הגדרת MDM authority (תשתית Intune)

(סדרת מאמרים קצרים לביצוע הגדרות בשירות Intune)

בשלבים הראשונים של הגדרת Intune לניהול תחנות קצה מבוססים Windows 10 אנו צריכים לבצע מספר הכנות אשר כוללות הפעלת השירות, הגדרת דרכי רישום (Windows Device, iOS וכן הלאה) והגדרת רכיבים נוספים.

סוגי MDM authority

שלב נוסף בהקמה והגדרה של שירות Intune הוא בחירת והגדרת MDM authority אשר מושפע מתצורת הסביבה והמערכות המבצעות ניהול תחנות מבוססות Windows 10.

לבחירת MDM authority ישנם השלכות על האופן שבו אנו מנהלים תחנות קצה ומכשירים חכמים ועל האופן שבו התקני קצה נרשמים וצורכים את המדיניות הארגונית. כלומר בחירת MDM authority אינה משהו אשר משנים כל יום ובפרט אם ישנם התקני קצה אשר מנוהלים במערכת אחרת.

בפועל ניתן לבחור רק שני סוגי MDM authority, אך רשמית ישנם שלושה סוגי MDM authority שעמם ניתן לעבוד מול Intune:

Intune Standalone – שירות Intune בענן בלבד אשר מוגדר מול שירות Office 365 ומאפשר אינטגרציה עם כלל שירותי הענן והרכיבים הקיימים כדוגמת Azure AD, MCAS, MDATP וכן הלאה.

מכיל את כלל האפשרויות הקיימות בשירות Intune של ניהול כדוגמת הגדרת מדיניות אבטחה, פרסום אפליקציות ועדכונים וכו’. בנוסף תומך בכלל התקני הקצה הקיימים כולל צד שלישי וכן אינטגרציה המבוססת על Intune Graph API.

Intune Co-Management – תצורת היברידית של Intune יחד עם SCCM, בתרחיש מסוג זה ניתן לבחור מהי הפלטפורמה שתחיל את המדיניות ותאפשר ניהול של התקני הקצה.

בתרחיש כזה ישנן הגדרות שאינן ניתנות להגדרה בשני הצדדים בו זמנית, למשל הגדרת Device Compliance יכולה להיעשות ע”י Intune או SCCM על תחנות Pilot בלבד או על כלל תחנות הקצה בארגון, כלומר רק פלפטפורמה אחת מנהלת התקני קצה ומכילה פוליסי ארגוני.

Mobile Device Management for Office 365 – שירות Intune חלקי בענן בלבד המאפשר יכולות מסוימות של Intune ומנוהל באופן חלקי מתוך Azure Portal, וכמובן שאינו אינו מאפשר את כלל אפשרויות ויכולות האינטגרציה מול שירותי הענן של Microsoft.

בעבר נקרא Office 365 MDM ולכן ניתן לניהול גם מתוך אפשרויות Security & Compliance.

הגדרת MDM authority

הגדרת MDM authority צריכה להיעשות בהתאם לתרחיש שאנו נמצאים בו, כלומר:

סביבת ענן – במידה והארגון אינו מנוהל עם מערכת MDM לניהול התקני קצה, אז הבחירה של MDM authority הינה פשוטה ומצריכה הכנת דרישות סף (בעיקר רישוי) והגדרה פשוטה של MDM authority בלבד.

סביבה היברידית – במידה והסביבה הארגונית מכילה SCCM ומנהלת התקני קצה יש לבצע מספר הכנות בכדי למנוע מצבים שהם תחנות אינן נרשמות באופן ראוי או חמור מזה עלולות להיכנס למצב שאינן מנוהלות בידי המערכת הנוכחית.

בהחלפת MDM התקני קצה יכולים להיכנס למצב offline – מצב שבו מכשיר ממשיך לתפקד באופן רגיל על סמך פוליסי קיים וללא אפשרות לבצע שינויים בידי מערכת MDM, בשונה ממצב שינוי והחלפה של MDM authority שבו הפרופיל יכול להישאר עד מספר ימים.

נקודות חשובות להגדרת MDM authority

ישנם מספר הגדרות והערות טכניות שמומלץ ליישם או להכין טרם החלפה או הגדרת ראשונית של MDM authority:

  • בסביבת ענן בלבד – הגדרת MDM authority היא השלב הראשוני טרם ביצוע פעולות והגדרות בשירות Intune
  • בסביבת Hybrid – מומלץ לבצע מספר הכנות והגדרת פרופיל בגלל שבהחלפת MDM authority פרופיל התקן הקצה נשאר עד 7 ימים עד להתחברות לפלטפרומה החדשה שם יקבל פרופיל חדש
  • הגדרת MDM authority מתעדכנת עד 8 שעות מרגע בחירת האפשרות
  • בסביבה היברידית SCCM חייב להיעות בגרסה 1610
  • בסביבה היברידית SCCM חייב להיות מוגדר לפי Co-Management
  • יש להגדיר רישוי ענן טרם ביצוע השינויים מול התקני הקצה והחלפת MDM authority
  • ישנם מצבי קצה שבו מכשירים חכמים מוגדרים מול Office 365 MDM ולכן החלפה צריכה להיעשות אל Intune MDM authority
  • בניהול התקני קצה מול iOS חובה להישאר עם אותה הגדרת APNs

הגדרת MDM authority

הגדרת MDM authority הינה פעולה פשוטה שאורכת מספר דקות בודדות ולאחר כניסה אל השירות נעשית באופן הבא:

בכניסה אלממש קהניהול של Intune או בכניסה לכל הגדרת כדוגמת Device Enrollment או כל הגדרה אחרת יקפוץ חלון או כותרת עליונה בממשק של הגדרת MDM authority, באותה הגדרה יש לבחור באפשרויות הבאה לטובת Intune MDM authority:

2019-04-01_08h48_452019-04-01_08h49_242019-04-01_10h07_23

לאחר עדכון נוכל לבצע בדיקת תקינות מתוך ממשק Intune באפשרות Tenant Status:

2019-04-01_10h12_25

2019-04-01_10h12_16

You may also like...

השאר תגובה