op de clients en het installeren van Windows Updates.

Meer info: