Dag 2: Windows Intune–The Grill

Deel 2 van de Windows Intune review. De vorige keer heb ik gekeken naar het installeren van Windows Intune en het gedeelte waarin software klaargezet kan worden voor gebruikers.

Software Installatie

intune40

Pc’s en laptops zijn in te delen in groepen. Aan deze groepen kun je vervolgens software toekennen. Deze manier kennen we van WSUS, SCE en SCCM. Bij het toekennen kun je ook een deadline aangeven om aan te geven hoe snel de software moet worden geïnstalleerd. Software met een deadline die snel verloopt, zal met voorrang door de Intune client worden gedownload. Dit downloaden gebeurd via het bits-protocol, dus alleen als je je netwerkverbinding niet veel gebruikt, op de achtergrond. Is alles binnen, dan geeft Intune je een seintje om de installatie af te trappen.

intune7Windows Intune geeft je echter maar zeer weinig informatie terug over deze installatie. Eigenlijk is het niet meer dan ‘het is gelukt’ of ‘het is mislukt’. Bij de laatste zit vervolgens een code waar je eigenlijk niets aan hebt. Kijk je lokaal in de eventviewer van de machine, dan is veel meer informatie te vinden waarom de installatie is mislukt. Ik kan alleen maar hopen dat Microsoft deze informatie in het vervolg ook in de console weergeeft, in plaats van de nietszeggende fout code. Bij installatie via een executable is het helemaal nauwelijks terug te vinden wat er mis ging en moet je hopen dat de applicatie een logfile bijhoudt die je als beheerder kan inzien op de machine waar het op zou moeten komen.

Patches

Windows Intune geeft niet de mogelijkheid om rechtstreeks patches te installeren. Dit gemis komt uit al uit de tijd dat er alleen GPO was om de installatie door te voeren. Later bevatte ook System Center Essentials niet de mogelijkheid om dit rechtstreeks te doen, ondanks dat MSI uitrol wel wordt ondersteund. Ook bij Windows Intune moet je noodgrepen uithalen, bijvoorbeeld via het installeren via een Administrative Installation waar je de patch in verwerkt. Dit werkt echter alleen bij een MSI. Bij een update via een executable of nieuwe versie van de software, waarbij je de software wil de-installeren, loop je tegen een probleem aan. Hoe zorg je er voor dat de de-installatie (wat volgens Intune een installatie is) plaatsvind voordat je de nieuwe versie installeert. Dit probleem geldt overigens ook voor het installeren van software waar afhankelijkheden in zitten. Je kunt niet afdwingen in welke volgorde de software wordt geïnstalleerd. Ook dat probleem is een oude bekende binnen GPO en SCE. Via GPO’s was dit nog op te lossen, in SCE al niet meer en in Windows Intune moet je ook maar hopen dat het in de juiste volgorde gebeurd.

Software rapportage

intune41Het software overzicht in Windows Intune geeft redelijk overzicht welke software er klaar staat geïnstalleerd te worden en op hoeveel clients de software al staat. Doorklikken geeft vervolgens een gedetailleerde beeld over welke clients het gaat. Ik kan me echter voorstellen dat dit overzicht niet duidelijk is op het moment dat je een kleine 200 clients beheerd met 50-100 applicaties.

intune42Naast de door de beheerder ingevoerde applicaties is er ook een rapport op te vragen over alle geïnstalleerde/gedetecteerde software op de clients. Hier komt echter het versie probleem weer terug. In de rapporten staat bijvoorbeeld dat bepaalde software 3 maal is geïnstalleerd. Door klikken levert echter op dat het pakket 3 maal op dezelfde pc staat, maar telkens met een ander versie nummer. Dit maakt het rapport vrijwel onbruikbaar voor het nalopen van je licenties. De vraag is ook of het licentie beheer systeem wat in Windows Intune zit, niet dezelfde ‘fout’ bevat in de rapportage. Helaas kan ik dat gedeelte niet testen, omdat ik geen licenties heb om in te voeren en ik de ‘custom’ licentie niet goed werkend krijg.

Morgen gaan we verder met dag 3. Deze dag bekijken we de mogelijkheid tot het installeren van updates en de virusscanner.