Intune er et MDM-verktøy (Mobile Device Management) fra Microsoft som er et verktøy for sentralisert administrering av endepunkter som mobile enheter og PC-er. Istedenfor å behandle enhetene hver for seg, kan man styre organisasjonens enheter fra ett sted for å både spare tid og standardisere konfigurasjon av endepunkter. Man kan for eksempel konfigurere enheter, installere apper automatisk, konfigurere apper, styre oppdateringer, sette opp automatisk tilkobling til bedriftens nettverk og spesifisere hvilke komponenter som må være på plass for at enheten skal få tilgang til firmaressurser.
Windows Autopilot
Windows Autopilot et sett med verktøy somgjør det mulig å konfigurere enheter automatisk med innstillinger som IT-avdelingen har bestemt. Dette gjøres for å standardisere enhetenes oppsett og øke sikkerheten. Med Windows Autopilot kan man dermed prioritere andre viktigere oppgaver mens enheten settes opp automatisk.
En sterk fordel med Windows Autopilot er den enkle prosessen for å sette opp en enhet på nytt for en ny ansatt. Vi kan ta for oss et eksempel hvor en ansatt slutter i en bedrift og skal gi bort arbeidsmaskinen sin til en annen ny ansatt. Enheten kan enkelt tilbakestilles til en ren Windows-installasjon med Intune, og med en gang den nye brukeren logger på enheten vil enheten settes opp automatisk og være klar til bruk rett etter at den har blitt ferdig med konfigurasjonen.
Windows Hello for Business
Windows Hello for Business gjør det mulig å benytte ansiktsgjenkjenning, fingeravtrykk eller PIN-kode for å låse opp en datamaskin med Windows 10 eller Windows 11 som operativsystem. Med Windows Hello for Business unngår man passord og erstatter dem med PIN-koder – noe som gjør autentiseringen både lettere og sikrere. Grunnen til at PIN-koder er sikrere enn passord, er fordi passord er lagret i et sentralisert system som har en større Attack Surface enn det PIN-koder har. Dette betyr at en bruker i Entra ID kan være angrepet på flere ulike metoder enn en bruker på en datamaskin som er beskyttet med en PIN-kode. I motsetning til passord, er PIN-koder kun lagret lokalt på maskinen og kan dermed ikke bli hacket med mindre hackeren har fysisk tilgang til enheten.
Windows Hello for Business er også en form for Phishing-resistant MFA, som betyr at Windows Hello for Business er en godkjent MFA-metode for å logge på tjenester som benytter Entra ID for autentisering og samtidig ikke er utsatt for phishing-angrep. I tillegg er Windows Hello for Business godkjent som en passordløs autentiseringsmetode, som lar brukeren logge på sin bruker umiddelbart uten å måtte skrive inn brukernavn og passord.
Automatisk installasjon av apper
Med Managed Apps i Intune kan man automatisk installere applikasjoner på enheter som styres med Intune. Man kan velge å installere apper til alle ansatte, eller installere forskjellige apper for hver avdeling. Man kan for eksempel velge å installere hele Office-pakken, firmaportalen, en ekstra nettleser, en PDF-leser og en applikasjon for utskrift for hele organisasjonen, og i tillegg installere et regnskapsføringsprogram kun for økonomiavdelingen. For datamaskiner kan man velge å installere apper fra Office-pakken, apper fra Microsoft Store, apper fra en nedlastet installasjonsfil eller egenutviklede applikasjoner. For mobile enheter kan man også installere applikasjoner fra Google Play eller App Store.
Man kan også velge å ikke påkreve automatisk installasjon av apper. Eksempler på dette kan være apper som ansatte kan få behov for å bruke etter hvert, men som ikke trenger å alltid være installert. Slike apper kan IT-avdelingen tilgjengeliggjøre for bestemte brukere eller enheter, og så kan brukerne installere appene de trenger selv fra firmaportalen.
