Windows Intune Kullanımı

 

image001

Bir önceki makalemizde Windows Intune ürünü ile Microsoft’ un bizlere sağlamış olduğu ajantajları görmüş ve ürünü kullanmaya karar vermiştik J. Buradan yola çıkarak bu makalemizde de Intune ürününü daha yakından tanıyacağız.

Detaylı anlatıma geçmeden önce aşağıdaki gibi özet bir şema ile açıklamalarıma başlıyorum.

image002

Burada görüldüğü gibi ilk olarak kayıt işlemimizi tamamlıyoruz. Bu işlem için aşağıdaki adresi kullanabilirsiniz.

https://manage.microsoft.com/

Kayıt işlemini tamamladıktan sonra ise sisteme yine aynı adresten logon olarak giriş yapıyoruz.

image003

Yukarıda görüldüğü gibi web yönetim konsoluna eriştim. Buradaki menüleri tanımadan önce ilk olarak cloud yapımıza istemcileri eklememiz gerekiyor. Bunun için Administration bölümüne tıklıyoruz.

image004

Burada karşımıza çıkan menüden “Client Software Download” bölümüne tıklıyor ve işletim sistemimizin mimarisine uygun olan ( 32bit veya 64 bit ) agent yazılımını indiriyoruz.

Agent’ ın yüklenebileceği işletim sistemi listesi aşağıdaki gibidir;

·         Windows XP Professional, Service Pack (SP) 2 veya SP 3

·         Windows Vista Enterprise, Ultimate, veya Business editions

·         Windows 7 Enterprise, Ultimate, veya Professional editions

Client tarafında Itanium hariç x86 ve x64 desteği bulunmaktadır.

Ayrıca bu istemci makineler bir firewall arkasında olacak ise cloud servislerine bağlanmak için bir takım izinlerin verilmesi gerekmektedir. Bu izinler için aşağıdaki linki inceleyebilirsiniz

https://onlinehelp.microsoft.com/en-us/windowsintune/ff628135.aspx

Client tarafındaki gereksinimleri karşılıyorsak eğer indirdiğimiz istemci yazılımını kuralım.

image005

Yükleme sonrası program ekle kaldır menüsünde Windows Intune Agent yazılımını görebiliyoruz.  Kurulum ayrıca masa üstüne bir kısa yol atmaktadır.

image006

Bu kısa yol sayesinde kullanıcıya makinesi hakkında temel yönetim araçları sunulur.

image007

image008

Temel olarak Windows updatelerini yönetebilir, kötü içerikli kodların için koruma sağlayan Intune Malware protection ürününü kullanabilir veya sistem yöneticisinden yardım isteyebilir.

Kurulum ile beraber otomatik olarak bilgisayar cloud sistemine üye yapılır. Bunu yönetim konsolundan rahatlıkla görebilirsiniz

image009

Burada unutmamanız gereken nokta otomatik olarak eklenen bilgisayarlar sizin oluşturduğunuz bilgisayar gruplarına değilde “Unassigned” grubu altına yerleşmektedir. Burada ismi hakanuzuner olan makinenin intune servisine bağlandığını görebiliyoruz. Ancak hemen alt bölümden henüz işletim sistemi versiyonu ve makine adı dışında bir bilgi alamadığımızı gördük.

Makinenin üzerine tıklayarak daha detay bilgilere ulaşabiliriz

image010

Bu raporların sağlıklı bir şekilde alınması için agent yazılımı yüklenmesinin ardından istemci makineyi bir kere yeniden başlatmanız gerekmektedir.

image011

Yeniden başlatmanın ardından yavaş yavaş bilgilerin geldiğini görebiliyoruz. İlk gelen bilgilerden biri bu makinenin 74 adet güncelleştirmeye ihtiyacı olduğudur. Hemen bu bölüme tıklayarak detayları görebilir ve yükleme komutu gönderebiliriz

image012

Tüm updateleri  “ctrl” tuşu veya “shift” tulu yardımı ile seçip onaylayabilirsiniz.

image013

İsterseniz bu güncelleştirmeleri yine web konsol üzerinden “updates” bölümüne tıklayarak, üst bölümde yer alan “filters” yardımı ile takip edebilirsiniz

image014

Evet, yönetim konsolunu incelemeye devam edelim.

Bu bölüme kadar intune ürününe kayıt olduk ve bir makineyi cloud sistemine dahil etmiş olduk.  Ardından makinemiz üzerinde kısa bir inceleme yaparak güncelleştirmeleri yüklemesini sağlamış olduk. Şimdi ise genel olarak yönetim konsolunda başka neler yapabiliriz onları kontrol edelim.

