Esettanulmány
Egy életből vett példán keresztül mutatnám most be, részletesen levezetve, ügyféltörténet segítségével a modern megközelítésű patch menedzsmentet (Intune). Az adott ügyfélnél vegyes környezet volt, kb. 400 db on-premise domaines gép, és a felhős iránynak megfelelően, kb. 150 db Azure AD-joined eszköz is, Intune menedzsment alá bevonva. Az AAD-eszközök viszonylag friss Windows 10 verzióval futtottak (1809-1903), de az onprem gépeknél nagy szórást tapasztaltunk (1703-1803). Itt a patch menedzsmentet az SCCM biztosította.
Problémák
Az ügyféllel a következő fájdalompontokat azonosítottuk:
Megoldás
A megoldási javaslatunk a felhőalapú Intune-patch menedzsment volt, aminek alapja, hogy az update beállításokat az MDM-ből szedik a gépek, a frissítéseket pedig a Microsoft Update szerverekről töltik. A folyamatot a Windows 10 beépített Windows Update workflow vezérli.
Előkészületek
Technikai feladatok
Hybrid Azure AD-join kialakítása:
Az ügyfélnél federált domaint használtak, ezért az AD Connect segítségével konfiguráltuk be a hybrid joint.
Ezután a Windows 10 eszközöknek definiáltunk egy Group Policyt, hogy regisztrálják be magukat az AzureAD-ba:
Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration > Register domain-joined computers as devices = Enabled
A sikeres device regisztráció után látható a gép az Azure AD portalon, mint Hybrid Azure AD joined:
A kliensgépen pedig egy admin cmd-ben futtatott dsregcmd /status paranccsal ellenőrizhető:
Intune auto-enrollment beállítása
Az auto-enrollment segítségével az onprem gépeket be lehet vonni az MDM-felügyelet alá automatikusan.
Az Azure Portalon ellenőriztük, hogy az MDM scope All-ra legyen állítva:
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Mobility
A GPO-ban definiáltuk az automatic enrollmentet:
Computer Policy -> Computer Configuration -> Administrative Templates -> Windows Components -> MDM > Enable automatic MDM enrollment using default Azure AD Credentials
Az enrollment sikerességét a kliensen a következő módon lehet ellenőrizni:
Start > Settings > Accounts > Access work or school
A Sync gomb segítségével lekérhetők a policyk:
SCCM Co-Management kialakítása:
A 1910-es verziójú SCCM-mel könnyű munka volt a co-management kialakítása.
A gépeknek definiáltuk a windows update beállításokat.
Ilyenkor az SCCM kliensek bekapcsolják az ún. dual scan módot, azaz minden csomagot az SCCM-tól kapnak, kivéve a windows frissítéseket, ott a Microsoft Update-hez fordulnak.
Intune Windowsupdate ring
Az Intune-ban összeállítottunk egy policyt, ami a következő beállításokat tartalmazta a production gépek számára:
End-user experience:
A projekt során a felhasználókat tájékoztattuk, hogy a Windows fog figyelmeztetéseket megjeleníteni, ami a telepítésre-újraindításra hívja fel a figyelmet. A szövegpanelek ismerősek voltak mindenkinek.
Windows 10 Feature Update policy
Az ügyfél saját tesztelései alapján a 1909-es verziót stabilnak találta, kompatibiltási problémák nem voltak, így erre a szintre kívántak hozni minden gépet. Továbbá követelmény volt, hogy az új release-ek ne kerüljenek fel (2004), ezt a a feature update policyval biztosítottuk.
Update Riporting
Az Update Riporting funkcióhoz igénybe vettük az Azure Log Analytics Workspace-t, azon belül pedig a WaaSUpdateInsights funkciót. Itt lehet nyomon követni a Security és Feature Update státuszokat, hibajelentéseket.
A log analytics lekérdezéssekkel részletes státusz lekérdezhető:
Természetesen maga az Intune Update Ring is tud statisztikát mutatni:
Eredmények
A konfigurációt követő 7 napon belül az onprem gépek több mint 95%-a elérte a Hybrid Azure AD Join és Intune MDM-enrolled állapotot. A leglátványosabb változás a feature update terén volt megfigyelhető, a teljes géppark kb 85%-a elérte a 1909-es buildet, 25 napon belül. Az IT-helpdesk kiemelten figyelte az esetleges frissítésekkel kapcsolatos panaszokat, de nem érkezett ilyen. A monitorozás során kiderült, hogy a maradék 15%-nyi gép az a ritkábban használt kategóriába esik, így ott várhatóan lassabb lesz a frissítési tempó. Néhány frissítés hibára futott, ott az üzemeltetők megvizsgálták a problémát, túlnyomórészt a C: meghajtón lévő kevés hely okozta a gondot.
Az ügyfél az átadott megoldással elégedett volt, az eredmények az elvárásokat nagyban felülmúlták. A meglévő Intune-licenszek ilyenfajta kihasználása és a céges infrastruktúra terhelésének csökkentése is sikeres volt.
Istvánffy Zoltán
Microsoft Cloud Solution Architect, Microsoft Certified Trainer
Qualysoft Informatikai Zrt.