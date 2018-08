Microsoft bracht Intune uit in 2011 en een jaar later werd MDM-capaciteit toegevoegd. Intune is een belangrijk onderdeel van de Enterprise Mobility Suite, waar ook Azure Active Directory en Office 365 in gebundeld zijn. Op zijn simpelste niveaus gezien levert Intune Enterprise Mobility Management (EMM) via de cloud.

Intune lijkt op een aantal manieren op andere EMM-pakketten van bijvoorbeeld Vmware (AirWatch), MobileIron (MobileIron Cloud) of IBM (Maas360). Voor een groot deel gebruikt Microsoft de EMM en MDM-mogelijkheden van het mobiele platform dat wordt ondersteund, iOS en Android (hoewel het desktopplatforms als Windows 10 en macOS ondersteunt - waar we zo op terugkomen). Het speelveld van EMM-leveranciers is behoorlijk gelijk omdat ze allemaal dezelfde set aan beveiligings- en beheeropties leveren.

Integratie met AD en Office

Microsofts pakket is op twee belangrijke manieren uniek. Ten eerste is Microsoft-software, inclusief de Active Directory, de meest geïmplementeerde IT-stack van bedrijven. Ten tweede produceert Microsoft ook Office en Office 365, wat door vrijwel ieder bedrijf wordt gebruikt. Om die reden is Intune diep geïntegreerd in Office 365, vooral op het gebied van licentiëring, en kan Microsoft EMM diep integreren met Office-applicaties.

Geen van deze unieke voordelen maakt Intune het beste als het gaat om mobiel beheer, maar het zijn wel factoren om mee te wegen als je EMM-opties bekijkt. Als je het bij één leverancier houdt voor de infrastructuur, is het logisch om de EMM-opties van die leverancier te bekijken. Omdat Microsoft al groot is in de zakelijke wereld, heeft het een thuisvoordeel.

Met dat in het achterhoofd: een van de grootste voordelen is de integratie met die twee andere zakelijke cloudoplossingen: Azure AD en Office 365. Je kunt mobiele beheertaken toepassen via de beheertools van de drie platformen, met het beheer van gebruikers in Office 365 en apparaten en toegang in Azure AD. Het is geen verrassing dat Microsoft ze als geïntegreerd geheel aanbiedt. Let op: zelfs als Intune wordt gebruikt zonder deze andere Microsoft-componenten, hebben IT-beheerders nog steeds de webportals nodig om Intune te gebruiken voor continu beheer en monitoring.

Het dashboard van Intune

Intune kan ook worden geïntegreerd in System Center Configuration Manager (SCCM). Dit was oorspronkelijk een connector, maar Microsoft kondigde deze maand aan dat deze hybride implementatie verdwijnt en dat de 'co-management' oplossing die vorig jaar verscheen de manier wordt. In deze oplossing is SCCM de hoofdmethode om apparaten te beheren in Intune. (Omdat dit vaak de primaire interface is voor veel lokale netwerk- en systeembeheer, betekent dit in de praktijk vaak de SCCM sowieso wordt gebruikt als de connector is geconfigureerd.)

Soortgelijke EMM-opties

Voor mobiele apparaten volgt Intune de mogelijkheden die de gekoppelde platforms bieden. Microsoft implementeert Apple's iOS- en macOS-beheer via het MDM-protocol van het bedrijf, inclusief de dienst Apple Push Notifications (APN) en Google's Android for Work. (Intune ondersteunt ook Samsungs KNOX.)

De verschillende opties en commando's die beschikbaar zijn - afhankelijk van het platform en de gebruikte OS-versie - omvatten onder meer inventaris van de apparaten, updates, op afstand wissen (zakelijke data of volledig apparaat), zakelijke app-uitrol, configuratie, beveiligingsregels en de mogelijkheid voor geautomatiseerde monitoring. Wanneer dat kan ondersteunt Intune ook conditionele toegang en rollen die policy's dynamisch toepassen.

Je kunt uiteraard verschillende regels instellen bij de enrollment.

Net als met andere EMM-opties, kun je met de portal (Intune Company Portal) die beschikbaar is in de app-stores van de apparaten enrollment starten.