System Overview

System Overview bölümünde yönettiğimiz tüm bilgisayarlar için özet bir rapor ekranını görebiliriz.

image015

Örnek olarak bu ekranda 1 adet uzak yardım isteği, 1 adet kritik güncelleştirme ve 1 adet güvenlik güncelleştirmesinin onay beklediğini görebiliriz. İstersek hemen yardım isteğine tıklayıp uzak makineye bağlanabiliriz

Bu uyarının üzerine tıkladığımız zaman “Alerts” bölümüne geçmiş oluyoruz

image016

Burada pek çok alert olabilir, bizi ilgilendiren ise uzak yardım isteği ve bunun detaylarını aşağıdaki bölümde görebiliyoruz. Eğer istek sizin için uygun ise üzerine bir kere daha tıklıyoruz.

image017

Yeni açılan sayfada alt bölümde “Click here to take action” bölümüne tıklıyoruz

image018

Ve yeni açılan pencerede “Accept the remote assistance request” linkine tıkladığımız zaman Microsoft easy assist yardımı ile uzak oturum başlıyor. Uzak oturumdan önce kendinizi tanımlayacak bir isim girmeniz gerekmektedir

image019

Ardından aşağıdaki gibi bir pencere açılıyor

image020

Bu pencere sizde açıldığı zaman yardım isteyen kullanıcının karşısına aşağıdaki gibi bir pencere çıkacaktır

image021

Buradaki bilgileri ise sizin ulaştırmanız gerekmektedir. Bu bilgileri açık olan penceredeki bilgi ikonu olan butona tıklayarak alabilirsiniz

image022

Not: İstemci ve uzak yardım verecek bilgisayarda live meeting client yazılımı yüklü olmak zorundadır.

Bundan sonraki aşamada chat, dosya paylaşımı masa üstü paylaşımı gibi uzak yardım için temel tüm fonksiyonları kullanabiliyorsunuz.

Web konsolu sırası ile incelemeye devam edelim. İlk bölüm olan sistem ön izlemeden sonra ikinci bölüm bilgisayarımızı yönettiğimiz “computers” bölümüdür.

Computers

image023

Bu bölüm üzerinden temelde 3 ana başlıkta bilgi alabiliyoruz.

Alert – Durum bilgisi

Update – Yama ve güncelleme bilgisi

Malware – virüs ve spyware bilgisi

Genel raporların yanında makine bazlı olarak bilgi almak mümkündür.

Genel Bilgiler – Güncelleştirmeler – Malware – Alarmalar – Donanım Bilgisi – Yazılım Bilgisi

Konularında aşağıdaki gibi tek tek detaylı raporlar alabilmekteyiz.

image024

Bir sonraki ekran ise “updates” ekranıdır, ancak bu ekranı makalenin ortalarında anlattığım için geçiyorum ve  “malware” kısmına geçiyorum.

Malware

image025

Bu bölümden yönettiğimiz bilgisayarlardaki virüs veya kötü içerikli kodların durumu hakkında bilgi alabiliyoruz. Örneğin şu anda elimizde bir adet virüs var. Detayını görmek için üzerine tıklıyoruz.

image026

Detay görüntüye ulaştık. Virüs’ ün sisteme ne zaman bulaştığı ve sorunun çözülüp çözülmediği konularında bilgiyi alabiliyoruz. Daha fazla bilgi için yine bu uyarının üzerine tıklamak yeterlidir.

image027

Eğer bu virüsün hangi makinede bulunduğu ve uygulanan aksiyonu merak ediyorsanız bir kez daha üzerine tıklamamız gerekmektedir

image028

Sonuç olarak “hakanuzuner” isimli makinede “DOS/EICAR_Test_File” isimli bir virüs bulunmuş ve bu virüs sağ alt köşede belirtildiği üzere silinerek sisteme zarar vermesi engellenmiştir.

Alerts

image029

Bu bölüm yardımı ile yönettiğimiz tüm bilgisayarlar hakkında detaylı uyarılar alabiliyoruz. Virüs koruması, policy, uzak yönetim, sistem, yama yönetimi veya izleme başlıkları altında sınıflanan uyarıları bu şekilde izlemek çok daha kolaydır.

Software

image030

Bu bölümde ise şirketinizin makinelerinde yüklü olan yazılımların envanterini görebiliyorsunuz. Her bir yazılımın üzerine geldiğiniz zaman kaç makinede yüklü olduğunu ve yazılımın üzerine tıklayarak hangi makinelerde yüklü olduğunu görebilirsiniz.

