EMS demo część 5: Intune – konfiguracja usługi oraz przygotowanie stacji roboczej

29 Sie
29 sierpnia 2018 Posted by tuczap 0

Mamy już prawie wszystko gotowe do przetestowania funkcjonalności pakietu EMS – przydałaby się jedynie jeszcze jakaś stacja robocza z której będziemy udawać że pracujemy jako zwykły szary użytkownik 😉 Korzystając z subskrypcji Azure MSDN stworzyłem sobie maszynę wirtualną z Windows 10 i wpiąłem ją do domeny tuczapski.pl, którą wcześniej skonfigurowałem na kontrolerze domeny. Ale zanim to się mogło wydarzyć, trzeba było jeszcze ustawić serwer DNS dla moich maszynek na poziomie VNETu.

Wchodzę w ustawienia sieci wirtualnej do której są podpięte moje maszyny wirtualne (kontroler domeny i nowo utworzona maszyna z Win 10), wybieram DNS servers i klikam Custom po czym wpisuję prywatny adres IP kontrolera domeny. Po zapisaniu zmian należy jeszcze zrestartować maszyny wirtualne z poziomu Azure i już możemy podłączać do domeny.

vnet-dns-servers

Tak naprawdę możecie od razu stworzyć jeszcze dwie maszyny wirtualne z Win 10, które przydadzą nam się na testy AIP i Intune (testy różnych polityk oraz szyfrowanie dokumentów z różnymi poziomami uprawnień). Niech na każdą maszynę loguje się inny użytkownik – więc dodatkowo utwórzcie trzech użytkowników w domenie, podłączcie wszystkie maszyny do domeny i upewnijcie się że na każdą maszynę loguje się inny użytkownik. Możecie jakoś logicznie nazwać użytkowników i maszyny żeby się nie myliły np. księgowość, HR, marketing lub coś w tym stylu.

Przypisywanie licencji do użytkowników

Po tym jak użytkownicy utworzeni w lokalnej domenie (nota bene skonfigurowanej na maszynach w chmurze czyli jakby nie patrzeć lokalna domena w chmurze 😀 ) zsynchronizują się już do Azure AD czyli jak już będziemy ich mogli zobaczyć w portalu Azure w Azure Active Directory – Users oznacza to że mogą już się logować do usług chmurowych Microsoft i z nich korzystać. O ile oczywiście mają na to licencję 🙂 Licencje nadajemy z poziomu Azure Active Directory – Licenses. Należy przejść do All products i tam powinna być widoczna subskrypcja trial EMS E5 o ile aktywowaliście ją wcześniej tak jak to opisałem w jednym z wcześniejszych wpisów. Trzeba ją zaznaczyć i kliknąć Assign.

assign-ems-license

Teraz mogę wybrać do których użytkowników i grup chcę przypisać licencję. Przypisywanie licencji do grup jest wygodne gdy mamy dużą ilość użytkowników – wtedy możemy ich wrzucić w grupę w AD i po synchronizacji do Azure AD przypisać licencję do całej grupy użytkowników. Na moje potrzeby przypiszę licencje do pojedynczych użytkowników: test, Test 2 i Test 3. Klikam kolejno Select i następnie Assign. Opcjonalnie w menu Assignment options mogę wyłączyć niektóre usługi EMS użytkownikom jeśli chcę np. dać im licencję tylko na AIP.

assign-ems-license-to-users

Jeśli dostanę błąd typu „License cannot be assigned to a user without a usage location specified.” to muszę wejść w profil użytkownika w Azure AD i ustawić mu Usage location po czym kliknąć Save. Teraz przydzielenie licencji powinno się odbyć bez problemów.

azuread-users-usage-location

Licencje można też przydzielić z poziomu użytkownika – na obrazku powyżej pozycja Licenses.

Jak już mamy przypisane licencje to wypadałoby przygotować nasze wirtualne stacje robocze do korzystania z EMSa w szczególności AIP oraz Intune. Zacznijmy od Intune.

