Ik weet dat je het niet graag hoort, maar ook ik ga me bij de rest aansluiten en zeggen dat het inloggen met de credentials van een ander persoon een absolute no-go is, toch zeker wanneer die persoon zelf niet aanwezig is en zelf geen toezicht kan houden. En hoewel het niet mijn expertise is, zou het zelfs zomaar kunnen zijn dat zoiets vandaag de dag zelfs een schending van de privacy wetgeving is. Zo is de mailbox van een gebruiker bijvoorbeeld een private aangelegenheid, daar mag een beheerder geen toegang toe hebben.
En vergeet niet dat de dag dat het misloopt en men kan de schuld bij jullie leggen, ook al hebben jullie niets verkeerd gedaan, dat men dat ook zal doen. En als een externe partij daar bij tegenwerkt, dan moet men als organisatie zeker eens nadenken over de verdere samenwerking met die partij. Je werk in de zorg waar beveiliging van informatie een prioriteit hoort te zijn want 1 enkel lek kan desastreuze gevolgen hebben.
En je hebt in principe alle tools in handen om heel het process in te richten zodat een gebruiker zeer snel vertrokken kan zijn.
Je maakt reeds gebruik van AutoPilot, dat is positief. Je kan alles van configuratie en alles van verplichte apps die er vanaf de eerste minuut horen op te staan installeren op die laptops met behulp van pre-provisioning. Als de gebruiker dan gaat starten haal je een dag vooraf die laptop al boven en laat je deze opnieuw door de out-of-box-experience lopen zodat deze al even voorbij de herevaluatie van de computer policies gaat. Daarna laat je de gebruiker zelf aanmelden, en als je de ESP pagina zo instelt dat deze
1) getoont wordt
2) de user installatie overslaat
dan komt de gebruiker onmiddelijk op het bureaublad terecht.
Wij geven onze gebruikers een mooie handleiding waarin alles wat ze zelf moeten doen netjes, met afbeeldingen staat uitgelegd. Wij hebben gebruikers die hun device onboarden op honderden kilometers van kantoor, zonder problemen. Wij zijn vandaag in staat om een laptop rechtstreeks in ongeopende doos aan een gebruiker te geven (al duurt het opzetten dan wat langer) en die gebruiker geraakt netjes tot op de desktop, inclusief het opzetten van de VPN als pre-logon authentication provider omdat je line-of-sight naar je active directory nodig hebt bij de eerste keer aanmelden in een hybride setup.
Even het process zoals wij het vandaag doen voor een groot deel van onze gebruikers, want we doen wel degelijk aan preprovisioning om tijd te besparen, al wil ik daar ook nog altijd van af geraken, maar dan krijg ik klachten dat het te lang duurt.
Dus, IT start de laptop op en verbind deze met een verborgen wifi netwerk dat gewoon met een lekker lange wachtzin beveiligd is.
Je kent ze wel. En daarna starten zij de preprovisioning waarbij we enkele scripts hebben die alle config goed zet, we installeren onze anti-virus, onze VPN, MS Office en de Company Portal. Alles wat de gebruiker nodig heeft en geen app meer.
De gebruiker krijgt de laptop en logt voor de eerste keer aan. Wij laten hen dan als eerste de Company Portal app openen. Dit omdat men daarmee de user association maakt in Intune maar ook omdat wij een vereiste hebben dat de laptop een PIN code moet hebben voor BitLocker te ontgrendellen. Daar hebben we een kleine app voor in de Company Portal zodat dit gedaan kan worden zonder dat er admin rechten noodzakelijk zijn.
Voor nieuwe gebruikers is het ook onmiddelijk een kennismaking met die Company Portal en leren ze direct dat er iets is zoals een "app store" met applicaties die we als onderneming goedkeuren voor gebruik. Nieuwe gebruikers krijgen ook de instructie om hun eigen wachtwoord te veranderen, opnieuw met screenshots erbij hoe ze dat kunnen doen.
Dan laten we hen van netwerk veranderen waarbij we ook gewoon met screenshots aantonen hoe dat moet. We vragen hen ook om het onboarding netwerk te vergeten. Al hebben we daar ook automatisatie voor die het achteraf alsnog opkuist. Dat netwerk heeft namelijk slechts beperkte toegang en bestaat primair om line-of-sight naar de domain controllers te voorzien.
En we ronden af met het opstarten van Outlook, wat letterlijk 2 keer op een knop klikken is, en optioneel 1 vinkje uitzetten als je niet wenst dat je browser opengaat om je uit te leggen hoe je Outlook op je telefoon kunt instellen (verdorie MS, maak zoiets toch eens configureerbaar).
En ja, voor die enkele stappen spenderen wij 10 bladzijden aan documentatie. En dat is dan nog de eenvoudige variant voor hen die op kantoor zitten. De screenshots voor de VPN op het login scherm voor remote deploys zijn ook nog eens een blad of 10, maar die mensen moeten heel de OOBE door en dan zitten we al snel aan een bladzijde of 40 geloof ik.
No keyboard detected. Press F1 to continue.
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
:strip_icc():strip_exif()/u/90717/crop55df23e5b61e8_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/111701/crop634d24c22c9ca.jpg?f=community)
/u/97359/crop64803232ade4a_cropped.png?f=community)
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
/u/30465/billgates2.PNG?f=community)
:strip_icc():strip_exif()/u/782695/crop671b96fb75045_cropped.jpg?f=community)
/u/1387186/crop65f2f1901e7f0_cropped.png?f=community)
:strip_icc():strip_exif()/u/26028/penguin.jpg?f=community)
:strip_exif()/u/18101/cartmanklein.gif?f=community)
:strip_icc():strip_exif()/u/27392/icon.jpg?f=community){kind=icon}
:strip_exif()/u/301133/crop6737b754ae5aa_cropped.gif?f=community)
:strip_icc():strip_exif()/u/335968/crop57d2c94ca341d_cropped.jpeg?f=community)
/u/125506/link-8bit.png?f=community)
:strip_icc():strip_exif()/u/56108/STRESSED_1.jpg?f=community)
:strip_exif()/f/image/WhNTrgpcxOhBxJQPtLqKjQ08.png?f=user_large)