אלי שלמה

הגדרת Enrollment (תשתית Intune)

by · 06/04/2019

(סדרת מאמרים קצרים לביצוע הגדרות בשירות Intune)

כאשר מקימים ומבצעים הגדרות בתשתית Intune ישנם מספר הגדרות שאנו מחויבים לבצע וזאת על סמך היכולות שאנו רוצים להפעיל, כלומר ישנו הבדל בביצוע הגדרות בין אם אנו מחברים מכשירים חכמים או רק עובדים עם Intune מול תחנות קצה מבוססות Windows 10.

הגדרת Enrollment

שלב Enrollment בתשתית Intune מכיל הגדרות כלליות, הגדרות מול תחנות קצה מבוססות Windows 10, הגדרות מול מתחנות קצה מבוססות MacOS, הגדרות מול מכשירים חכמים מבוססים iOS או Android וכן הגדרות מול התקני קצה צד שלישי שלרוב נעשה עם מוצר צד שלישי.

Terms and conditions – תנאים לשימוש או תנאים משפטים אפילו. מאפשר דרישה של הצגת ואכיפת תנאים להתקני קצה אשר צריכים גישה למשאבי הארגון ורוצים לבצע רישום מול Intune.

יצירת Terms and conditions הינה פעולה פשוטה וקצרה אך חשוב לדעת את הדגשים הבאים:

  • ניתן לדרוש Terms and conditions על סמך יכולות Condtional Access
  • ישנה אפשרות ליצור מספר Terms and conditions על סמך קבוצות
  • ניתן לעבוד על סמך Terms of use של Azure AD
  • אין אפשרות להעלות מסמך Terms and conditions
  • להעלאת מסמך PDF ניתן לעבוד עם Terms of use מבוסס Azure AD
  • מומלץ להגדיר ולנהל תנאי שימוש מתוך הגדרה אחת, כלומר Azure AD – מאפשר גרנולריות

2019-04-06_17h40_48.png

הגדרת Terms and conditions

בממשק Intune ניגש לאפשרות Device Enrollment ולאחר מכן נבחר באפשרות Terms and conditions, שם ניצור תנאי חדש לפי הפעולות הבאות:

הגדרת התנאי עצמו לפי מדיניות מוגדרת מראש

2019-04-06_17h43_41.png

2019-04-06_17h32_48

שיוך לקבוצה או כלל המשתמשים מתוך אפשרות Assignment

2019-04-06_17h33_35

הגדרת Enrollment restrictions

אכיפה נוספת בהגדרת Device Enrollment הוא הגבלת רישום למכשירים ומשתמשים, ואנו יכולים לוודא מהם המכשירים אשר מתחברים לתשתית Intune ומהי המגבלה לכמות מכשירים.

הגדרת Enrollment restrictions נחלקת לשניים:

  • Device Type Restrictions – אילו מכשירים יכולים להתחבר, מהם סוכי המכשירים אשר יכולים להתחבר, איזה מערכות הפעלה יכולות להתחבר. אנו יכולים לבצע הגדרות ברמת פלטרפומה של התקני קצה לפי הפוליסי הבא:
    • פלטפרומות (מערכות הפעלה) אשר יכולות להתחבר
    • גרסאות התקני קצה שיכולים להתחבר
    • האם לאפשר חיבור של מכשירים פרטים

2019-04-06_18h52_242019-04-06_18h53_14

  • Device Limit Restrictions – מגבלת כמות מכשירים שניתן לחבר ולרשום ע”י משתמש בודד

2019-04-06_18h55_22

דגשים חשובים

  • מגבלת רישום מכשירים – אינו חל על מכשירים העושים רישום ושייכים לרישום מסוג shared:
    • רישום באמצעות Azure AD Joined
    • חלק מתוך SCCM
    • ביצעו רישום באמצעות Autopilot
    • רישום באמצעות Group Policy
  • הגדרת מגבלות אינו משפיע על משתמשים קיימים ופוליסי קיים אלא רק על רישומים בעלי עדיפותגבוהה ובמצבים בהם אין Company Portal
  • הגדרת PERSONALLY OWNED
    • במכשירי אנדרואיד ניתן לחסום רק כאשר הוגדר Android Enterprise
    • במערכות Windows 10 מאפשר לחסום כל התקן קצה שאינו חלק מרישום שנעשה ע”י פוליסי ארגוני
  • הגדרת דיפולטית חלה על כלל המשתמשים ולכן יש לשים לב לשינויים רוחביים

יצירת פוליסי מסוג restriction הינו פשוט ונעשה על סמך אותן הגדרות Device Limit ועל סמך Device Type.

2019-04-06_19h08_302019-04-06_19h08_51

לסיכום

הגדרת Device Enrollment נעשית על סמך התקני הקצה שאנו מייעדים לחיבור מול תשתית Intune, ולכן ישנם הגדרות שהן הגדרות כלליות ונדרשות לביצוע בכל יישום.

בנוסף להגדרות אלה ישנם הגדרות נוספות שהם הגדרות Category או Device Enrollment Managers שנדרשות לביצוע בתרחישים מסוימים כדוגמת Device categories או Corporate device identifiers אשר נדרשים לביצוע בשלב הראשוני אך לא נדרשים ברוב התרחישים.

ישנם הגדרות אחרות כדוגמת Device enrollment managers שניתן להגדיר בשלב מאוחר יותר.

Tags:

You may also like...

השאר תגובה