Licenses

image031

Bu bölümde ise sahip olduğunuz lisansları yükleyebilirsiniz (MVLS ). Bu yükleme işleminden sonra sayfayı tazelediğinizde sistem sahip olduğunuz yazılım envanteri ile lisansları karşılaştıracak ve size son derece kullanışlı raporlar sunacaktır.

Policy

image032

Windows Intune ile policy uygulamamız mümkündür. Ancak burada Domain policyleri ile Intune policylerini birbirine karıştırmamak gerekmektedir. Intune policy leri domain den bağımsız policyler olup domain ortamındaki bir makine için çakışma durumunda Domain policyleri baskın olacaktır. Ancak domain’ e ulaşılamaması durumlarında Intune policy si baskın olabilir.

Policy oluşturma aşamasına geçmeden önce policy yapısını biraz daha detaylandırmak istiyorum.

Intune policyleri temelde 3 başlık altında toplanabilir

Windows Intune Agent Policy Settings

Bu bölümde temel olarak malware ve update policyleri yer almaktadır. Yani istemci için virüs tarama ve bulunduğundaki aksiyon ayarları ile yamaların yüklenmesi ile ilgili ayarları yapabiliyoruz

image033

Tam olarak ayarların listesi aşağıdaki gibidir

1.       Malware Protection Agent Policy Settings

 

·         Malware Protection Service policy settings

o   Enable Malware Protection

o   Enable real-time protection

o   Track resolved malware (days)

 

·         Scan Schedule policy settings

o   Schedule a daily quick scan

o   Schedule a full scan

o   Run a scan if you have missed two consecutive scans

 

·         Scan Options policy settings

o   Run a full scan after installation of Malware Protection

o   Automatically run a full scan when needed to follow up malware removal

o   Start a scheduled scan only when the computer is idle

o   Check for the latest malware definitions before starting a scan

o   Scan archive files

o   Scan e-mail messages

o   Scan files opened from network shared folders

o   Scan mapped network drives

 

·         Microsoft SpyNet policy settings

 

o   Join Microsoft SpyNet

o   Membership level

 

2.       Update Agent Policy Settings

 

·         Update detection frequency (hours)

·         Automated or prompted installation of updates

·         Immediate installation of updates that do not interrupt Windows

·         Delay between prompts to install scheduled updates (minutes)

·         Delay following restart to begin installing missed scheduled updates (minutes)

·         Prompt user to restart computer after updates are installed

·         Delay between prompts to restart installation of scheduled updates (minutes)

Windows Intune Center Policy Settings

Bu bölüm ise policy hakkında detay bilgi ve sorumlu kontaklarını içeren bölümlerden oluşur.

image034

Name

Phone number

E-mail address

Web site name

Web site URL

Notes

Windows Firewall Policy Settings

Bu policy üzerinden ise tahmin edebileceğiniz gibi firewall ayarlarını yapabilirsiniz. Yapabileceğiniz ayarların listesi aşağıdaki gibidir

image035

1.       Profile Settings

 

·         Turn on Windows Firewall

o   Domain profile

o   Private profile

o   Public profile

 

2.       Block all incoming connections, including those in the list of allowed programs

 

·         Domain profile

·         Private profile

·         Public profile

 

3.       Notify the user when Windows Firewall blocks a new program

 

·         Domain profile

·         Private profile

·         Public profile

 

4.       Predefined Exceptions

 

·         BranchCache – Content Retrieval

·         BranchCache – Hosted Cache Client

·         BranchCache – Hosted Cache Server

·         BranchCache – Peer Discovery

·         BITS Peercaching

·         Connect to a Network Projector

·         Core Networking

·         Distributed Transaction Coordinator

·         File and Printer Sharing

·         HomeGroup

·         iSCSI Service

·         Key Management Service

·         Media Center Extenders

·         Netlogon Service

·         Network Discovery

·         Performance Logs and Alerts

·         Remote Administration

·         Remote Assistance

·         Remote Desktop

·         Remote Event Log Management

·         Remote Scheduled Tasks Management

·         Remote Service Management

·         Remote Volume Management

·         Routing and Remote Access

·         Secure Socket Tunneling Protocol

·         SNMP Trap

·         UPnP Framework

·         Windows Collaboration Computer Name Registration Service

·         Windows Media Player

·         Windows Media Player Network Sharing Service

·         Windows Media Player Network Sharing Service (Internet)

·         Windows Meeting Space

·         Windows Peer to Peer Collaboration Foundation

·         Windows Remote Management

·         Windows Virtual PC

·         Wireless Portable Devices

 

