Pilvipohjaisuus muuttaa työasemien hallintaa

Published 7.4.2022
Reading time approx 4 min

Microsoftin Configuration Manager (ConfigMgr) on pitkään ollut yleisin työkalu Windows-työasemien hallinnassa isommissa organisaatioissa. ConfigMgr on pohjautunut on-premises Active Directoryyn, Windows-palvelimiin ja SQL-tietokantaan. Työaseman asetusten hallinnassa Active Directoryn Group Policy on ollut hallitseva teknologia.

Kuten muissakin alueissa, pilvipohjaisten palvelujen käyttö on kasvanut merkittävästi myös työasemahallinnassa. Windows-työasemissa tämä tarkoittaa usein Microsoftin Intune-palvelua. Kun on-prem-pohjaisesta hallinnasta siirrytään pilvipohjaiseen hallintaan, moni asia muuttuu sekä teknisesti että prosessimielessä. Uudessa ympäristössä on tarve myös erilaisella osaamisella.

Jatkuva muutos osaksi toimintaa

Configuration Managerissa Microsoft tuo uuden tuotantoversion kolme kertaa vuodessa. Tämän lisäksi joka kuukausi julkaistaan myös testiversio. Jokainen tuotantoversio on tuettu 12 kuukauden ajan, ja asiakas voi itse päättää, milloin se päivitetään.

Intuneen puolestaan tulee uusi ”versio” joka kuukausi, ja kuukausittaisten päivitysten lisäksi voi tulla pienempiä muutoksia myös kuukausipäivitysten välillä. Esimerkiksi tammi-maaliskuussa 2022 on Intuneen tullut 8 päivitystä Microsoftin dokumentaation mukaan (What’s new in Microsoft Intune | Microsoft Docs).

Pilviympäristöissä päivitykset tapahtuvat toimittajan määrittämässä aikataulussa, eikä yksittäisellä asiakkaalla ole mahdollisuutta vaikuttaa niihin. Jatkuva päivitys on kuitenkin hyvä asia, koska uutta toiminallisuutta ei tarvitse odottaa pitkään. Intunen päivitykset eivät aiheuta katkosta hallintaan, mutta asiakkaiden olisi hyvä pysyä kärryillä päivitysten mukana tulevista ominaisuuksista.

Monta tapaa hallita samaa asetusta

Jatkuva muutos voi aiheuttaa teknologiayllätyksiä, koska mahdollisesti samaa asetusta voidaan hallita usealla eri tavalla. Esimerkiksi Windows Defenderin virustorjuntaan liittyviä asetuksia pystyi alun perin määrittämään Intunessa Configuration Profilesin yhteydessä olevien Device restrictions:n toiminallisuuksien avulla. Sen lisäksi oli myös teknisempi Custom OMA-URI, jolla pystyi määrittämään kaikkia asetuksia, joihin ei ollut vielä tehty Intuneen käyttöliittymää.

Tämä jälkeen Intuneen tuli Security Baselines -toiminto, jonka avulla tietoturvaan liittyviä asetuksia, kuten virustorjunta-asetuksia, oli helppo määrittää Microsoftin suositusten mukaisesti. Seuraavaksi Intuneen tuli oma Antivirus-profiilityyppi. Microsoft kokosi tietoturvaan liittyviä määrityksiä uuteen paikkaan Intune-portaalissa. Uusina niistä on Settings Catalog, jolla pystyy määrittämään laajasti eri asetuksia, Windows Defender mukaan lukien.

Intunessa on nyt siis viisi eri tapaa tehdä täsmälleen samoja määrityksiä työasemalle. Jokaisessa on hieman erilainen käyttöliittymä, ja samoihin asetuksiin voidaan viitata hieman eri sanoilla. Jos Defenderin virustorjunta-asetukset on alun perin määritelty vaikkapa Device restrictions:n avulla, on syytä miettiä, tulisiko samat asetukset luoda uudestaan Settings Catalog:n avulla. Settings Catalog tarjoaa virustorjunta-asetuksiin laajimman asetusvalikoiman ja parhaan käyttöliittymän. Tästä syystä halutaan mahdollisesti vakioida, että kaikki asetusmäärittelyt tehtäisiin sen kautta. Näin raportointi ja vianselvitys olisi helpompaa. Toisaalta asetustyypin muutos ja testaus aiheuttaa työtä ilman, että hallittavissa työasemissa tapahtuu mitään muutosta. Yksittäisellä organisaatiolla tämä ei ole kovin suuri ongelma, mutta IT-palveluntarjoajat joutuvat miettimään mahdollisimman tarkasti, miten asetukset määriteltäisiin kaikkien asiakkaiden ympäristöön samalla tavalla.

