Defender domyślnie na konsoli pokazuje dane informacje dotyczące wszystkich urządzeń jakie zostały do niego podłączone bez żadnego rozróżnienia. Powoduje to wiele mniejszych a czasem większych kłopotów.
Kłopoty te można rozwiązać poprzez stworzenie grupy urządzeń. Następnie przy ich wykorzystaniu potem w oparciu o te grupy usystematyzować pracę z podatnościami/rekomendacjami itd. Poniżej opiszę jak stworzyć grupę, a w kolejnym wpisie pokaże dlaczego stworzenie grupy urządzeń może znacząco usprawnić pracę administratorów systemu.
Na konsoli Defendera w Settings \Endpoint jest opcja Device group.
Rysunek 1. Opcja Device group
Wybieramy Device grup i rozpoczynamy tworzenie grupy. Nadajemy jej nazwę, poziom remedation level oraz opis do czego będzie służyć ta grupa.
Rysunek 2. Opis tworzonej grupy.
Kolejny krok to wskazanie jakie atrybuty urządzeń mają być brane pod uwagę przy tworzeniu grupy. Ja wybrałem grupowanie urządzeń po systemie operacyjnym.
Rysunek 3. Dostępne kryteria służące do tworzenia grupy.
Wybrałem Windows 10 i Windows 11 ponieważ potrzebuje grupę, której członkami będą stacje robocze.
Rysunek 4. Wskazanie jakie systemy operacyjne będą członkami tej grupy.
Po ustawieniu kryteriów dobrze jest sprawdzić czy mamy urządzenia je spełniające.
Rysunek 5. Sprawdzenie poprawności działania ustawionych kryteriów.
Po sprawdzeniu dobory kryteriów nadajemy uprawnienia użytkownikom do korzystania z tej grupy na konsoli Defendera.
Rysunek 6. Nadawanie uprawnień do grupy.
Na koniec zapisujemy grupę.
Rysunek 7. Zapisanie grupy urządzeń.
Samo zapisanie grupy to jeszcze nie wszystko. Trzeba jeszcze potwierdzić zmiany wykonane przed chwilą na konsoli.
Rysunek 8. Ustawienia Configure upload.
Po zatwierdzeniu zmian mogę już korzystac z tej grupy.
Rysunek 9. Lista grup urządzeń na konsoli Defedner..
Chcąc zmienić sposób zarządzania stacjami roboczymi z lokalnych usług (ConfigMgr) do chmurowych (Intune) nie można zrobić tego z dnia na dzień. Zmiany takie oznaczają, że przez pewnie czas urządzenia będą zarządzane przez obydwa rozwiązana. Klienci mogą również wybrać oba rozwiązania bo każde z nich może wykonywać określone zadania administracyjne w lepszy sposób niż ten drugi system.
Co nam daję Cloud Attach?
Cloud Attach umożliwia usłudze Intune zarządzać urządzeniami z zainstalowanym klientem serwera ConfigMgr. Nie jest przy tym istotne czy urządzenie pracuję w trybie co-management, lub nie. Nie ma znaczenia również czy to stacja robocza czy serwer. Takie urządzenie pojawi się na konsoli usługi Intune. Jednak nie każde urządzenie będzie mogło być zarządzanie przez usługę Intune w takim samym zakresie.
Konfigurując Cloud Attach na konsoli serwera ConfigMgr musimy zdecydować co chcemy zrobić:
Configure upload – tutaj decydujmy czy urządzenia z zainstalowanym klientem serwera ConfigMgr pojawia się na konsoli Intune
Enablement, Workloads, Staging – tutaj decydujemy o ustawieniach co-management.
Rysunek 1. Ustawienia Configure upload.
Zakładka Enablement służy do konfiguracji automatycznej instalacji klienta Intune na urządzeniach zarządzanych przez serwer ConfigMgr wraz z włączeniem co-management.
Na zakładce Workloads decydujemy jakie zadania będą wykonywane przez klienta serwera ConfigMgr, a jakie zadania przez klienta usługi Intune. Zadania tego samego typu nie mogą być zarządzane przez dwie usługi na raz.
Rysunek 3. Ustawienia Workloads.
Zakładka Staging służy do wskazania kolekcji serwera ConfigMgr dla których serwer przypisze odpowiednie polisy z ustawieniami co-management.
Rysunek 4. Ustawienia Stagging.
Urządzenia pracujące w trybie Cloud Attach dzielimy na dwie grupy:
Tenant attach – urządzenia nie pracujące co-management (serwery i stacje robocze)
Dla każdej z tej grupy konsola Intune udostępnia inny poziom zarzadzania. Najniższy stopień zarządzania dotyczy systemów serwerowych. Na nich nie możliwości instalacji klienta Intune więc mogą pracować tylko w trybie tenant attach. Na nich możemy uruchomić trzy akcje powiązane z klientem serwera ConfigMgr:
Sync machine policy – pobranie polisy dla urządzenia z serwera ConfigMgr
Sync user policy – pobranie polisy dla użytkownika z serwera ConfigMgr
Rysunek 3. Akcje klienta serwera ConfigMgr na urządzeniu w trybie Tenant attach,
Dodatkowo na konsoli Intune pojawia się dodatkowe akcje związane z informacjami o zarządzanej stacji. Możemy np. pobrać listę zainstalowanych aktualizacji, listę dostępnych do instalacji aplikacji. W tym trybie opcję dostępne na konsoli Intune są takie same dla stacji roboczych jak i serwerów.
Rysunek 4. Widok stanu przypisanych do urządzenia aktualizacji wdrażanych przez serwer ConfigMgr.
W przypadku urządzeń pracującym w trybie co-management oprócz akcji związanych z usługą Intune mamy do dyspozycji trzy wyżej wymieniona akcje klienta serwera ConfigMgr.
Rysunek 5. Widok akcji przypisanych do urządzenia pracującego w trybie co-management.
Możemy również przeglądać dane pochodzące bezpośrednio z serwera ConfigMgr.
Rysunek 6. Lista aplikacji zarządzanych przez serwer ConfigMgr na konsoli Intune.
Cloud Attach jest bardzo pomocne podczas przejścia z zarzadzania środowiskiem poprzez lokalne usługi do usług chmurowych. Na jednej konsoli mam informacje dotyczące zarządzanych systemów operacyjnych. Przy jego zastosowaniu zmniejsza się potrzeba korzystania z dwóch różnych konsoli.
Dodatkowo Microsoft udostępnił na konsoli dedykowane raporty dotyczące urządzeń pracujących w trybie cloud attach.