Beskyttelse av bedriftens data på mobile enheter
Intune App Protection Policies er en MAM-løsning (Mobile Application Management) som hjelper med å beskytte bedriftens data på mobile enheter som iOS og Android uten at de nødvendigvis må registreres i en MDM-løsning. Dette gjør det mulig for ansatte å bruke private enheter i jobbsammenheng, samtidig som bedriftens data er sikret. App Protection Policies gir IT-avdelingen muligheten til å kontrollere hvordan bedriftsdata brukes og sikres i apper som støtter App Protection Policies, for eksempel applikasjoner fra Office-pakken som Outlook, OneDriveog SharePoint. Gjennom disse retningslinjene kan man definere sikkerhetskrav som bruk av PIN-kode, biometri, krav om kryptering og krav om sletting ved langvarig inaktivitet.
Dette er de viktigste funksjonene i Intune App Protection Policies:
- Tilgangskontroll: Man kan spesifisere om PIN-kode er nødvendig for å få tilgang til bedriftens data, og om Face ID eller Touch ID på iOS er tillatt som et alternativ til PIN-kode. Man kan også velge hvor ofte brukeren må skrive inn PIN-koden på nytt.
- Databeskyttelse: Det er mulig å begrense overføring av informasjon mellom apper, slik at data fra Outlook eller OneDrive ikke kan kopieres til andre apper utenfor organisasjonens kontroll. For eksempel kan man forhindre at bedriftens e-poster fra Outlook blir kopiert til en personlig melding i en annen app, og man kan også sette restriksjoner på utskrift av bedriftsdokumenter.
- Automatisk sletting av inaktiv data: Man kan sette en policy for automatisk sletting av bedriftsdata hvis enheten har data som ikke har vært brukt over en viss periode. Dette reduserer risikoen for at data blir liggende igjen på enheter som kanskje ikke lenger brukes av den som er ansatt.
- Sikring mot jailbroken og rooted enheter: Enheter som har blitt jailbroken eller rooted – det vil si modifisert for å fjerne operativsystemets sikkerhetsrestriksjoner, kan blokkeres fra å få tilgang til bedriftens data og applikasjoner. Jailbroken eller rooted enheter er ikke dekket av garanti og er svært utsatt for sikkerhetsbrudd fordi operativsystemet til slike enheter er åpent for alle endringer. Det er derfor vanlig å ikke tillate at slike enheter har tilgang til informasjon som det er kritisk at ikke kommer på avveie.
- Kontroll over tastaturbruk: Andriod-enheter støtter tastaturer fra tredjeparter, som kan blant annet samle inn data basert på det brukeren skriver inn. For å redusere risikoen for datalekkasje kan App ProtectionPolicies spesifisere at det kun er tillatt å bruke standard tastatur i apper som har tilgang til bedriftens data.
Konfigurasjon av enheter og samsvarspolicyer
Configuration Profiles i Intune brukes for å automatisk konfigurere innstillinger på enheter. En av mange sikkerhetsinnstillinger som er vanlig å skru på med Configuration Profiles er Windows BitLocker. Andre muligheter med Configuration Profiles er konfigurasjon av blant annet WiFi-relaterte innstillinger og tilganger for enkelte applikasjoner for at de skal fungere som forventet, uten at brukeren må godkjenne ekstra brannmuråpninger, disktilgang eller annet for applikasjoner på enheten sin manuelt.
Compliance Policies i Intune brukes for å kreve at enheter har spesifikke innstillinger på plass for at de skal være i samsvar med bedriftens sikkerhetsstandarder. Et eksemel på en Compliance Policy kan være at enheten skal ha et sterkt passord, at enheten skal ha brannmuren påskrudd, at enheten skal ha antivirus, at enheten skal ha SecureBoot og TPM på, og at diskkryptering skal være aktivert. Man kan også spesifisere at enheten skal være oppdatert til en av de siste sikkerhetsoppdateringene for å være i samsvar. De aller fleste innstillingene i Compliance Policies, som krav om antivirus og diskkryptering kan konfigureres automatisk med Configuration Profiles. Andre innstillinger som Secure Boot og bruk av TPM 2.0 er ofte skrudd på som standard, men om de innstillingene ikke er skrudd på må de konfigureres manuelt på hver enhet.
