Na Windows Intune goed aan de tand te hebben gevoeld, maken we nu een afsluiting met de eindconclusie aan de hand van de vragen die ik in het begin heb gesteld.
Is Windows Intune een goede vervanger voor SCCM, SC Essentials of RES Automation Manager.
Voor kleine omgevingen lijkt Windows Intune een goede vervanger van bovenstaande producten, al zijn er minder mogelijkheden met het uitrollen van software. Voor laptops die vrijwel nooit op kantoor komen, komt het beter uit de verf dan de concurrenten, aangezien alles via de cloud loopt en laptops dus ook de updates krijgen als ze aan de andere kant van de wereld verbinding zoeken met internet. Ik mis echter een goede patch functie, zodat msp’s gemakkelijk uitgerold kunnen worden. RES Automation Manager en SCCM bieden echter veel meer mogelijkheden op gebied van software uitrol en kunnen ook software uitrollen naar servers.
In hoeverre kan Windows Intune mij een goed overzicht geven van al mijn hardware en software
De rapporten voor hardware en software inventorisatie zijn er wel. Echter, ik vind ze persoonlijk niet handig in gebruik. RES AM biedt bijvoorbeeld de mogelijkheid om de software en hardware lijst te exporteren naar excel of gelijken/verschillen aan te geven en geeft ook direct aan bij welke clients de software/hardware gevonden kan worden. Voordeel is echter wel dat inventorisaties ook via de cloud binnenkomen en de client dus geen verbinding hoeft te hebben met kantoor, maar alleen met internet, om zijn inventorisatie op te sturen.
Kan Windows Intune mij helpen in het beheer van lastig te bereiken hardware, zoals laptops van gebruikers die bijna nooit op kantoor zijn (denk aan updates van bedrijfsapplicaties en updaten van windows/microsoft producten).
Dit is echt het grootste pluspunt van Windows Intune ten opzichte van alle concurrenten. Beheer op afstand is nog nooit zo makkelijk geweest.
Is Windows Intune makkelijk te beheren/configureren
Het instellen gaat op zich best gemakkelijk. In een klein uurtje heb je de hele basis configuratie wel klaar. Waar je wel zelf over moet nadenken is hoe je de Windows Intune client op de machines van de gebruiker krijgt. De Windows Updates en software ter installatie toevoegen kan in het begin even wat tijd kosten, maar is daarna vrij makkelijk en simpel bij te houden.
In hoeverre is beheer binnen Windows Intune te splitsen
Dit is vrijwel niet te doen. Enige wat je kan instellen is Full Control of Only Read Rights. Meer keuze heb je niet, terwijl dit soms wel wenselijk is. Zeker als in de toekomst mogelijk ook een kleine hoeveelheid servers beheerd kunnen worden, moet dit wel geregeld worden. En soms is scheiding helpdesk (hulp op afstand module) en beheer (windows update) wenselijk (ook binnen kleinere bedrijven) en deze is op dit moment niet te maken.
Dus zou ik Windows Intune aanraden? In sommige situaties wel. Misschien is zelfs een hybride omgeving, waarbij Windows Intune gemixed wordt met een concurrent, soms wel mogelijk. Windows Intune staat echter, nog in de kinderschoenen. Ik kom veel kleine dingen tegen die ik ook al hinderlijk vond in System Center Essentials. Ik hoop dat Microsoft die kleine dingen nog oplost, zoals het installeren van patches, kunnen installeren via een batch-file, server beheer en beheer splitsing… en het product kan veel meer worden buitengezet.
Deel 2 van de Windows Intune review. De vorige keer heb ik gekeken naar het installeren van Windows Intune en het gedeelte waarin software klaargezet kan worden voor gebruikers.
Software Installatie
Pc’s en laptops zijn in te delen in groepen. Aan deze groepen kun je vervolgens software toekennen. Deze manier kennen we van WSUS, SCE en SCCM. Bij het toekennen kun je ook een deadline aangeven om aan te geven hoe snel de software moet worden geïnstalleerd. Software met een deadline die snel verloopt, zal met voorrang door de Intune client worden gedownload. Dit downloaden gebeurd via het bits-protocol, dus alleen als je je netwerkverbinding niet veel gebruikt, op de achtergrond. Is alles binnen, dan geeft Intune je een seintje om de installatie af te trappen.
Windows Intune geeft je echter maar zeer weinig informatie terug over deze installatie. Eigenlijk is het niet meer dan ‘het is gelukt’ of ‘het is mislukt’. Bij de laatste zit vervolgens een code waar je eigenlijk niets aan hebt. Kijk je lokaal in de eventviewer van de machine, dan is veel meer informatie te vinden waarom de installatie is mislukt. Ik kan alleen maar hopen dat Microsoft deze informatie in het vervolg ook in de console weergeeft, in plaats van de nietszeggende fout code. Bij installatie via een executable is het helemaal nauwelijks terug te vinden wat er mis ging en moet je hopen dat de applicatie een logfile bijhoudt die je als beheerder kan inzien op de machine waar het op zou moeten komen.
