Ostatnio dostałem kilka pytań o rejestrację urządzenia w Intune, więc aby spełnić te prośby dziś ten post.
Dla zainteresowanych krótkie wprowadzenie. Otóż kila tygodni temu najpierw pisałem o tym jak można zbudować nowoczesny dział IT. A potem w kolejnym wpisie pokazywałem co to jest Intune i dlaczego jest istotne z punktu zarządzania IT w firmie. Okazuje się jednak, że omówienie dla kilku osób sposobów rejestracji było zbyt powierzchowne, więc dziś będzie bardziej wyczerpująco.
Konfiguracja podstawowa rejestracji urządzenia w Intune
Zakładam, że już wiesz o co chodzi w samej platformie, więc pora na wdrożenie. Dla mnie pierwszym elementem, który powinno się ustawić to uprawnienie do rejestracji urządzenia w Intune. Domyślnie uprawnienia te są na poziomie wybranej grupy, niektórzy ustawiają, że tylko dział IT może dodawać nowe urządzenia. Osobiście uważam, że to zabija całą istotę tej usługi. Chodzi o to żeby zminimalizować nakład pracy jaki dział IT musi ponieść na rzecz przygotowania nowego komputera. Dlatego ja osobiście daję każdemu użytkownikowi w firmie taką możliwość.
Ustawienie, o którym mówię znajdziecie w konsoli Intune -> Devices -> Enroll devices | Windows enrollment. Tam ustawiacie MDM user scope oraz MAM user scope na ALL.

Zakładam tu również, że Wasi użytkownicy mogą dodawać urządzenia do Azure AD. Warto wspomnieć tak na marginesie, że gdy komputer jest dodawany do domeny to dobrze jest też dodać dodatkowych administratorów. Jest to bardzo przydatna opcja, która może nam ułatwić wiele rzeczy w przyszłości. Jeżeli chcecie doczytać o innych ustawieniach odwiedźcie tę stronę Microsoft.

Automatyczna rejestracja urządzenia w Intune
W tym momencie ustawienia, które wprowadziliśmy wcześniej powodują, że w trakcie dołączania urządzenia do Azure AD zostanie również ono dodane do Intune. Co warto podkreślić ekrany mogą się różnić od wersji Windows 10, która została preinstalowama przez producenta sprzętu. Cały proces sprowadza się w zasadzie do dwóch kroków.
Gdy włączycie nowy komputer najpierw podłączacie go do internetu. Następnie musicie wybrać, że będzie on używany w firmie (Set up for an organization). To bardzo ważne, bo w przypadku wybrania go do użytku osobistego będziemy pracować w kontekście albo użytkownika lokalnego albo Microsoft Account. A tego nie chcemy.

Potem pozostaje nam podanie naszego firmowego adresu email oraz hasła. W tym momencie nasz komputer połączy się z Intune oraz Azure AD. Następnie zacznie przetwarzać polityki oraz pobierać przygotowany software dla niego. I to tyle. Długość procesu zależy kilku czynników, m.in od prędkości połączenia internetowego, czy jest od razu szyfrowany, oraz jak wiele aplikacji musi zostać pobrane, etc. Jednak już w tym momencie nic nie stoi na przeszkodzie by zacząć pracować.
Kilka słów o AutoPilot
Jest jeszcze jeden scenariusz, o którym warto wspomnieć. Mianowicie chodzi mi o AutoPilot Deployment. W tym przypadku po włączeniu i podłączeniu komputera do internetu podajemy tylko nasz email oraz hasło (a czasami tylko hasło) bo system od razu wie do jakiej organizacji należy. Również ekran powitalny może być w tym przypadku dostosowany do potrzeb naszej firmy. Jak to działa? Otóż producent sprzętu musi nam przesłać plik csv, który będzie zawierał:
- Device Serial Number
- Windows Product ID
- Hardware Hash
- Group Tag
- Assigned User
Co więcej jest możliwość konfiguracji, tak aby dostawca sam nam ładował ten plik do systemu. Oczywiście takie rozwiązanie wymaga współpracy ze strony dostawcy, co nie zawsze jest możliwe. Na szczęście jest jeszcze inna możliwość.
Jak przekonwertować urządzenie do AutoPilot?
Scenariusz, który teraz omówię jest dostępny w usłudze dopiero od niedawna. Otóż istniejące już urządzenia w Intune mogą zostać przekonwertowane na AutoPilot. Ktoś może się zapytać po co nam to? Otóż taki komputer daje nam kilka bonusów gdy musimy go przekazać innemu użytkownikowi i jest potrzebne aby przywrócić go do stanu początkowego.
- Gdy używamy scenariusza autopilot mamy możliwość aby użytkownik nie był administratorem komputera, co normalnie ma miejsce
- Jest możliwość konfiguracji ekranu powitalnego
- Mamy mniej ekranów na początku do przejścia
- Mamy możliwość konfiguracji nazwy komputera
- Urządzenie w trybie autopilot może być już dołączone do naszego Azure AD, jak również zawierać wszystkie aplikacje. Pozostaną do instalacji tylko aplikacje przypisane do użytkownika. To znacząco skraca czas przygotowywania komputera
By zarejestrować urządzenia do autopilot potrzebujemy tak naprawdę dwóch rzeczy. Pierwsza to grupa zabezpieczeń, która będzie zawierał te komputery, które chcemy przekonwertować. Druga to profil dla Autopilot deployment, który będzie miał opcję: „Convert all targeted devices to Autopilot” ustawioną na „Yes”. W takim przypadku każdy komputer, którego będzie dotyczył profil zostanie wczytany na listę: „Windows Autopilot devices”. Tym samym system będzie już od tej chwili traktował jak urządzenie, którego dane dostarczył nam producent i zarejestrowane do opcji Autopilot
Co dalej?
Gorąco zachęcam to zapoznanie się z wszystkimi możliwościami, które daje nam usługa. Same urządzenia w Intune to dopiero początek, bo gdy one już tam są, to tak naprawdę można zrobić wszystko, albo prawie wszystko 🙂 , nie ruszając się z fotela.
Rozwiązanie ma w sobie ogromny potencjał, a Microsoft sukcesywnie ja rozwija. Jego implementacja może Wam zaoszczędzić ogromną ilość czasu, który będzie można poświęcić na inne rzeczy. Wkrótce postaram się pokazać jeszcze więcej, co jeszcze można zrobić korzystając Intune.