A vállalati szféra alapköve
Sok informatikai rendszergazda a csoportházirendet tekinti minden vállalati informatikai hálózat alapjának. Bármilyen IT-szabvány vagy biztonsági házirend felhasználói körben történő bevezetésekor mindig is a csoportházirend volt a legmegfelelőbb megoldás. A csoportházirend lehetővé teszi az IT-csapatok számára, hogy konzisztens és szabványosított házirendeket alkalmazzanak a vállalati környezetekben. A GP-nek köszönhetően ezek a módosítások nem igényelnek bonyolult változtatásokat a rendszerleíró adatbázis-szerkesztőben, és nem kell egyéni erőfeszítésekre hagyatkozni. Egészen a közelmúltig a csoportházirend-kezelés gyakorlatilag bármilyen vállalati IT-környezetben felmerülő házirend-kényszerítési igényt képes volt kielégíteni.
Aztán megjelent a távmunka és a személyes eszközök használata (BYOD).
Több mint egy évtized óta először a GPO-k nem tudtak lépést tartani egy újonnan kialakuló trenddel: a bárhonnan elérhető felhasználói bázis növekvő igényeivel. Az érzékeny adatokhoz bárhonnan és bármilyen eszközzel való hozzáférés szükségessége olyan összetett problémákat teremt, amelyeket le kell küzdeni a vállalati irányelvek sikeres alkalmazásához.
A távolság korlátozza
Először is, a modern munka kihívását a távolság korlátozza. Még ha egy eszköz vállalati tulajdonban is van, az első kérdés, hogyan tud bejelentkezni a tartományvezérlőre, hogy megkapja a legújabb GP-frissítést. Az egyik lehetőség, hogy az eszköz VPN-en keresztül csatlakozik vissza a vállalati tartományhoz. Nehéz azonban biztosítani, hogy a távmunkások ezt rendszeresen megtegyék, és a GP-frissítés az eszközre is érvényes legyen, mivel ez a folyamat általában csak bejelentkezéskor történik. E lépések követésére tett kísérlet a rendszergazda szemszögéből nézve nehéz feladat.
Az eszköz korlátozza
Rendszergazdaként talán már leküzdötte a távolság akadályát, de most a BYOD kihívásával szembesül. Hogyan szabályozza a vállalati adatokhoz való hozzáférést a nem vállalati eszközökön, például a személyes laptopokon, táblagépeken és mobiltelefonokon? A mai munkakultúra hangsúlyt fektet a bárhol történő munkavégzésre a szabadon választott eszközön, ami a személyes eszközök kezelését a csoportházirendek útvesztőjévé teszi. Évekkel ezelőtt az ActiveSync csak a mobileszközök távoli törlését tette lehetővé, ami a vállalati fiókok ellenőrzésének kezdetleges formája volt. A rendszergazdáknak korlátozott eszközeik voltak a távoli eszközkezelésre, ami nem teremtett egyensúlyt a vállalati biztonsági irányelvek és a távoli felhasználói bázis igényei között. Ez a korlátozás egyértelművé teszi, hogy a csoportházirend nem képes megfelelni a modern rendszergazdák igényeinek.
A Microsoft Intune bevezetése
Az Intune eredetileg 2011-ben debütált Windows Intune néven, és egy szolgáltatási portál volt a Microsoft malware-védelmi motorjának tetején. A debütálást követő néhány évben a megoldáson fokozatos változtatásokat hajtottak végre, hogy elkezdjék kialakítani azt a terméket, amivé később vált. Akkoriban senki sem tudta volna igazán elképzelni ezt a modern munka korszakát, amelyben most találjuk magunkat. Egy olyan korszakot, amelyet elsősorban egy globális járvány vezetett be, amely oly sok szempontból megváltoztatta társadalmunkat. A technológiával szembeni elvárásaink soha nem voltak még ilyen magasak, és ez drámaian megnövelte az IT-adminisztrátorokra világszerte nehezedő nyomást, hogy lépést tartsanak az igényekkel.
