Tässä blogissa käydään läpi olennaisimmat marraskuun 2020 aikana Microsoft Endpoint Manageriin (Intuneen) tulleet päivitykset. Täysi Microsoftin julkaisu Intunen uusista ominaisuuksista löytyy täältä.

Laitteiden tietoturva

  • Laitteiden tietoturvaosiossa voidaan nyt estää Windows 10 -laitteilla siirrettävien tallennusvälineiden käyttö.
  • Tietoturvaosion hyökkäysrajapinnan kaventamisen ominaisuudet (Attack surface reduction, ASR) ovat saaneet parannuksia. Aiemmin loppukäyttäjiä koskeneet tietoturvakontrollit ovat joko hyväksyneet tai estäneet prosesseja. Nyt eri kontrolleissa voidaan käyttää vaihtoehtoa varoita (warn), jolloin vastuu suorittamisesta jää loppukäyttäjälle.
  • Windows Defender Antivirus sai jälleen kerran lisää hyödyllisiä raportteja. Jatkossa seuraavista seikoista saa raportin:
    • Defenderin tilatieto
    • Peukaloinnin suojauksen (tamper protection) tila
    • Laitteen tyyppi, fyysinen laite tai virtuaalikone
  • Hyökkäysrajapinnan kavennuksen (ASR) sääntöjen yhdisteleminen on saanut parannuksia. Intunessa on ajan saatossa tullut mahdolliseksi säätää samoja asioita useasta eri paikasta. Vaikka sääntöjä olisi useassa paikassa niin ne yhdistetään laitteen päässä ilman, että niistä muodostuu konfliktia. Esimerkiksi ASR-säännöt voi määrittää seuraavista paikoista:
    • Configuration Policy
    • Endpoint Security
    • Endpoint Security – Baselines
  • MVISION Mobile on uusin mobiiliuhkien suojauksen partneri. MVISION on McAfeen tuote.

Laitteiden määritykset

  • Android Enterprisen yksi hallintamalleista on Kiosk-profiili, joka on tarkoitettu laitteille, jotka ovat käyttötarkoitukseltaan hyvin suppeita. Tämä on hieman harvemmin käytetty tapa hallita laitteita, mutta on hyvä välillä muistutella tämänkin olevan mahdollista. Marraskuun aikana kyseinen hallintaprofiili sai pari uutta ominaisuutta. Nyt Kiosk-laitteissa voidaan hallita pääsyä virranhallinta-asetuksiin ja miten loppukäyttäjä näkee kotipainikkeen ja ilmoituksia.
  • iOS-laitteissa, jotka on otettu käyttöön hyödyntäen Apple Automated Device Enrollment (ADE eli entinen DEP) ja ovat supervise-tilassa, voidaan määrittää nyt hyvinkin tarkasti, miten eri sovellusten ilmoitukset toimivat. Laitteisiin voidaan laittaa esimerkiksi WhatsAppiin sääntö, jotta sovellus ei lähetä mitään ilmoituksia loppukäyttäjälle tai että vain tietyn tyyppiset ilmoitukset ovat sallittuja.
  • Viime kuun artikkelissa oli mainintaa Microsoft Tunnel -teknologiasta. Nyt Intunessa voidaan määritellä niin sanottuja ehtoja, jonka perusteella Tunnel VPN -yhteys esimerkiksi muodostetaan tai katkaistaan. Esimerkkejä näistä säännöistä:
    • VPN ei yhdistä, jos laite on yrityksen WiFi-verkossa.
    • Mikäli laite ei onnistu yhdistämään DNS toimialueen hakuun, sitä ei yhdistetä VPN:ään.
  • Windows 10 -laitteiden Enterprise Wi-FI -profiili sai lisäasetuksia. Tästä eteenpäin on mahdollista määrittää:
    • tunnistautumisen tila
    • tunnusten muistaminen kirjautumisen yhteydessä
    • VLAN-eriyttäminen
    • muita erilaisia tunnistautumiseen liittyviä asetuksia

Valvonta ja vianselvitys

  • Laitteiden vianselvitys on parantunut määrityskäytäntöjen ja yhteensopivuuskäytäntöjen osalta.
  • Intune osaa nyt huomioida virtuaalikoneet esim. seuraavissa raporteissa:
    • Bitlocker
    • Salaus
    • Defender Application Guard

Sovellusten hallinta

  • Intune Management Extension -komponentin toimintalogiikkaan on tullut muutoksia. Jatkossa, mikäli laitteille on kohdistettu uusia Powershell-skriptejä sekä Win32-sovelluksia, skriptit suoritetaan ensin ja sovellukset asennetaan tämän jälkeen. Hyötynä voi olla esimerkiksi suorittaa laitteella jotain valmistelevia toimia skriptin muodossa, ja vasta tämän jälkeen asentaa sovellukset.
  • Android-laitteilla Intune Company Portal osaa nyt ohjata loppukäyttäjiä, kun laite rekisteröidään hyödyntäen Work Profile -hallintamallia.

Laitteiden hallinta

  • Microsoft Intune sai jokin aika sitten neljännen hallintaprofiilin Android Enterpriseen (AE). Koska AE sisältää kaksi saman tyyppistä profiilia, jotka hyödyntävät Work Profile -mallia niin Microsoft päätti yksinkertaistaa terminologiaansa. Organisaation omistamien laitteiden hallinnan työprofiilia kutsutaan ”corporate-owned work profile” (COPE). Sama työprofiilia käyttäjien omistamissa laitteissa kutsutaan jatkossa ”personally-owned devices with a work profile”.
  • Windows Autopilot toimii jatkossa HoloLens 2 laitteille. (Public Preview -tilassa)
  • Intunen uusien laitteiden rekisteröinti ei tue enää jatkossa iOS 11 versiota. Vaatimus versiolle on nyt 12.
  • Intunen uusien laitteiden rekisteröinti ei tue enää jatkossa macOS 10.12 versiota. Vaatimus versiolle on nyt 10.13.

Lisää luettavaa aiheesta:

Android-laitteiden käyttöönottoon helpotusta luvassa Microsoft Intunen osalta

Ongelma Olen ollut mukana lukuisissa MDM-käyttöönotoissa ja lähes joka kerta asiakkaan kanssa esille nousee kysymys, miten laitteet sitten akuisten oikeasti liitetään organisaation hallintaan. Tekeekö sen loppukäyttäjä itse vai onko IT-tuki mukana prosessin joka vaiheessa? Valitettavasti tähän mennessä erityisesti Androidin tapauksessa sovelluskaupasta on pitänyt ladata Microsoftin Yritysportaali appi. Eikä tuokaan kuulosta pahalta, mutta sovelluskauppaa varten taas […]

Patch Management -ratkaisut vertailussa – Ninite Pro – Osa 9/14

Vuosittain tehtävä vertailu Teimme noin vuosi sitten vertailun markkinoilla olevista tärkeimmistä patch management -työkaluista. Päätimme tehdä vertailusta vuosittaisen katsauksen patch management -ratkaisujen tarjontaan. Nyt on taas aika käydä vanhoja sekä uusia tuotteita läpi. Julkaisemme nyt vertailun 14-osaisena blogisarjana. Jos et malta odottaa, vaan haluat lukea koko vertailun läpi heti. Voit ladata sen PDF-muodossa täältä. Edelliseen […]