Dersom enheten ikke er i samsvar, kan man velge hvor mange dager det må ha gått før enheten mister tilgang til firmaressurser. Det er også vanlig å sette opp en varsling for brukeren med instrukser om å kontakte IT-avdelingen og at enheten vil miste tilgang til firmaressurser dersom ingen handling blir gjort.
Compliance policies integreres også med Entra Conditional Access Policies, hvor man kan styre betinget tilgang til firmaressurser basert på enhetens sikkerhet. En vanlig praksis er å kreve at man slipper ekstra krav om multifaktorautentisering (MFA) dersom man logger på fra en enhet som bruker Windows Hello for Business og er i samsvar med bedriftens Compliance Policies. Dersom man logger på fra en enhet so ikke er i samsvar med bedriftens sikkerhetsstandarder, kan man kreve at brukeren godkjenner MFA og gjør det med bestemte intervaller, for å beholde tilgangen sin.
Microsoft Defender for Endpoint
Med Microsoft Defender for Endpoint kan man også automatisk skru på Microsoft Defender for Endpoint på både MacOS og Windows.Microsoft Defender for Endpoint varsler om enheter som har en sårbar operativsystemversjon eller programvareversjon. Tjenesten bistår med å finne relevant informasjon om sårbarheter, hvilke enheter som er sårbare og hvordan man blir kvitt sårbarheter.
Microsoft Defender for Endpoint er en tjeneste som krever en Microsoft 365 E5 lisens per bruker som skal benytte tjenesten, og er en del av Microsoft Defender XDR som er en fullstendig løsning med flere verktøy for å beskytte identiteter, data, enheter og applikasjoner.
Oppdateringer og patcher
Med Update Rings i Intune kan man behandle oppdateringer på enheter. Med Update Rings kan man automatisk laste ned sikkerhetsoppdateringer i arbeidstiden, som lar bedriften sikre enhetene sine mot de nyeste dataangrepene så snart nye sikkerhetsoppdateringer er tilgjengelige. Det er også mulig å tilgjengeliggjøre oppdateringer med nye Windows-funksjoner for at bedriftens maskiner skal være oppdaterte på de siste funksjonene og fortsatt motta nye sikkerhetsoppdateringer. Ønsker man å oppdatere drivere på enheter med Intune, kan man også gjøre det. Man kan for eksempel sette opp automatisk godkjenning av alle driveroppdateringer.
Det finnes også muligheter for monitorering av enheter som ikke har fått oppdateringer. Intune har avanserte rapporter som kan forklare ulike grunner til at noen oppdateringer har feilet. Noen eksempler på grunner til at oppdateringer ikke kan bli installert er manglende diskplass, korrupte systemfiler eller at datamaskinen ikke støtter noen funksjoner som oppdateringen krever at er på plass før oppdateringen.
Hvorfor er dette viktig?
Implementeringen av Microsoft Intune er avgjørende for moderne IT-administrasjon og sikring av bedriftsdata. I dagens digitale landskap hvor ansatte ofte bruker flere enheter (også private enheter for arbeidsformål) er en sentralisert administrasjonsløsning som Intune essensiell for å sikre at alle enheter oppfyller bedriftens sikkerhetsstandarder og er konfigurert riktig. Intune gir IT-avdelingen kontroll over alt fra enhetskonfigurasjon og programvareinstallasjon til sikkerhetsoppdateringer, noe som reduserer risikoen for sårbarheter og sikkerhetsbrudd. Gjennom funksjoner som Windows Autopilot og Windows Hello for Business kan bedrifter også øke produktiviteten ved å automatisere oppsett av enheter og bruke sikre metoder for pålogging, noe som både sparer tid og minsker sjansen for digitale sikkerhetsbrudd.
Trenger du mer hjelp?
Har du spørsmål, eller ønsker du ytterligere veiledning om hvordan du kan ta i bruk Intune som MDM-verktøy i din organisasjon?