GPO over Azure AD

Intune.

Zoals hierboven wordt aangegeven is Intune de optie zodra het Windows 10 device gekoppeld is aan Azure. Intune is op het moment nog wat beperkt en er is een optie binnen Intune om een Powershell script te starten, hierdoor zijn de mogelijkheden uitgebreid.

Zodra je de Windows 10 machine koppeld aan Domain Services zal uiteraard de GPO weer een mogelijkheid zijn. Dan is er echter wel een VPN / Express Route benodigd.

Sommige GPO's kun je tegenwoordig ook via Intune op je client krijgen, zie artikel hier onder. Is trouwens wel een bitch om te beheren. Machines kunnen overigens prima aan AD en AAD gekoppeld zijn. Momenteel doen we alles dat native met Intune kan in Intune, rest traditionele GPO. Uitgangspunt is dat alles dat niet in Intune kan eigenlijk legacy is (bijv. drivemappings).

https://blogs.technet.mic...s-using-microsoft-intune/

cyberbetica schreef op maandag 3 september 2018 @ 14:43:
Sommige GPO's kun je tegenwoordig ook via Intune op je client krijgen

Correctie: policy settings die je normaliter in een GPO zet kan je met gebruik van de admx templates ook via intune op een AzAD joined device zetten.
Niet 'GPO'.

Ik heb net voor het eerst een tenant met AD premium / intune opgetuigd voor een pure online-only omgeving en het verbaasd me dat intune zo beperkt is als het neerkomt op windows 10 device config vergelijkende met wat je in een gpo kan doen..? Waarom hebben ze niet al die instellingen die je normaal in gpedit vind in het "device restrictions" profile in intune gezet, of denk ik te makkelijk?

@maussio ervaring; is met een powershell script op een client makkelijk policy's anders instellen?

@cyberbetica thnx voor de link dat klinkt idd niet heel easy qua workflow..

@maratropa
Het is waar dat er minder opties in Intune verwerkt zitten (Op dit moment) dan dat er met een GPO mogelijk zijn. Echter is er ook een verschuiving van verantwoordelijkheden, wat bedoel ik hiermee? Je ziet dat bedrijven tegenwoordig de medewerker de verantwoordelijkheid over hun devices geven en door middel van Intune of een andere MDM oplossing wordt het device op de zij lijn beheerd.

GPO's en Intune zijn niet dezelfde producten en hebben ook niet hetzelfde doel.

Maar dit staat los van jouw vraag ,

Het is met Intune mogelijk om een PowerShell script te pushen naar een device. Door middel van een PowerShell script kan je de rules op een machine ook aanpassen. Dit is helaas wel beperkt doordat er vaak 'Administrator' rechten benodigd zijn. Het kan dat dit gewijzigd is, maar voor zover ik weet is het nog niet mogelijk om PowerShell scripts met 'Administrative' rights te draaien.

thnx @maussio Ik begrijp je punt en dat de insteek nu verschillend is

Ik heb hier bijv een educatieve tenant opgezet met het idee om alles online te doen; maar voor bepaalde users moet een account gewoon helemaal dichtgetimmerd worden. ( geef jonge leerlingen maar eens een admin user ) Dit lijkt me niet iets wat verdwijnt.
Alles online lijkt me de toekomst dus ik hoop dat intune op een gegeven moment volledig kan overnemen wat je met een gpo doet

ik zie online ik MS fora ook wat frustraties bij beheerders die alleen online bezig zijn en ook gehoopt hadden volledige controle te hebben met intune, dus ik ben niet alleen.

Een device met w10 aan azure ad toevoegen vind ik ook niet optimaal gaan. De user wordt gewoon ook admin bijv.

Nouja ik zie dat device brede policies ook doorgegeven worden aan de nieuwe azure ad user, dat is iig iets. En users die dichtgetimmerd moeten worden maar in een normaal niet azure ad gekoppeld account stoppen.

@maratropa
Begrijpelijk ;)! Dat is inderdaad een andere situatie.

Helaas is Intune, op dit moment, nog niet de uitkomst en moet je toch echt kijken naar een On-Premise domein. Een Full-Cloud concept is deze eerste tijd nog een uitdaging, daar ben ik het zeker mee eens.

Persoonlijk heb ik geen ervaring met andere MDM oplossingen. Misschien dat dit met een andere oplossing wel mogelijk is, wat ik persoonlijk wel verwacht.