Patches
Windows Intune geeft niet de mogelijkheid om rechtstreeks patches te installeren. Dit gemis komt uit al uit de tijd dat er alleen GPO was om de installatie door te voeren. Later bevatte ook System Center Essentials niet de mogelijkheid om dit rechtstreeks te doen, ondanks dat MSI uitrol wel wordt ondersteund. Ook bij Windows Intune moet je noodgrepen uithalen, bijvoorbeeld via het installeren via een Administrative Installation waar je de patch in verwerkt. Dit werkt echter alleen bij een MSI. Bij een update via een executable of nieuwe versie van de software, waarbij je de software wil de-installeren, loop je tegen een probleem aan. Hoe zorg je er voor dat de de-installatie (wat volgens Intune een installatie is) plaatsvind voordat je de nieuwe versie installeert. Dit probleem geldt overigens ook voor het installeren van software waar afhankelijkheden in zitten. Je kunt niet afdwingen in welke volgorde de software wordt geïnstalleerd. Ook dat probleem is een oude bekende binnen GPO en SCE. Via GPO’s was dit nog op te lossen, in SCE al niet meer en in Windows Intune moet je ook maar hopen dat het in de juiste volgorde gebeurd.
Software rapportage
Het software overzicht in Windows Intune geeft redelijk overzicht welke software er klaar staat geïnstalleerd te worden en op hoeveel clients de software al staat. Doorklikken geeft vervolgens een gedetailleerde beeld over welke clients het gaat. Ik kan me echter voorstellen dat dit overzicht niet duidelijk is op het moment dat je een kleine 200 clients beheerd met 50-100 applicaties.
Naast de door de beheerder ingevoerde applicaties is er ook een rapport op te vragen over alle geïnstalleerde/gedetecteerde software op de clients. Hier komt echter het versie probleem weer terug. In de rapporten staat bijvoorbeeld dat bepaalde software 3 maal is geïnstalleerd. Door klikken levert echter op dat het pakket 3 maal op dezelfde pc staat, maar telkens met een ander versie nummer. Dit maakt het rapport vrijwel onbruikbaar voor het nalopen van je licenties. De vraag is ook of het licentie beheer systeem wat in Windows Intune zit, niet dezelfde ‘fout’ bevat in de rapportage. Helaas kan ik dat gedeelte niet testen, omdat ik geen licenties heb om in te voeren en ik de ‘custom’ licentie niet goed werkend krijg.
Morgen gaan we verder met dag 3. Deze dag bekijken we de mogelijkheid tot het installeren van updates en de virusscanner.
Ongeveer een week geleden vroeg Microsoft op Twitter of er nog mensen waren die Windows Intune aan een zware test wilden onderwerpen en hun ongezouten mening erover wilden geven. Ik vond het wel een leuk idee en heb me opgegeven om vervolgens uitgeloot te worden. In de komende 10 dagen ga ik kijken of ik tenminste om de 2 dagen een update kan geven over de positieve en negatieve zaken van Windows Intune
Uiteraard kan dat niet zonder mezelf een doel te stellen. Wat wil ik (of wat verwacht ik dat klanten) met Windows Intune willen bereiken. Ik kwam tot het volgende lijstje met vragen of zaken die ik beantwoord wil hebben (mogelijk komen er nog meer):
Is Windows Intune een goede vervanger voor SCCM, SC Essentials of RES Automation Manager. Hierbij vooral gekeken op gebied van updates beheren en software installatie.
In hoeverre kan Windows Intune mij een goed overzicht geven van al mijn hardware en software
Kan Windows Intune mij helpen in het beheer van lastig te bereiken hardware, zoals laptops van gebruikers die bijna nooit op kantoor zijn (denk aan updates van bedrijfsapplicaties en updaten van windows/microsoft producten).
Is Windows Intune makkelijk te beheren
In hoeverre is beheer binnen Windows Intune te splitsen
In de allerlaatste blog hierover kom ik terug op deze vragen om ze te beantwoorden (zover ik kan)
De eerste dag
De eerste dag staat uiteraard in teken van spielerij. Even een aantal zaken uitproberen om te zien hoever we er mee komen, zonder diep in de materie in te gaan. Tevens dingen testen die eigenlijk niet ondersteund worden, zoals het gebruik van Windows 8.
