Image: Microsoft Intune
Image
Actueel — Blog

Microsoft Intune

26 oktober 2018
Auteur: Peter Thijssen

Controle over al uw werkplekken is vandaag de dag steeds belangrijker, zeker in een wereld waar steeds meer apparaten, zowel zakelijk als privé, de mogelijkheid hebben om toegang te krijgen tot uw (kritische) bedrijfsdata. Hoe zorg ik dat al deze werkplekken inzichtelijk zijn en nog belangrijker: Hoe zorg ik dat deze voldoen aan de door mij gestelde (beveiligings) eisen. Waar traditioneel beheer vaak nog afhankelijk is van oplossingen zoals Microsoft System Center Configuration Manager voor het beheer van lokale (lees: intern verbonden) werkplekken, is er in de moderne IT-wereld vraag naar een oplossing voor zowel interne als externe werkplekken.

Dit blog vertelt u over de verschillende mogelijkheden welke Intune uw organisatie kan bieden.

Waarom Microsoft Intune?

“Ik wil al mijn werkplekken, zowel binnen- als buiten de organisatie, ten aller tijde voorzien van de laatste Windows Updates, en inzichtelijk hebben wanneer dat niet zo is.”
“Mijn werknemers maken steeds vaker gebruik van hun eigen apparaten om toegang te krijgen tot bedrijfsgegevens. Hoe zorg ik ervoor dat ik hier grip op houd.”

Microsoft Intune helpt u onder andere bij deze vraagstukken en biedt het beste van beide werelden in de controle over uw complete gebruikerslandschap. Microsoft beschrijft Intune als: Een clouddienst voor het beheren van bedrijfsmobiliteit (Enterprise Mobility Management, EMM) die uw werknemers in staat stelt om productief te zijn terwijl uw zakelijke gegevens veilig blijven.
Met Intune kunt u de medewerkers in uw organisatie vanaf vrijwel elk apparaat beveiligde toegang verschaffen tot uw bedrijfstoepassingen en gegevens. Dit is te realiseren op de volgende besturingssystemen:

  • Windows 10 (Home, S, Pro, Education, Enterprise en Mobile)
  • Windows 10 Mobile, IoT (Mobile) Enterprise
  • Apple iOS 9.0 en hoger
  • Mac OS X 10.11 en hoger
  • Android 4.4 en hoger
  • Windows Holographic for Business
  • Windows Phone 8.1, Windows 8.1 RT en pc’s met Windows 8.1 (Sustaining modus)

U kunt hierbij onder andere denken aan:

  • Het beveiligen van uw e-mail en gegevens, zowel on-premise als Office 365, wanneer deze geopend worden vanaf mobiele apparaten.
  • Het aanbieden van een Bring Your Own Device (BYOD) regeling aan bijvoorbeeld uw werknemers, maar mogelijk ook aan gasten en zelfs klanten.
  • Het vereenvoudigen van het uitleveren van uw nieuwe hardware door middel van AutoPilot. Hiermee kan een werkplek “out-of-the-box” uitgeleverd worden en wordt deze geconfigureerd op het moment dat uw werknemer zich aanmeld.
  • Apparaten in een kiosk-mode aanbieden aan uw werknemers.

Over bovengenoemde mogelijkheden zal hieronder verder over worden ingegaan.

Beveiliging

Intune en Microsoft Enterprise Mobility + Security (EMS) biedt een geïntegreerde oplossing voor uw lokale Exchange server, welke er voor kan zorgen dat geen enkel apparaat of toepassing toegang heeft tot uw e-mail totdat deze geregistreerd zijn bij Intune. Daarnaast bied Intune de mogelijkheid om toegang te verlenen tot uw on-premises applicaties en data door gebruik te maken van de Microsoft Azure Active Directory Application Proxy.

Voor het verlenen van gecontroleerde toegang tot Office 365 diensten bied EMS een geïntegreerde oplossing, door gebruik te maken van zogenaamde “Conditional Access”. Hiermee kan worden verzekerd dat toegang tot uw bedrijfsdata in bijvoorbeeld Exchange Online of SharePoint Online, pas gegeven wordt op het moment dat uw medewerkers, apparaten of applicaties voldoen aan de door u gestelde voorwaarden voor uw geregistreerde entiteiten. Denk hierbij aan het verplichten van het gebruik van mobiele Office apps (Outlook for iOS, Word for iOS e.d.) en deze apps vervolgens zo in te richten dat het uw medewerkers niet mogelijk maakt om tekst uit e-mail te kopiëren. Dit kan ook worden toegepast op persoonlijke apparaten van uw medewerkers (BYOD) zonder dat deze geregistreerd zijn in Intune, maar wel toegang vragen tot uw data of applicaties.

