Intune configuration policies vormen een krachtig onderdeel van Microsoft Intune en zijn essentieel voor het centraal beheren van Windows-apparaten. In eerdere artikelen bespraken we de algemene functionaliteiten van Intune en hoe je applicaties uitrolt met Intune. In dit artikel duiken we dieper in de configuration policies: het instrument waarmee je instellingen, beveiliging en gebruiksregels automatiseert op ieder beheerd systeem.
Wat zijn Intune configuration policies?
Configuration policies zijn de regels waaraan een systeem moet voldoen om toegang te krijgen tot bedrijfsgegevens. Deze regels kunnen o.a. invloed hebben op de configuratie van Windows, de configuratie van losse applicaties die geïnstalleerd zijn of het uitdelen van WiFi-wachtwoorden.
Hoe bepaal je welke Intune configuration policies je binnen een organisatie inzet?
Intune heeft een aantal standaard policies die altijd worden gebruikt, bijvoorbeeld het beleid wanneer Intune data mag verzamelen van een systeem om inzicht te krijgen in de geïnstalleerde applicaties of basisrapportages over de gezondheid van systemen. Bitlocker wordt ook altijd ingezet aangezien Intune-apparaten vaak laptops zijn die versleuteling nodig hebben.
Voor overige policies bekijk je de eisen en wensen vanuit een organisatie. Je kan bijvoorbeeld ervoor kiezen om Outlookprofielen automatisch te laten creëren of beleid vaststellen over het automatisch uitschakelen van een monitor bij inactiviteit.
Wanneer een organisatie veel gebruik maakt van Sharepoint, kan deze automatisch worden uitgerold naar een systeem, zodat deze lokaal gesynchroniseerd is. Dit bespaart veel configuratietijd en maakt het mogelijk dat op een later tijdstip een nieuwe site overal automatisch wordt gesynchroniseerd.
Geavanceerdere opties zijn ook mogelijk, bijvoorbeeld het beperken van het gebruik van USB-sticks. Vanuit beveiligingsoogpunt is het een groot risico om USB-sticks toe te staan binnen een organisatie. Zo is het relatief eenvoudig om gevoelige bedrijfsgegevens op te slaan, ook kan een geïnfecteerde USB-stick van buiten de organisatie veel schade aanrichten.
Hoewel het volgende strikt gezien geen configuration policy is, valt het wel in dezelfde categorie. Het is met Intune ook mogelijk om zelf de controle te pakken op het beleid rondom Windowsupdates. Intune maakt daarin onderscheid tussen twee soorten updates, namelijk de reguliere, maandelijkse updates en de grote feature-updates die eens per jaar worden uitgebracht. Beide soorten kunnen apart worden ingesteld wanneer deze beschikbaar zijn en wanneer deze moeten worden geïnstalleerd, eventueel met bijbehorende acties als hier niet aan voldaan wordt.
In grotere organisaties kan het gewenst zijn om updates gefaseerd uit te laten rollen. Daarom kan je met de Windows Updatecontrole in Intune verschillende gebruikersgroepen maken die op verschillende momenten de updates aangeleverd krijgen. Hierdoor kun je testgroepen creëren om fouten in updates op te vangen, zonder dat de hele organisatie hier last van heeft.
Conclusie
Intune biedt vele opties om apparaten in te richten volgens de wensen van de relatie. Dit kan zowel voor beveiliging als voor persoonlijke instellingen. Hiermee kan veel tijd bespaard worden, zonder dat hierbij de beveiliging van het bedrijf in gevaar komt.