Een van de dingen die Intune aantrekkelijk maakt voor bedrijven is de mogelijkheid om pc's te beheren, naast mobiele apparaten. Die optie is voornamelijk gericht op Windows 10, wat geleverd wordt en gelicentieerd is al een dienst. Intune brengt onderscheid aan tussen pc's en mobiele apparaten en, afhankelijk van het enrollment-mechanisme dat is gebruikt, kan pc's als apparaten of computers classificeren.

Van AD-policy's naar MDM

Dat betekent dat er een aantal verschillende pc-beheeropties zijn, wat misschien een klein onderscheid lijkt, maar dit semantische verschil is ook een conceptuele. Pc's kunnen worden geconfigureerd, beheerd en uitgerold met Active Directory's Groepsbeleid. Dat is de traditionele optie en de basis van Windows-pc-beheer de afgelopen twintig jaar. Het is de standaard voor elke systeembeheersafdeling als het gaat om systeembeheer. Maar net als Apple jaren geleden, heeft Microsoft besloten om geen AD-poliy's maar MDM-beleid toe te passen.

Niemand verwacht dat Groepsbeleid met pensioen wordt gestuurd, maar het is in dit tijdperk logisch voor een organisatie om te kijken of pc's ook kunnen worden uitgerold via dezelfde omgeving als mobiele apparaten. Intunes' mogelijkheden qua enrollment en zelfbediening zijn in sommige situaties logisch, vooral als BYOD wordt gebruikt of er externe partijen in het bedrijf meewerken. MDM is namelijk veel meer lichtgewicht dan het koppelen van een apparaat aan de Active Directory en er een reeks policy's uit Groepsbeleid op toe te passen.

Hoe breed een IT-afdeling pc-beheer op deze manier wil toepassen, hangt af van het soort organisatie en specifieke scenario's. Veel bedrijven hebben policy's die diepe wortels hebben en van elkaar afhankelijk kunnen zijn. De scope en schaal van zelfs een middelgrote organisatie kunnen behoorlijk groot zijn en het komt vaker voor dat er ongedocumenteerd Groepsbeleid is dat mogelijk op een later moment opeens relevant blijkt.

Simpeler systeembeheer

Het migreren van al die policy's naar Intune lijkt een forse klus, afhankelijk van hoe complex je AD-omgeving is. Het kan hoe dan ook goed zijn om pc-beheer vanuit een frisse hoek te bekijken, of het nu via Intune of een andere EMM-leverancier is. Experimenteren met deze opties kan systeembeheer vereenvoudigen. Zelfs een fractie van pc's migreren naar een MDM-opzet kan de prestaties verbeteren omdat er minder policy's hoeven te worden toegepast bij het opstarten.

Je kunt Intune ook gebruiken om Macs te beheren. MacOS-beheer is gebaseerd op hetzelfde MDM-protocol en functionaliteit van iOS, hoewel de daadwerkelijke beleidsopties kunnen verschillen afhankelijk van de beschikbare desktops en laptops. Net als met iOS betekent Apple's aanpak dat Intune dezelfde capaciteiten biedt als andere EMM-leveranciers, hoewel we hierbij moeten opmerken dat sommige leveranciers - met name JAMF - aanvullende Mac-beheertools leveren die verder gaan dan de gemiddelde EMM-software.

Het resultaat is dat beheerders moeten bepalen hoe breed hun beheer en uitrol van Macs op de werkvloer (en van externe partijen) moet zijn om te zien welke EMM-tool geschikt is. Intune is een goede optie en stelt je in staat om Macs te beheren naast andere (mobiele) apparaten en pc's. Als je een klein aantal Macs hebt, ben je waarschijnlijk goed af met Intune. Als je een Mac-centrische organisatie bent, verdient het aanbeveling goed te kijken naar andere opties.

Conclusie

Het komt erop neer dan Intune een prima en schaalbare oplossing is als EMM-product. Microsoft stapte een beetje laat op deze boot, maar heeft goed werk geleverd om de rest van de vloot bij te benen. Het is voor de meeste organisaties wellicht de simpelste optie, uit zowel technisch al licentie-perspectief. Of Intune of een andere optie het beste voor jou is, hangt dus grotendeels af van je huidige IT-omgeving en de richting die je de komende jaren opgaat.