Selamat siang,% nama pengguna%!
Di perusahaan besar mana pun (dan tidak hanya dalam perusahaan besar), orang ingin memiliki akses ke informasi perusahaan (surat kerja, kalender, sumber daya internal) kapan saja dan sesederhana mungkin. Solusi terpisah yang disebut Manajemen Perangkat Seluler telah dibuat untuk menyediakan dan mengelola akses ini.
Secara historis, kami telah menggunakan solusi berbeda untuk mengelola perangkat seluler di perusahaan kami. Pada awalnya itu adalah solusi yang dirancang untuk produsen tertentu, kemudian kami beralih ke produk lain yang memungkinkan kami untuk mendukung perangkat iOS dan Android. Selanjutnya, diputuskan untuk beralih ke solusi dari Microsoft.
Microsoft intune
Pada saat menganalisis fungsionalitas solusi, versi cloud menyediakan daftar fitur yang cukup kecil, sehingga diputuskan untuk menggunakan Intune Hybrid.
Apa itu Intune Hybrid?
Ini adalah Manajer Konfigurasi Pusat Sistem tua yang baik, terintegrasi dengan Microsoft Intune. Solusi ini memiliki karakteristik sendiri:
- Semua manajemen perangkat seluler dilakukan melalui SCCM.
- Semua kebijakan dan konfigurasi keamanan dibuat dan dikelola melalui SCCM.
Pada umumnya, pengelolaan perangkat seluler menjadi tidak berbeda dengan pengelolaan workstation. Bagian cloud hanya digunakan untuk komunikasi antara perangkat dan SCCM.
Bersama dengan keputusan untuk beralih ke MS Intune, menjadi perlu untuk mentransfer semua pengguna ke platform baru. Sayangnya, kami hanya memiliki 5 bulan untuk bermigrasi dan 28.000 pengguna di seluruh dunia.
Sebagai permulaan, pendekatan migrasi yang paling tidak merusak digunakan dan pengguna disarankan untuk mengkonfigurasi ulang perangkat agar berfungsi dengan layanan baru.
Pendekatan ini berhenti berfungsi pada saat tertentu, dan pengguna mulai dipaksa untuk memutuskan sambungan dari layanan sebelumnya dengan pemblokiran paralel kemampuan untuk mengkonfigurasi perangkat. Ini menimbulkan kesulitan dan beban tambahan tertentu pada layanan desktop. Grafik insiden terbuka pada layanan perangkat seluler dengan jelas menunjukkan periode migrasi paling aktif.
Untungnya, transisi berhasil - tepat waktu dan tanpa masalah yang tidak terduga.
Bagaimana kehidupan di Mars dengan Microsoft Intune?
Selama migrasi, cukup sulit bagi semua tim dukungan untuk beradaptasi, karena fungsionalitas untuk mengelola perangkat seluler jauh lebih luas dan lebih nyaman daripada di SCCM. Tetapi setelah mengorbankan sejumlah fungsionalitas, kami mendapatkan stabilitas layanan yang lebih besar dan insiden yang lebih sedikit secara umum. Sebagai perbandingan, dengan solusi sebelumnya untuk 28.000 pengguna, kami memiliki sekitar 700 insiden per bulan, tetapi sekarang levelnya dipertahankan pada ± 350 insiden.
Dengan rilis SCCM baru, Microsoft menambahkan fungsionalitas baru, dan saya berharap mereka terus berinvestasi dalam solusi hybrid.
Apa yang baru?Migrasi ke produk baru juga menyediakan fitur kontrol akses baru, karena Intune hanya bagian dari layanan Enterprise Mobility + Security. Fitur yang paling penting dan menarik bagi kami adalah
Akses Bersyarat dan
Manajemen Aplikasi Seluler .
Akses bersyarat adalah kebijakan kontrol akses layanan. Katakanlah satu pengguna ingin terhubung dari telepon pribadi ke Exchange Online. Kebijakan akses mengharuskan perangkat Anda harus menjalankan Microsoft Intune untuk mengakses EXO. Jika pengguna ini mencoba mengonfigurasi kotak surat melalui aplikasi Mail standar di iOS, ia hanya akan melihat satu pesan: "Administrator mengharuskan perangkat dikendalikan melalui Microsoft Intune." Demikian pula, Anda dapat mengontrol akses ke aplikasi apa pun yang terdaftar di Azure AD.
Manajemen Aplikasi Seluler adalah pengelolaan data perusahaan dalam aplikasi. Pengaturan inilah yang menentukan apakah mungkin untuk menyimpan dokumen yang berfungsi dalam memori telepon, menyalinnya ke aplikasi pihak ketiga, dan sebagainya.
Kedua fungsi ini memungkinkan konfigurasi pengaturan keamanan pengguna yang fleksibel dan tidak menyakitkan.
Migrasi ke Intune Standalone
Setelah tertarik pada solusi baru dari Microsoft, khususnya manajemen bersama dan autopilot, kami menyadari bahwa perlu beralih ke solusi berbasis cloud sepenuhnya (yang disebut Intune Standalone).
Pada saat keputusan, Microsoft telah menerbitkan instruksi langkah demi langkah tentang migrasi pengguna dari SCCM ke Intune Standalone:
- Ekspor konfigurasi dari SCCM dan impor ke Intune.
- Migrasi pengguna uji.
- Migrasi semua pengguna.
- Alihkan Otoritas MDM dari SCCM ke Intune.
Pada tahap ekspor / impor,
solusi dari Microsoft sendiri digunakan . Sayangnya, impor tidak berjalan dengan baik dan tidak hanya aplikasi spesifik yang dimigrasikan dari SCCM, tetapi semua jenis penyebaran, membuat aplikasi terpisah di Intune.