Activeren van Windows Intune en installatie van de client
Het aanmelden voor Windows Intune gaat vrij makkelijk. Je moet er als bedrijf alleen voor zorgen dat je een Windows Live account hebt. Zorg ervoor dat deze niet op naam wordt gezet van een gebruiker, maar op een afdelings- of beheeraccount binnen je bedrijf. Dit voorkomt problemen als het ‘hoofd Windows Intune’ er na enkele maanden vandoor gaat. Dit account krijgt namelijk de grootste rechten binnen Windows Intune (Pachterbeheerder) en kan alleen via Microsoft Online Services gewijzigd worden. (tip: gebruik hiervoor het account waarop u ook uw Microsoft Licenties beheert)
Na aanmelden kun je na een kleine 15 minuten inloggen op de website http://manage.microsoft.com. Daar kun je als eerste de client downloaden. Deze bestaat uit een executable en een certificaat. Deze client moet je op een of andere manier op je clients krijgen. Een hekel punt, want de meesten zullen juist met Windows Intune hun software gaan verspreiden. Mogelijk is deze in het image te plaatsen of via een stille installatie door MDT. Een extra puntje voor me om naar te kijken.
Spielerij
Na de client te hebben gedownload heb ik hem direct op mijn Windows 8 testmachine geïnstalleerd. Via Twitter had ik vernomen dat Windows 8 namelijk niet ging werken. De installatie van de client deed er langer over dan op een andere machine die ik tot mijn beschikking heb. Echter, geen foutmeldingen. De Update Service en Endpoint protection draaien zonder problemen. De Windows Intune Manager ziet het echter als Windows XP 64bit. Op zich interessant, want de client heeft een 32bit versie van de Intune Center geïnstalleerd. Geeft wel weer aan waarom Windows 8 niet wordt ondersteund door Windows Intune (al verwacht ik dat dit bij de volgende update voorbij is).
De client op de Windows 8 machine krijgt al snel een update voor zijn kiezen, die van de 64bit Windows Intune Center. Die krijgt hij echter niet geïnstalleerd. Tot zover de Windows 8 test.
Software installatie voorbereiding
Windows Intune kan overweg met twee type installaties: MSI en Executable. Daarbij moeten beide vormen wel stil kunnen worden geïnstalleerd. Bij een MSI is dat eenvoudig te testen. Via een commandline msiexec.exe /i naam.msi /qb wordt een msi stil geïnstalleerd. Als een leverancier zich netjes aan de regels van MSI hebben gehouden is dat geen probleem. Helaas komt het nog wel eens voor dat dit niet gebeurd. Executables zijn een ander verhaal. Deze moet je ‘stil’ kunnen instelleren. Meestal lukt dit wel via /s, /silent, /q of /quiet gecombineerd met andere opties.
Het uploaden van software gaat een beetje onhandig. Voor elke applicatie moet je een upload wizard doorlopen, die telkens weer vraagt om je inloggegevens. Dit is op te lossen door een vinkje te zetten om je gebruikersnaam en wachtwoord te onthouden, maar de vraag is hoe veilig dat is. De vraag is dan ook of je voor veiligheid gaat, of maar telkens je gebruikersgegevens invoert. Dat laatste ging mij in ieder geval na twee applicaties behoorlijk vervelen. Daarnaast vraagt hij na het sluiten van je volledige browser, telkens weer of je de upload-wizard wel wil draaien. Het lijkt erop dat de software niet ‘gesigned’ is, waardoor mijn computer de software niet vertrouwd. Erg slordig als je het mij vraagt.
Ander minpuntje is dat de uploader de MSI niet uitleest. Na het selecteren moet je alsnog invullen wie de fabrikant is, wat de naam van de software is en welke versie het om gaat. De meeste MSI’s hebben dit gewoon al in hun properties staan, net als de meeste executables.
Dan het laatste probleempje in het toevoegen van de applicaties, je moet handmatig regels ter herkenning maken bij executables. Daarmee kan Windows Intune herkennen of de software al op verschillende machines staat. Daarbij kun je een MSI GUID opgeven, althans, alleen als je een msi hebt. Vreemde optie als je net een executable hebt geüpload, aangezien je dan meestal de MSI juist niet hebt. Een groot gedeelte van executables installeren wel MSI’s, maar de GUID ervan kan ik niet met de hand invoeren.
Naast de MSI regel zijn er nog twee anderen: bestandlocatie en registrykey. En ook hier moet ik helaas negatief over zijn. De bestandslocatie checked alleen of een bestand op een bepaalde locatie staat. Daarbij blijft even onduidelijk of %ProgramFiles% (standaard keuze) op een 64bit systeem verwijst naar c:\program files en c:\program files (x86) of maar naar een van die locaties. Hetzelfde geldt voor een registrykey die mogelijk naar HKLM\Software\Wow6432node of naar HKLM\Software gaat. Nog irritanter is dat de ‘bestandslocatie’ functie alleen naar een locatie kijkt. Waarom niet een bestandsversie check? In dat geval zou Windows Intune kunnen checken welke versie van de applicatie is geïnstalleerd in het geval dat versie 12.0 en 12.4 op dezelfde locatie terecht komen (en je toch je software goed wil indexeren).
Bij de upload kun je kiezen om naast de executable of MSI ook alle andere bestanden in dezelfde directory en sub-directories mee te kopiëren, mochten deze nodig zijn voor de installatie.
De volgende keer gaan we verder kijken naar het daadwerkelijk installeren van software op de clients en het installeren van Windows Updates.
