רישום התקני קצה לתשתית Intune

(סדרת מאמרים קצרים לביצוע הגדרות בשירות Intune)

כאשר מקימים ומבצעים הגדרות בתשתית Intune ישנם מספר הגדרות שאנו מחויבים לבצע וזאת על סמך היכולות שאנו רוצים להפעיל, כלומר ישנו הבדל בביצוע הגדרות בין אם אנו מחברים מכשירים חכמים או רק עובדים עם Intune מול תחנות קצה מבוססות Windows 10.

מאמר זה מתמקד ברישום תחנות מבוססות Windows 10 לתשתית Intune.

רישום (Enroll) התקני קצה

רישום התקני קצה לתשתית Intune הינו תהליך קצר ויכול להיעשות ע”י רישום אוטומטי ברמת מערכתית, רישום ידני ברמת משתמש, יכול לשלב בתוכו Company Portal (תלוי בהתקן קצה) וכן הלאה.

ישנם הבדלים בין רישום מכשירים חכמים לבין רישום תחנות קצה מבוססות Windows 10, וישנו הבדל גדול עוד יותר בין רישום מסוג Enroll לבין רישום מסוג Register. הבדלים אלה מתבטאים בסוגים הבאים:

Azure AD Registered – לרוב מתאים לתרחיש של Bring Your Own Device שבו המתשמש עובד עם מכשיר שהביא מהבית ואותו משתמש צריך גישה למשאב ארגוני כדוגמת Exchange Online. הפוליסי שניתן להחיל על המשתמש אינו עשיר במיוחד וכלל בין היתר זיהוי ברמת מכשיר לפי Passcode, Pin והגדרת תנאי מבוסס Azure AD Conditional Access.
*במידה וישנה אינטגרציה עם Intune כללי המשחק משתנים ואפשר להחיל אפשרויות נוספות מתוך Intune.

Azure AD Joined – מתאים תרחיש של Bring\Choose Your Own Device. בתרחיש כזה מתשמש יחבר התקן קצה אישי או של הארגון לפי תנאים מוגדרים מראש ורק לאחר מכן יהיה ראשי לגשת למשאבי הארגוןף ולרוב מדובר על גישה למשאבי רבים בארגון בין אם מדובר על משאבי ענן או משאב מקומי. הפוליסי שניתן להחיל הוא עשיר וכולל אפשרויות כדוגמת Bitlocker, ESR, Phone Sign-In.
*במידה וישנה אינטגרציה עם Intune הניהול יכול להתבצע לפי Device Configuration ולפי Device Compliance וכן תנאים מבוססים Azure AD Conditional Access.
*הרישום יכול להיעשות לפי הכנת חבילה מוגדרת Bulk Deployment או Autopilot.

Hybrid Azure AD joined – תרחיש נוסף של Received\Choose Your Own Device. בתרחיש כזה משתמש מקבל מהארגון Windows 10 עם כלל ההגדרות של חיבור לתשתית Active Directory מקומי, תשתית Azure AD, מנוהל ע”י Intune או SCCM.

התרחיש המומלץ והעדיף מבניהם הוא תרחיש שבו אנו מאפשרים להתקני קצה לבצע רישום מסוג Azure AD Joined ולאחר מכן מתבצע Enroll אוטומטי אל תשתית Intune, במצב כזה אנו יכולים לקבל את כלל יכולות הניהול והאכיפה של Azure AD Premuim ושל Intune על גבי Windows 10.

האם לאכוף Device Compliance ברישום עצמו?

בעת רישום של תחנות מבוססות Windows 10 ישנה סוגיה חשובה לא פחות והיא, האם לאפשר רישום של חתנות קצה מבוססות Windows 10 ללא Device Compliance מחמיר, או לחלופין כבר ברישום הראושני לאכוף Device Compliance מחמיר.

ולמה הסוגיה כאן? בגלל הסיבות הבאות:

• תרחיש ראשון  – במידה ואוכפים Device Compliance מחמיר, למשל לחייב הצפנה מסוג BitLokcer כתמאי לרישום, ולכן ההשלכות של תצורה זאת היא שכל תחנה שצריכה להתחבר חייבת מעורבות כלשהיא.
  במידה ומדובר על תחנות שמבוצע בהם רישום מסוג Enroll מתוך פוליסי או מערכת אז המצב שונה, אך במידה ומדובר על רישום ידני זה אומר שהמשתמש צריך להוריד Company Portal ולבצע מספר פעולות ידניות.
• תרחיש שני – ברתחיש זה האכיפה והתנאי של Device Compliance אינו מחמיר ומצריך רישום מסוג Enroll המחייב גרסת (Build) של Windows 10 מסוים וגרסת Windows Defender AV מסוים.
  במצב כזה אנו מאפשרים לתחנת קצה להתחבר ללא תנאים מחמירים ורק לאחר הרישום הראשוני אנו יכולים לבצע פעולות אכיפה, אך חשוב מכם חווית המשתמש היא פשוטה מאוד ואינה מצריכה פעולות מורכבות.

