Insikter från Ignite 2017 – Molnbaserad klienthantering

I september begav sig ett gäng Cygate:are tillsammans med kunder till Microsoft Ignite för att se de senaste nyheterna från Microsoft-världen. Detta är del 2 i vår bloggserie från mässan. I del 2 av bloggserien tänkte vi berätta lite om molnbaserad klienthantering i Windows 10.

Microsoft har sedan ett antal år tillbaka haft sin tjänst Microsoft Intune för att erbjuda molnbaserad hantering av datorer och mobila enheter. Intune är dels ett alternativ till traditionell PC-hantering via System Center Configuration Manager (SCCM) vilket är mer eller mindre branschstandard och dels Microsofts svar på Mobile Device Management (MDM) och Mobile Application Management (MAM).

När det gäller MDM och MAM så har man idag en kompetent lösning som i stort sett håller klass med de främsta på marknaden. Vissa saker gör man bättre och vissa saker har man en bit kvar på. På det hela taget så är det en MDM och MAM lösning som de absolut allra flesta nog skulle klara sig mer än väl med. (Till skillnad mot vad många tror så är Intune MDM främst utvecklat mot iOS och Android och inte mot den nu så gott som helt nerlagda Windows Phone/Mobile.)

Förenkla hanteringen av PC

När det gäller PC-hanteringen så har det varit och är fortfarande som sagt ett alternativ till SCCM för de företag som av olika anledningar inte behöver all de funktionalitet som finns i SCCM. Det har framför allt varit några konkreta saker som gjort att SCCM fortfarande varit i allra högsta grad relevant för de flesta företag.

Dels så vill man ofta ha för företaget anpassad installation av Windows. Med det menas att man velat skapa en sk. ”Image” där rätt alla funktioner är konfigurerade efter företagets önskemål och att rätt applikationer finns installerade. Dels så vill man säkerställa rätt behörighet kan sättas för användarna, i de flesta fall vill man t ex inte att användaren skall ha lokala administratörsrättigheter.

Det som nu sker med Intune i kombination med Windows 10 och en ny funktion som kallas Windows Autopilot förändrar detta en hel del.

  • Det första är att datorn med Windows 10 kan hanteras som en mobil enhet till skillnad mot en traditionell PC. Man har nu kommit så långt att man i stort sett kan styra precis samma saker via MDM-gränssnittet som man tidigare behövde SCCM för att göra.
  • Det andraär att man nu kan ansluta datorn direkt till Azure AD, vilket gör att man kan installera den vart som helst bara man har en internetkoppling. Tidigare var man mer eller mindre tvungen att göra på ett lokalt nätverk där man hade tillgång till företagets AD.
  • Det tredje är att funktionen Autopilot nu möjliggör att man kan välja om användaren skall vara administratör eller standardanvändare, dvs inte Local Admin. Detta är helt nytt och innebär en stor förändring.

I praktiken så innebär allt detta att man som användare inte behöver få sin dator installerad av den lokala IT-avdelningen (eller anlitat logistik- och installationsföretag), utan i stället kan få datorn direkt från fabriken. Så fort man ansluter datorn till internet så förstår den automatiskt att den tillhör företaget och ber därefter att användaren loggar in med sitt vanliga AD-konto. Nu sätts alla inställningar, alla applikationer installeras, licensnivån sätts till rätt nivå, t ex Enterprise och framför allt så sätts även

även rätt behörighet för användaren. Allt detta går ganska snabbt och gör att användaren snabbt blir produktiv. Det som ev kan ta lite tid kan vara att tanka ner ytterligare applikationer som skall finnas på datorn.

Detta betyder i sin tur ett antal saker. Dels behöver man inte längre hålla på med att skapa specifika ”Images” för varje hårdvarumodell. Användaren kan mer eller mindre själv välja vilja vilken datormodell man vill ha. Dock är det givetvis fortfarande lämpligt att man från företagets sida har policys runt detta. Ett andra är att det nu inte finns så många anledningar att fortfarande hålla kvar vid SCCM. Det handlar nu främst om man har datorer som inte har Windows 10 eller att man har specifika skäl att behålla SCCM.

Koppla på autopiloten

En annan trevlig funktion som kommer med Autopilot är hanteringen av sk. Kioskdatorer, dvs de datorer som ställs ut för att enbart sköta en enda specifik uppgift, t ex kunddator i en butik eller tidsregistreringsdator på ett sjukhus. Genom att i förväg konfigurera hur man vill att datorn skall fungera, vad som skall installeras på den och hur nedlåst den skall vara, så handlar det bara om att plugga in datorn på nätverket och starta den. Så fort den startar kommer den automatiskt att installera sig som man har bestämt utan ytterligare handpåläggning. Nyckeln bakom Autopilot är att varje dator har ett hårdvaru-ID som man får av tillverkaren. Genom att lägga in detta Hardware-ID i sin Autopilot Tenant (sin del av tjänsten Autopilot) så vet datorn alltid att den tillhör ditt företag och hur den skall installeras.

Än så länge så är Autopilot enbart tillgängligt som en första version och en del av funktionerna kommer komma inom kort. Roadmap är planerad att kommuniceras under oktober 2017. Idag vet vi att i stort sett alla av de stora PC-tillverkarna förutom Dell kommer stödja Autopilot. Det skall sägas att det även går att ta ut datorn Hardware-ID själv, men det finns en del förutsättningar runt det. Det sägs också att om man inte har registrerat datorn Hardware-ID, t ex om en användare går in på närmaste datorbutik och köper en dator, så kommer detta fungera i alla fall. I det fallet kommer användaren få upp en fråga om man vill ansluta datorn till företaget. Så länge man väljer det alternativet så kommer datorn efter det att hanteras via Autopilot. (Det sista här är ännu inte verifierat.)

En nötknäckare – automatiserad

Jag tycker detta är otroligt spännande och jag ser fram emot att se hur bra detta kan bli. Tanken på att slippa skapa unika images för varje företag och hårdvarumodell samt att slippa hela installationsförfarandet där datorn ofta måste passera IT-avdelningen innan den kan skickas till användaren, är mycket lockande! Det låter som att Microsoft äntligen lyckats knäcka denna nöt. Sen tror jag också att detta kanske inte innebär att alla företag kommer att gå över till Intune/Autopilot för samtliga företagets datorer på en gång. Fortfarande gäller att Intune bör ses som ett komplement till SCCM, vilket i praktiken betyder att man kan ha vissa användaren och datorer inom företaget som hanteras via SCCM och en annan del som hanteras via Intune och Autopliot. Övergången kommer nog bli succesiv för de allra flesta företag. På sikt skulle jag inte bli förvånad om Intune ersätter SCCM, men att man kanske tar fram en OnPrem-version skulle kunna vara för just de företag som inte kan nyttja molntjänster. Alltså lite som för Skype for Business.

I nästa blogginlägg från Ignite lovar vi detta intressanta innehåll:
Microsoft och säkerhet
Azure och Azure Stack – vad är nytt?

Missade du första inlägget i serien?
Insikter från Ignite 2017 – del 1