Bring Your Own Device (BYOD)

Het komt steeds vaker voor: medewerkers welke graag gebruik willen maken van persoonlijke apparaten. Hoe gaat u daar mee om? U wilt tenslotte niet dat deze een risico vormen voor uw kostbare bedrijfsgegevens. Intune bied de mogelijkheid om deze apparaten te registreren en hier vervolgens uw beleid op toe te passen. Daarnaast is het ook mogelijk om gebruik te maken van App Restriction policies, waarmee het niet noodzakelijk is om deze te registreren met Intune.

De voordelen van een BYOD programma liggen, naast het feit dat gebruikers meer vertrouwd zijn met een apparaat wat ze zelf gekozen hebben, vooral in de kosten die u als organisatie bespaart. U hoeft de apparaten niet zelf aan te schaffen, en ook onderhoud en reparatie zullen voor rekening van uw werknemer zijn. (Bron: Cisco) Daarnaast zijn werknemers sneller geneigd om hun apparaten sneller te vervangen, een fenomeen wat zeker bij mobiele telefoons terug te zien is. Werknemers wisselen over het algemeen eens in de 2 jaar van toestel, wat automatisch betekent dat deze dan weer voorzien is van de laatste technologieën, bijvoorbeeld op het gebied van beveiliging. Daarnaast bied Apple sinds 2 jaar Automatic Downloads aan op iOS apparaten. Deze attendeert de gebruiker van zo een toestel op nieuwe updates, waardoor ze sneller geneigd zijn om deze ook te installeren. Ook deze aanpak helpt bij het beveiligd houden van deze apparaten.

Feiten:

  • Medewerkers zijn productiever wanneer zijn hun eigen apparaat mogen gebruiken. In Amerika besparen medewerkers gemiddeld 81 minuten per week door het gebruik van persoonlijke apparaten. (Bron: Cisco)
  • 49% van de medewerkers geeft zelf ook aan dat zij zichzelf productiever vinden door het gebruik van persoonlijke apparaten. (Bron: Forbes)
  • 78% van de medewerkers vinden dat het gebruik van één enkel apparaat voor zowel zakelijk als privégebruik, helpt in het vinden van een balans tussen privé- en werktijd. (Bron: Samsung)

Voordat u begint met het implementeren van een BYOD strategie, kunt u uzelf de volgende vragen stellen:

  • Hoe gevoelig zijn mijn bedrijfsgegevens?
  • Welke apparaten ga ik ondersteunen?
  • Hoeveel IT-personeel heb ik beschikbaar?
  • Hoeveel medewerkers zijn er?
  • Ga ik onderscheid maken in het toepassen van het beleid tussen medewerkers en management?

Op basis van de bovenstaande vragen kunt u bepalen welke veranderingen hiervoor nodig zijn in uw huidige IT-landschap, en zelfs wat deze wijzigingen u financieel en materieel kunnen opleveren.

Automatisering met AutoPilot

Windows AutoPilot stelt u in staat om uw apparaten (bijna) volledig geautomatiseerd bekend te maken aan uw Azure Active Directory, en te registreren met Intune. Vervolgens kunt u via de Intune portal specifieke instellingen naar uw wens inrichten. Hiermee bent u geen onnodige tijd meer kwijt aan het handmatig inrichten van uw werkplekken en zijn deze direct gestandaardiseerd. Dit concept heet “Near Zero Touch” en levert direct kostenbesparing op. Dit is vooral merkbaar doordat er geen of minder tijd besteed wordt aan het beheren van uw custom images en het uitrollen hiervan.

Kiosk

Er zijn situaties waarin het aanbieden van een “dichtgetimmerde” werkplek noodzakelijk. Denkt u hierbij aan werkplekken welke publiek beschikbaar zijn, of tablets of telefoons welke in de zorg gebruikt worden bij patiëntbezoeken. Hier kan het Kiosk principe een uitkomst bieden. Deze functionaliteit is op te splitsen in een tweetal modellen:

  • Single full-screen app kiosks: In deze modus bied u een apparaat aan waarmee enkel één specifieke applicatie gebruikt kan worden. U bied hier bijvoorbeeld een browser of bedrijfsspecifieke applicatie mee aan, zoals bijvoorbeeld een aanmeldsysteem voor bezoekers.
  • Multi-app kiosks: Het principe van een multi-app kiosk is vergelijkbaar met bovengenoemde modus, enkel heeft u hier de mogelijkheid een door u te bepalen set aan applicaties beschikbaar te stellen. In de zorgsector kunt u hier bijvoorbeeld denken aan een browser om uw intranet te benaderen, een elektronisch patiëntendossier en toegang tot MS Outlook.

In een volgend blog zal ik meer gaan vertellen over Windows Update met behulp van Intune, en ook de verschillende licentietypen. Heeft u naar aanleiding van het lezen van dit blog vragen of wilt u meer informatie over Windows Intune? Neem dan contact op met PQR of met mij (peter.thijssen@pqr.nl).

Geplaatst door

Peter Thijssen