Objektien ryhmittely pilvipalveluissa

Kolmantena asiana objektien ryhmittely, joka muuttuu merkittävästi pilvipalveluissa. Active Directoryssa laitteet ja käyttäjät on yleensä ryhmitelty organisaatioiden (organizational unit, OU) avulla organisaation kannalta sopiviksi palasiksi. Configuration Managerilla koneet ja käyttäjät voidaan ryhmitellä collectioneihin oikeastaan minkä tahansa koneesta/käyttäjästä saadun tiedon perusteella. Tällä tavalla kaikkien asetusten/ohjelmien yms jakelu voidaan kohdentaa hyvin tarkasti ja vapaasti. Muut objektit voidaan jaotella kansioilla.

Yleisesti pilvipalvelut eivät pidä ryhmittelyistä, vaan objektit ovat yhdessä pitkässä listassa. Azure Active Directoryssa ei ole ollenkaan OU-käsitettä. Intunessa kaikki objektit ovat yhdessä pitkässä pötkössä, ja valitettavasti käyttöliittymän haku/lajittelu-ominaisuudet ovat vielä puutteellisia.

Intunen jakelut kohdennetaan Azure AD -ryhmien perusteella. Dynaamisilla Azure AD -ryhmillä voidaan automaattisesti luoda ryhmiä, joiden sisältö määräytyy tiettyjen ehtojen perusteella. Varsinkin työasemien osalta ryhmittelymahdollisuudet ovat vajavaisia. Yrityksen organisaatiorakenteen mukaisten ryhmien luominen on hankalaa ja myöskään koneen inventointitietojen perusteella ei voi luoda dynaamista ryhmää. Käyttäjien osalta tilanne on onneksi selkeästi parempi.

Koska Intunen/Azure AD:n ryhmittelyominaisuudet ovat puutteellisia, tulee haasteeksi isommissa ympäristöissä helposti oikeiden objektien löytäminen pitkistä listoista. Tämä korostaa hyvän nimeämistavan tärkeyttä. Jotenkin vain objektien löytäminen hyvän nimeämisen perusteella tuntuu tänä päivänä historialliselta.

PowerShell-skripteille taas tarvetta

Pilvipohjainen työasemahallinta helposti mielletään ”helpommaksi” kuin perinteinen hallinta. Oma mielipiteeni on, että itse asiassa perinteisen ympäristön päivittäinen hallinta voi olla huomattavasti helpompaa johtuen huomattavasti paremmasta käyttöliittymästä. Perinteinen ConfigMgr:n hallintakonsoli on ominaisuuksiltaan paljon pilvipohjaisen Intunen hallintaportaalia parempi.

Intunen/Azure AD:n hallinnassa on yleensä paljon useammin tarvetta PowerShell-skriptien käyttöön kuin ConfigMgr/AD:n kanssa. Tästä syystä kaikkien pilvipalvelujen kanssa työskentelevien tulisi osata PowerShelliä. Tai oikeammin voisi ehkä sanoa, että pilvipalvelujen kanssa tulee osata PowerShelliä paremmin. PowerShell on erittäin hyödyllinen myös on-prem -palvelujen kanssa.

Listasin tässä muutamia isoja muutoksia mitä pilvipalvelut tuovat tullessaan työasemahallintaan. Sekä ConfigMgr:llä että Intunella voi Windows-työasemille tehdä samat asiat, mutta hyödyntäen eri teknologioita. Kummassakin on eri osaamistarpeet, mutta molemmissa pitää ymmärtää Windows-käyttöjärjestelmän hallintamahdollisuudet.

Yhteenvetona voidaan sanoa, että pilvipohjaiset palvelut vaativat jatkuvaa seuraamista sekä uudenlaista osaamista.

Koulutusta aiheesta

About author:
Panu Saukko

Panu Saukko

Panu on pitkään työskennellyt Microsoftin teknologioiden kanssa ammattilaiskouluttajana ja konsulttina. Pääosaamisalueena hänellä on päätelaitteiden hallinta Microsoftin teknologioilla sekä pilvi- että on-prem-teknologioilla.

Panu on ollut vuosikymmeniä Microsoft Certified Trainer (MCT) ja vuodesta 2015 lähtien Microsoft Most Valuable Professional (MVP).

Vapaa-aikana Panu nauttii liikunnasta ja ulkoilusta sekä NBA:n seuraamisesta.

Tags

Pilvipalvelu Microsoft Azure Intune