אפשרויות רישום (Enroll)

ישנם מספר אפשרויות רישום (Enroll) לתשתית Intune והאפשרויות תלויות במספר מאפיינים, תצורת עבודה קיימת, האם מדובר על אתר חיצוני ללא Active Directory מקומי, האם תנאי סף לחיבור מאפשרים זאת וסוגיות נוספות.

הדרכים לביצוע רישום יכולים להיעשות לפי האפשרויות הבאות:

– Access work or school Account (User Driven)
– Modern App Sign-in (User Driven)
– Enroll in MDM Only (User Driven)
– Azure AD Join (OOBE)
– Azure AD Join (AutoPilot)
– Enroll in MDM Only (Device Enrollment Manager)
– Azure AD Device Registration + Automatic Enrollment Group Policy Object
– SCCM Co-Management
– Azure AD Join (Bulk Enrollment)
– Azure AD Join (AutoPilot Self Deploying Mode)

כמו שהוזכר קודם לכן, הרישום נעשה לפי תצורץ העבודה ולכן מומלץ לאפשר רישום בהתאם לתשתית הארגונית הקיימת בלבד.

אפשרויות נפוצות לרישום – האפשרויות הנפוצות לרישום תחנות קצה Windows 10 הם:

• רישום תחנות בתצורה היברידית – במצב שבו עובדים עם תחנות בתצורה היברידית אנו יכולים לבצע רישום באמצעות Group Policy או באמצעות SCCM (אם קיים) במצב כזה המשתמש אינו צריך לבצע פעולות כלשהן ותחנת הקצה נרשמת אל תשתית Intune ומקבל הגדרה של Hybrid AD Joined.
  מתוך מצב זה אנו יכולים להתחיל ולהחיל מדיניות והגדרות על תחנות הקצה Windows 10
• רישום משתמש – תרחיש כזה בו המשתמש מבצע את הרישום יכול להיות באת רחיצוני ללא Active Directory מקומי או במצבים בהם רוצים לצרוך מידע ספציפי מהארגון אך מצריכים לרשום את תחנת הקצה קודם לכן.
  במצב כזה משתמש יכול לבצע רישום של תחנת הקצה לפי מספר אפשרויות:
  • חווית OOBE – למעשה ברגע שפותחים תחנת קצה בפעם הראשונה ישנו Welcome Experience של Windows 10 ושם ניתן להקליד את פרטי המשתמש והסיסמה.
    מאחורי הקלעים תחנת הקצה מבצעת רישום באופן אוטומטי אל Azure AD ואל Intune.
  • רישום ידני – בתרחש שבו משתמש מבצע רישום באופן ידני למשל במצב של רישום מסוג Add work or school Account, למעשה המשתמש ניגש אל הגדרת Account ומבצע רישום עם שם המשתמש והסיסמה ולאחר מכן מאפשר רישום Azure AD או לחלופין MDM.

חשוב להדגיש כי רישום תחנות קתה מבוססות Windows 10 מחייב דרישות סף גבוהות בהתאם לכל תרחיש, כלומר דרישות השייכות אל אמת דומיין Forest Level, גרסת (Build) של Windows 10, בתרחישים של SCCM מחייב גרסאות מסוימות להגדרת Co-Management ודרישות נוספות.

רישום ידני

רישום ידני מסוג Access work or school Account מאפשר למשתמש לבחור האם לבצע רישום מסוג Azure AD Joined או רישום Enroll in MDM. לרוב נרצה לבחור באפשרות של Azure AD Joined בכדי לאפשר ניהול כלל האפשרויות מתוך Azure AD וכן Intune.

רישום Access work or school Account נעשה באופן הבא:

חשוב לשים לב כי בעת הרישום יש להחליף לאפשרות של Join this device to Azure Active Directory ולא אפשרות דיפולטית.

לסיכום

אפשרויות רישום תחנות קצה מבוססות Windows 10 הם מגוונות וניתנות לביצוע בהתאם לתשתית קיימת, ולכן הרישום של תחנות Windows 10 יכול להיעשות לפי 10 אפשרויות שונות שהן אוטומטיות או ידניות וברמת אדמין או משתמש קצה.