Itu terlihat seperti ini:
Selain itu, untuk beberapa alasan, versi aplikasi juga tidak diimpor dengan benar dan karena itu, perlu mempublikasikan semua aplikasi secara manual. Dengan konfigurasi ini dan kebijakan dimigrasikan tanpa masalah.
Migrasi kelompok ujiAwalnya, kelompok uji terdiri dari kolega saya dan saya. Kami takut pengguna mungkin memperhatikan bahwa mereka sedang bermigrasi. Ini dapat memicu gelombang panggilan ke layanan desktop. Tetapi pengujian menunjukkan bahwa dengan tidak adanya perbedaan dalam konfigurasi dan aplikasi yang diterbitkan, pengguna tidak melihat apa-apa.
Apa mekanisme migrasi itu? Pengguna yang diperlukan telah dihapus dari koleksi SCCM, yang digunakan dalam pengaturan langganan Intune. Ini dilakukan melalui koleksi eksklusif, yang, pada gilirannya, diikat ke grup di Active Directory. Karenanya, untuk memigrasikan pengguna, Anda hanya perlu menambahkannya ke grup AD yang diperlukan.
Tapi tanpa diduga, ada masalah dengan menyediakan akses Meja Layanan untuk mengelola perangkat yang dimigrasi. Saya menciptakan peran khusus, yang hanya memiliki hak yang diperlukan untuk tugasnya. Peran ditugaskan ke grup yang diperlukan, tetapi akses untuk beberapa orang tidak muncul. Lisensi analis dan akun mereka diperiksa, tetapi semuanya sia-sia. Memeriksa peran efektif melalui Grafik API menunjukkan bahwa ada peran, tetapi orang tersebut masih tidak memiliki akses. Setelah penyelidikan panjang, bersama dengan dukungan Microsoft, ditemukan bahwa ada kebutuhan untuk lisensi (Intune di EMS E3 atau EMS E5) untuk analis. Dan juga, analis, pada gilirannya, perlu dimigrasi ke Intune Standalone. Kebutuhan itu tidak didokumentasikan dan butuh beberapa minggu untuk menyelesaikannya.
Pada saat yang sama, saya menarik sekelompok perwakilan penjualan dari satu negara Eropa ke migrasi yang secara aktif menggunakan layanan VPN dalam pekerjaan sehari-hari mereka dan menjalankan migrasi itu sendiri, serta
server yang dikonfigurasi secara terpisah untuk Intune Standalone
NDES . Pada langkah ini migrasi hampir dibatalkan dengan kembalinya semua pengguna kembali.
Agar pengguna dapat menggunakan layanan VPN, mereka dikirim dengan profil yang mengkonfigurasi klien VPN menggunakan sertifikat SCEP yang ditentukan, yang merujuk ke Root CA. Oleh karena itu, sepasang sertifikat harus ada untuk operasi.
Kami hanya memiliki satu sertifikat (Root CA).
Yang paling sederhana adalah mengasumsikan bahwa masalahnya ada di server NDES. Tapi itu bekerja dengan sempurna dan bahkan tidak menerima permintaan sertifikat. Ketika memeriksa log dari perangkat itu sendiri, saya menemukan bahwa perangkat itu bahkan tidak menerima pengaturan yang diperlukan untuk meminta sertifikat SCEP. Microsoft meningkatkan masalah ini ke pengembang Intune yang menemukan pentingnya memiliki tidak hanya semua sertifikat, tetapi juga kebutuhan untuk semua sertifikat dan pengaturan untuk dikirimkan ke grup dan perangkat pengguna yang sama. Dalam kasus kami, Root CA dikirim ke semua perangkat, dan SCEP hanya untuk perangkat tertentu.
Jadi, kami memulai migrasi yang meningkat dari 1.000 menjadi 4000 pengguna dalam satu gelombang. Prosesnya memakan waktu 4 minggu. Kami siap untuk apa pun (kita semua tahu bahwa sangat jarang semuanya berjalan sesuai rencana). Tapi semuanya berjalan lancar tanpa ada lonjakan panggilan ke layanan desktop.
Perangkat yang ketinggalan jaman
Sesuai dengan standar kami, kami berusaha untuk versi minimum OS seluler:
· T-1 untuk iOS.
· T-2 untuk Android.
* T adalah versi terbaru saat ini.
Pada tingkat lebih rendah, ini berlaku untuk iOS, seperti Apple telah lama mendukung perangkatnya. Ini lebih benar untuk perangkat Android. Misalnya, orang masih menggunakan Android 4.4.2 pada perangkat yang berusia lebih dari 4 tahun.
Dalam hal ini, kami melakukan dialog dengan tim TI setempat untuk menentukan waktu penggantian perangkat, karena itu perlu untuk menemukan keseimbangan antara keamanan dan uang yang dihabiskan untuk memperbarui mereka.
Apa selanjutnya
Perubahan keputusan telah menyebabkan perubahan internal. Misalnya, ada skrip untuk membersihkan SCCM dari perangkat usang yang ditulis dalam PowerShell, yang sekarang tidak mungkin digunakan. Dalam semua solusi barunya, Microsoft mempromosikan Graph API, yang harus dikuasai.
Pelaporan hingga saat ini dibuat berdasarkan SSR, sekarang kami akan menggunakan Power BI + oData Feed dengan data dari Intune Data Warehouse.
Sebelumnya saya sebutkan Akses Bersyarat dan Manajemen Aplikasi Seluler. Solusi pertama telah diterapkan, sekarang kami sedang mengerjakan yang kedua. Kami juga menguji Proxy Aplikasi Azure sebagai pengganti VPN di perangkat seluler. Jika ini menarik, saya dengan senang hati akan menceritakannya di artikel baru.