Autopilot en andere Microsoft endpoint ervaringen
In dit blog willen wij onze ervaringen met jullie delen als het gaat om ‘Autopilot’. Deze methodiek wordt al enige jaren toegepast, zeker als je spreekt over de configuratie en inrichting van de moderne werkplek. Omgevingen al-dan-niet volledig Cloud-gedreven, zijn in staat om op eenvoudige wijze de werkplek naar de behoefte van de medewerker geautomatiseerd uit te rollen.
De Autopilot scenario’s
Scenario 1: autopilot in hybride vorm
De klant schaft nieuwe computers (desktops, notebooks) aan en wil deze graag hybride laten landen tussen de on-premise omgeving en de Microsoft 365 omgeving, ook wel de Autopilot Hybride variant genoemd. Deze opstelling vereist niet meer dat dit op locatie gebeurt zodat de lokale domeincontroller gevonden kan worden voor het bekend en aanmaken van de nodigde Active-directory objecten. Deze actie kan namelijk offline worden uitgevoerd door gebruik te maken van een Always on VPN oplossing welke ook via Intune uitgerold kan worden. Wat je wel goed moet onthouden is dat er een Windows 10 Enterprise licentie actief moet zijn, anders start de VPN niet automatisch op en faalt het inloggen.
Opmerking bij dit scenario is of een hybride koppeling nog wel nodig is? Zijn er diverse netwerk locaties nodig aan op de werkplek, dan kan dit prima opgelost worden met behulp van een script welke via Intune uitgerold kan worden.
Scenario 2: autopilot in cloud-only vorm
De klant schaft nieuwe computers (desktops, notebooks) aan en wil deze graag alleen nog maar gekoppeld willen hebben met de Microsoft 365 omgeving. Als de partij waar de hardware gekocht is rechten heeft gekregen om de hardware ID’s alvast in de Microsoft 365 tenant te uploaden, dan is het in de praktijk zelfs mogelijk om de hardware direct naar de medewerker te sturen en deze hoeft alleen nog maar in te loggen voor het in gebruik nemen van het apparaat (uiteraard met Multi-factor authenticatie).
Opmerking bij dit scenario is, dat de gebruiker het registratieproces van het apparaat wel de tijd moet geven. Dit kan er zeker bij de wat tragere internetverbindingen toe leiden dat het weleens een uur tot twee uur kan duren voordat het apparaat in gebruik kan worden genomen. Dit is sterk afhankelijk hoeveel applicaties er geïnstalleerd worden tijdens dit proces.
Scenario 3: cloud-only klaar voor gebruik
Eigenlijk hetzelfde als bij scenario 2, alleen zal het apparaat eerst nog door iemand aangezet worden en middels de Pre Deployment methodiek klaar gemaakt worden. Voordelen van dit scenario zijn, dat je als beheerder weet of de hardware naar behoren functioneert en dat de eindgebruiker bij de eerste keer opstarten geen uren hoeft te wachten, maar na het inloggen direct aan de slag kan. Bij de Pre Deployment worden de applicaties, profielen en instellingen al geïnstalleerd of toegekend.
Opmerking bij dit scenario is, dat hier iemand met enige IT-kennis voor aanwezig moet zijn voordat het apparaat uitgeleverd kan worden aan de eindgebruiker.
Verschillende merken, verschillende uitdagingen
Bij de aanschaf van een nieuwe desktop of notebook dient er goed gekeken te worden naar de meegeleverde Windows versie. Niet zozeer of het een Professional licentie bevat, maar meer naar welke software er standaard meegeïnstalleerd is. Wij zien helaas nog vaak genoeg dat er diverse software wordt geïnstalleerd die er niet hoort. Tijdelijke versies van antivirus software bijvoorbeeld of overige support programma’s die een gebruiker zouden moeten helpen, maar het geheel vaak alleen maar vertragen.
Binnen een actieve ‘modern Workplace’ community is een oplossing bedacht genaamd: OSDCloud. Deze PowerShell gedreven module zorgt ervoor dat je middels een USB stick een nieuwe installatie van ofwel een vorige build van Windows 10 kan kiezen of direct voor de allerlaatste versie wilt gaan met de laatste updates erin. Tevens kun je kiezen om gebruik te maken van stuurprogramma’s die door de fabrikant beschikbaar zijn gesteld. Hierbij moet je denk aan HP, Dell, Microsoft en Lenovo apparatuur. Als je meerdere apparaten tegelijk wilt installeren en configureren, dan kun je er ook voor kiezen om een Windows 10 versie op de USB te plaatsen, zodat deze niet steeds opnieuw gedownload hoeft te worden.
De OSDCloud methodiek kan ook worden voorzien van Autopilot profielen. Hierdoor kan het klaarzetten van het apparaat op basis van een zogeheten ‘enrollmentprofilename’ bekend worden gemaakt binnen een dynamische groep in de desbetreffende tenant. Aan dezelfde groep koppel je dan weer de benodigde profielen (Bitlocker, applicaties, baseline, etc.) en kan het apparaat in gebruik genomen worden.
Applicaties, packages, updates en overige
Met alleen een Autopilot methodiek ben je er natuurlijk nog lang niet. Denk bijvoorbeeld aan diverse beveiligingsprofielen die tijdens het registratieproces uitgevoerd kunnen worden. Bitlocker, standaard beveiligings-profielen (ook wel baselines genoemd), deze heb je voor Windows 10, Edge en Microsoft Defender direct tot je beschikking.
Applicaties zoals Office 365 of andere applicaties (al dan niet vanuit de Windows Store) kunnen direct worden uitgerold en worden voorzien van allerlei standaarden als het gaat om huisstijl of andere instellingen.
Applicaties onderhouden
Voor het installeren en voornamelijk onderhouden van de applicaties is het wellicht interessant om eens te kijken naar oplossingen zoals Chocolatey. Dit is een opensource oplossing die al dan niet met een eigen repository de werkplekken kan voorzien van de gebruikte softwarepakketten en nieuwe updates en deze kan onderhouden. Microsoft zelf heeft hiervoor ook een oplossing genaamd, Winget. Deze functionaliteit zal in de komende periode geïntegreerd worden met Intune. Houd het Endpoint nieuws in de gaten!
Hulp of ondersteuning nodig?
Heb je vragen? Wij zijn altijd bereid om te luisteren en mee te denken over de uitdagingen waar jullie tegen aanlopen. Van het ontzorgen door het klaarmaken van apparaten tot volledig beheer. Wij kunnen helpen om een omgeving in te richten waarbij gebruikersgemak en eenvoud belangrijke pijlers zijn.
Vul onderstaand formulier in en wij nemen binnen één werkdag contact met je op.
Michiel Dekker, Cloud Consultant