 Temel olarak policylerin neleri içerdiğini gördük şimdi isterseniz policy oluşturalım. Sağ bölümdeki “Create New Policy” linkini kullanarak yeni bir policy tanımlayalım. Benim demo ortamımdaki sorun nedeni ile bu bölümdeki resimleri internet üzerinden aldığımı belirtmek isterim, sizlere bu makaleyi hazırlarken aşağıdaki gibi bir sorun yaşadığım için sadece bu bölüm ile ilgili resimleri internetten aldım.

image036

Peki, çalışsaydı ne görecektiniz.

image037

Policy oluşturmak için öncelikle policy’ ye bir isim tanımlıyoruz, ardından policy içerisinde yapabileceğimiz ayarları kontrol ediyoruz.

image038

İhtiyaç duyduğunuz policyi oluşturduktan sonra ise bunu deploy etmek gerekiyor. Yani istemcilere bu policyi atamak gerekiyor. Bunun içinde aşağıdaki adımları takip ediyoruz.

Yönetim konsolu üzerinden policy bölümüne geliyoruz, ardından sağ bölümdeki task list altındaki view policy linkine tıklıyoruz ve policyleri görüyoruz. Daha sonra deploy etmek istediğimiz policyi seçiyoruz ve Manage Deployment bölümüne tıklıyoruz. Daha sonra açılan bilgisayar grupları penceresinden istediğimiz gruplar için kutucuğu işaretlemek ve ok tuşuna basmak yeterli olacaktır.

Policyler ile ilgili çakışma durumları içinde bilgi vermek istiyorum. Eğer Domain policyleri ile Intune policyleri çakışır ise domain policyleri baskın gelecektir. Veya bir bilgisayar eğer birden çok gruba üye ise yani bir bilgisayara birden çok policy ugulanır ( hepsi intune policysi )ve çakışma var ise bu policylerin arasında, bilgisayara en yakın olan baskın olur. Örneğin aşağıdaki bilgisayar gruplarında “Çözümpark İstanbul” ana bilgisayar grubu altında “Bahçelievler” ve “Bostancı” isminde iki grup vardır. Eğer siz policy nin birini “Çözümpark İstanbul” grubuna birini “Bostancı” grubuna eklerseniz, çakışma durumunda “Bostancı” grubundaki bir bilgisayara etkin olan policy en yakın olan policy olacaktır, yani “Bostancı” bilgisayar grubuna atadığınız policy baskındır.

image039

Aynı seviyedeki gruplar için aynı şekilde iki policy uygulanması halinde ise en son uygulanan policy baskın olacaktır.

Reports

image040

Bu bölümde ise sistemimiz hakkındaki raporları çekebiliyoruz. Üç ana başlık altında toplanan reports bölümü bizlere güncellemeler, yazılımlar ve lisanslama ile ilgili detaylı raporlar sunmaktadır.

Örnek bir rapor ekranını sizlerle paylaşıyorum

image041

Yazılım raporunu hazırladım ve gördüğünüz gibi yüklü yazılımlar ve isterseniz detay bölümünden hangi makinede yüklü olduklarını görebiliyorsunuz.

Administration

image042

Yönetim bölümünde ise yama yönetimi,  bilgilendirme mailleri yönetimi, yönetici tanımlama ekranları ve istemci yazılımı indirme linki bulunmaktadır.

Yukarıdaki ekranda görüldüğü gibi yamalar için aynı WSUS ürününde olduğu gibi otomatik yükleme kuralları tanımlayabiliyoruz. Zaten Intune özetle WSUS ve SCCM ürünlerinin nerede ise toplam özelliklerinin cloud versiyonudur.

image043

Alerts bölümünde tanımlanmış uyarılar, bu uyarıların kime gönderileceği konularında ayarlamalar yapabilmekteyiz.

Administrator Management bölümünde ise live ID ile istediğiniz kullanıcıları yönetici rolü tanımlayabiliyorsunuz.

image044

Son bölümde ise istemci makineleri cloud servisine bağlamak için kullanacağınız agentları indirebileceğiniz bir ekran bulunmaktadır.

image045

Evet, bu son ekran paylaşımımız ile Intune ürününün kullanımı konulu makalemizin sonuna geldik. Özetle Intune ürünü WSUS + SCCM ürünlerinin nerede ise toplam özelliklerinin cloud üzerinde müşterilere sunulmasıdır. Tabi ki orta ölçekli firmalar için önerilen bir çözüm olup SCCM ürünün tüm özelliklerini barındırmamaktadır.