Aktywacja usługi Intune

Zanim zaczniemy korzystać z Intune należy go aktywować. Robi się to z poziomu portalu Azure. Po zalogowaniu należy odszukać Intune z wachlarza dostępnych usług. Po otworzeniu karty konfiguracji zobaczymy komunikat sugerujący aktywowanie usługi.

enable intune

Po kliknięciu zostaniemy postawieni przed wyborem jak chcemy korzystać z Intune: czy chcemy mieć całą konfigurację i zarządzanie stacjami i urządzeniami mobilnymi w Intune czy może chcemy połączyć Intune z SCCM. Wybieram pierwszą opcję czyli Intune MDM Authority i klikam Choose.

intune mdm authority

Po aktywacji skonfigurujmy automatyczną instalację pakietu Office na urządzeniach z Windows 10 (Office będzie nam potrzebny do korzystania z AIP). Wybieram z menu po lewej Mobile appsApps – Add.

add apps

W nowo otwartej karcie wybieram jako App type Windows 10 pod nazwą Office 365 Suite i następnie uzupełniam kolejno informacje jakie aplikacje chcę żeby się instalowały (zostawiam wartości domyślne) oraz konfiguruję App Suite Information czyli nazwę i opis tej konfiguracji w Intune oraz na końcu App Suite Settings czyli ustawienia instalacji (wersja Office 32/64 bit, aktualizacje, itp.). Mogę również wybrać jakie języki mają się zainstalować z Office – wybieram polski i angielski.

Jak już skończę konfigurację to na końcu klikam Add.

intune add windows 10 app

Teraz portal Azure poinformuje mnie że muszę taką konfigurację jeszcze do kogoś przypisać. W nowo otwartej karcie klikam Assignments – Add group i wybieram Required jako Assignment type – spowoduje to automatyczną instalację pakietu Office dla danej grupy użytkowników o ile na stacji na którą się logują jeszcze Office’a nie ma. Następnie w Included Groups wybieram grupę użytkowników (jeśli jej nie mam to muszę wcześniej utworzyć 🙂 ). Klikam Select i kolejno OK i OK oraz na końcu Save. Teraz każdemu użytkownikowi z danej grupy po zalogowaniu się na komputer bez Office’a i zarejestrowaniu go w Intune pakiet Office zostanie automatycznie zainstalowany 🙂

Rejestrowanie komputera z Intune

Aby przetestować instalację pakietu Office loguję się na maszynę wirtualną z Windows 10 jednym z użytkowników z grupy którą przypisałem do wyżej skonfigurowanej polityki.

Teraz wybieram Start – Settings – Accounts.

win10-settings-accounts

Wybieram Access work or school następnie po prawej stronie klikam Enroll only in device management. Mogę kliknąć Connect w środkowej części okienka ale po uwierzytelnieniu się mój komputer zostałby dodany do Azure AD (funkcja Azure AD Join). Dopiero po dodatkowej konfiguracji Azure AD zostałby zsynchronizowany z Intune. Nie chcę dodawać PC do Azure AD tylko do samego Intune stąd Enroll only in device management.

win10-connect

Podaję swój login użytkownika i klikam Next.

win10-connect-username

Jeśli zamiast pytania o hasło dostanę informację że nie można było znaleźć połączenia do Intune (jak na poniższym obrazku) to muszę go podać ręcznie.

win10-mdm-url-error

W tym celu przechodzę do portalu Azure i Azure AD – Mobility (MDM and MAM). Wybieram Microsoft Intune i kopiuję MDM discovery URL. Wklejam na mojej stacji w odpowiednie pole i klikam Next.

win10-mdm-url

Następnie podaję swoje hasło, klikam Sign in i czekam chwilę aż zostanę uwierzytelniony. Po pojawieniu się komunikatu o zakończeniu procesu konfiguracji synchronizacji z Intune kilkam Got it i cierpliwie czekam aż moja stacja robocza zostanie zsynchronizowana z Intune efektem czego powinien zostać zainstalowany pakiet Office 🙂 O sukcesie dodania komputera do Intune świadczy nowa pozycja na liście kont.

win10-settings-accounts-new

Dodatkowo po kilku chwilach w panelu Intune powinienem zobaczyć informację o moim urządzeniu. Mogę to sprawdzić w portalu Azure, Intune – Devices – All devices.

intune-all-devices

W razie jeśli urządzenie nie pojawia się w Intune lub dostaję jakieś informacje o błędzie synchronizacji na urządzeniu mogę sprawdzić logi klikając odnośnik Export your management log files po prawej stronie okna Access work or school.

Mogę sprawdzić stan połączenia klikając na nowo dodanej pozycji i wybierając przycisk Info.

win10-sync-info

Po jakimś czasie (w zależności od szybkości połączenia do Internetu) na mojej stacji powinien zostać również automatycznie i po cichu, bez ingerencji ze strony użytkownika zainstalowany pakiet Office (u mnie od momentu podpięcia urządzenia do Intune do momentu zainstalowania Office’a minęło ok 45 minut).

win10-office-installed

No i tym sposobem udało nam się skonfigurować automatyczną instalację pakietu Office na stacjach roboczych z wykorzystaniem Intune 🙂 W następnym wpisie – konfiguracja i instalacja Azure Information Protection.

Dodaj komentarz