A változtatás elfogadása
A változtatás sokszor nehéz, és sok rendszergazda számára ijesztő is lehet a bevett és megszokott irányelvek elhagyása. A Microsoft azonban megkönnyíti az Office 365 kihasználását az e-mail tárhelyen, és ugyanezt teszi az Intune-nal is. Néhány éven belül a lokalizált, régi tartományokat – mint a helyben lévő Exchange-kiszolgálókat – a múltnak tekinthetjük. Örülni fogunk, hogy többé nem kell elviselnünk egy letűnt korszak számára létrehozott platform fejfájásait és korlátait.
Továbbfejlesztett képességek
Az Intune házirendek 4 fő típusra oszthatók:
Konfigurációs profilok:
Ezek a házirendek lehetővé teszik az eszközkezelés és az eszközbeállítások konfigurálását. Az informatikusok például úgy konfigurálhatnak egy Windows 11-es eszközt, hogy csatlakozzon egy adott Wi-Fi hálózathoz anélkül, hogy a felhasználónak be kellene adnia a hitelesítő adatokat. Emellett az informatikai részleg érvényesítheti a vállalati háttérképeket, és korlátozhatja a személyes OneDrive-fiókok hozzáadását, hogy megakadályozza az adatok csaló alkalmazottak általi kiszivárgását. Egy adott eszközhöz számos konfigurációs beállítás áll rendelkezésre.
Megfelelési irányelvek:
A megfelelőségi irányelvek alapvető fontosságúak annak meghatározásához, hogy az eszközök megfelelnek-e a szervezet szabványainak. Az IT határozza meg ezeket a szabályokat, amelyek közé tartozhat a jóváhagyott vírusirtó megoldás megkövetelése, frissített vírusdefiníciókkal. A szabályok vonatkozhatnak a Microsoft Defender engedélyezésére, a megfelelő TPM chipre vagy a BitLocker titkosítás megkövetelésére is. Ha egy eszköz nem felel meg a szabályoknak, konkrét intézkedéseket lehet indítani. A műveletek közé tartozik a következők: az eszköz nem megfelelőnek jelölése egy meghatározott időszak után, egy adminisztrátornak küldött értesítő e-mail, vagy az eszköz visszavonása.
Biztonsági alapelvek:
Ezek olyan biztonsági házirendek csoportjai, amelyek egy adott eszköztípushoz egy helyről konfigurálhatók. Például egy Windows 10+ eszközön az informatikusok kikényszeríthetik a BitLocker engedélyezését, megakadályozhatják, hogy a végfelhasználók jelszavakat tároljanak a böngésző beépített jelszókezelőjének használatával, blokkolhatják a Wi-Fi hálózatokhoz való automatikus csatlakozást, vagy jelszót kérhetnek, miután a gép felébredt alvó állapotból. Jelenleg nincsenek biztonsági alapvonalak a Windowson kívüli operációs rendszerekre.
Feltételes hozzáférés:
Ezek az irányelvek kifejezetten a bejelentkezési követelményeket határozzák meg. Ezen túlmenően meghatározzák, hogy a felhasználók hol jelentkezhetnek be az M365 és az Azure rendszerben található érzékeny információkhoz való hozzáféréshez. Ezek a hatékony házirendek lehetővé teszik a modern rendszergazdák számára, hogy a mai korszerű munka világában kiegyenlítsék az esélyeket.
Konklúzó
Elérkeztünk egy olyan ponthoz, ahol az Intune bizonyítottan jobbnak bizonyult a csoportházirendnél a mai IT-környezetekben. A rendszergazdák most válaszút előtt állnak: vagy elfogadják a házirend-, biztonsági és megfelelőségkezelést szolgáló, Intune-on keresztüli kiváló megoldást, vagy továbbra is a csoportházirend-kezelést használó, korlátozott funkciókkal rendelkező konzolban ragadnak. Mi, a Cloud.Szerver.Hu-nál számos rendszergazdával, MSP-vel és iparági vezetővel beszéltünk, és a választás egyértelmű. Az Intune a jobb megoldás, és az is marad az elkövetkező években.