Bir önceki makalemizde Windows Intune ürünü ile Microsoft’ un bizlere sağlamış olduğu ajantajları görmüş ve ürünü kullanmaya karar vermiştik J. Buradan yola çıkarak bu makalemizde de Intune ürününü daha yakından tanıyacağız.
Detaylı anlatıma geçmeden önce aşağıdaki gibi özet bir şema ile açıklamalarıma başlıyorum.
Burada görüldüğü gibi ilk olarak kayıt işlemimizi tamamlıyoruz. Bu işlem için aşağıdaki adresi kullanabilirsiniz.
https://manage.microsoft.com/
Kayıt işlemini tamamladıktan sonra ise sisteme yine aynı adresten logon olarak giriş yapıyoruz.
Yukarıda görüldüğü gibi web yönetim konsoluna eriştim. Buradaki menüleri tanımadan önce ilk olarak cloud yapımıza istemcileri eklememiz gerekiyor. Bunun için Administration bölümüne tıklıyoruz.
Burada karşımıza çıkan menüden “Client Software Download” bölümüne tıklıyor ve işletim sistemimizin mimarisine uygun olan ( 32bit veya 64 bit ) agent yazılımını indiriyoruz.
Agent’ ın yüklenebileceği işletim sistemi listesi aşağıdaki gibidir;
· Windows XP Professional, Service Pack (SP) 2 veya SP 3
· Windows Vista Enterprise, Ultimate, veya Business editions
· Windows 7 Enterprise, Ultimate, veya Professional editions
Client tarafında Itanium hariç x86 ve x64 desteği bulunmaktadır.
Ayrıca bu istemci makineler bir firewall arkasında olacak ise cloud servislerine bağlanmak için bir takım izinlerin verilmesi gerekmektedir. Bu izinler için aşağıdaki linki inceleyebilirsiniz
http://onlinehelp.microsoft.com/en-us/windowsintune/ff628135.aspx
Client tarafındaki gereksinimleri karşılıyorsak eğer indirdiğimiz istemci yazılımını kuralım.
Yükleme sonrası program ekle kaldır menüsünde Windows Intune Agent yazılımını görebiliyoruz.
Bu agent aslında diğer agent kurulumları için temel paket niteliğindedir. Yama yönetimi, malware protection ve policy yönetimleri için diğer agentların kurulması biraz zaman alacaktır. Ancak son durumda tüm kurulu olan agent’ lar aşağıdaki gibi olacaktır.
Kurulum ayrıca masa üstüne bir kısa yol atmaktadır.
Bu kısa yol sayesinde kullanıcıya makinesi hakkında temel yönetim araçları sunulur.
Temel olarak Windows updatelerini yönetebilir, kötü içerikli kodların için koruma sağlayan Intune Malware protection ürününü kullanabilir veya sistem yöneticisinden yardım isteyebilir.
Kurulum ile beraber otomatik olarak bilgisayar cloud sistemine üye yapılır. Bunu yönetim konsolundan rahatlıkla görebilirsiniz.
Burada unutmamanız gereken nokta otomatik olarak eklenen bilgisayarlar sizin oluşturduğunuz bilgisayar gruplarına değilde “Unassigned” grubu altına yerleşmektedir. Burada ismi hakanuzuner olan makinenin intune servisine bağlandığını görebiliyoruz. Ancak hemen alt bölümden henüz işletim sistemi versiyonu ve makine adı dışında bir bilgi alamadığımızı gördük.
Makinenin üzerine tıklayarak daha detay bilgilere ulaşabiliriz.
Bu raporların sağlıklı bir şekilde alınması için agent yazılımı yüklenmesinin ardından istemci makineyi bir kere yeniden başlatmanız gerekmektedir.
Yeniden başlatmanın ardından yavaş yavaş bilgilerin geldiğini görebiliyoruz. İlk gelen bilgilerden biri bu makinenin 74 adet güncelleştirmeye ihtiyacı olduğudur. Hemen bu bölüme tıklayarak detayları görebilir ve yükleme komutu gönderebiliriz.
Tüm updateleri “ctrl” tuşu veya “shift” tulu yardımı ile seçip onaylayabilirsiniz.
İsterseniz bu güncelleştirmeleri yine web konsol üzerinden “updates” bölümüne tıklayarak, üst bölümde yer alan “filters” yardımı ile takip edebilirsiniz.
Evet, yönetim konsolunu incelemeye devam edelim.
Bu bölüme kadar intune ürününe kayıt olduk ve bir makineyi cloud sistemine dahil etmiş olduk. Ardından makinemiz üzerinde kısa bir inceleme yaparak güncelleştirmeleri yüklemesini sağlamış olduk. Şimdi ise genel olarak yönetim konsolunda başka neler yapabiliriz onları kontrol edelim.
System Overview
System Overview bölümünde yönettiğimiz tüm bilgisayarlar için özet bir rapor ekranını görebiliriz.
Örnek olarak bu ekranda 1 adet uzak yardım isteği, 1 adet kritik güncelleştirme ve 1 adet güvenlik güncelleştirmesinin onay beklediğini görebiliriz. İstersek hemen yardım isteğine tıklayıp uzak makineye bağlanabiliriz.
Bu uyarının üzerine tıkladığımız zaman “Alerts” bölümüne geçmiş oluyoruz.
Burada pek çok alert olabilir, bizi ilgilendiren ise uzak yardım isteği ve bunun detaylarını aşağıdaki bölümde görebiliyoruz. Eğer istek sizin için uygun ise üzerine bir kere daha tıklıyoruz.
Yeni açılan sayfada alt bölümde “Click here to take action” bölümüne tıklıyoruz.
Ve yeni açılan pencerede “Accept the remote assistance request” linkine tıkladığımız zaman Microsoft easy assist yardımı ile uzak oturum başlıyor. Uzak oturumdan önce kendinizi tanımlayacak bir isim girmeniz gerekmektedir.
Ardından aşağıdaki gibi bir pencere açılıyor.
Bu pencere sizde açıldığı zaman yardım isteyen kullanıcının karşısına aşağıdaki gibi bir pencere çıkacaktır.
Buradaki bilgileri ise sizin ulaştırmanız gerekmektedir. Bu bilgileri açık olan penceredeki bilgi ikonu olan butona tıklayarak alabilirsiniz.
Not: İstemci ve uzak yardım verecek bilgisayarda live meeting client yazılımı yüklü olmak zorundadır.
Bundan sonraki aşamada chat, dosya paylaşımı masa üstü paylaşımı gibi uzak yardım için temel tüm fonksiyonları kullanabiliyorsunuz.
Web konsolu sırası ile incelemeye devam edelim. İlk bölüm olan sistem ön izlemeden sonra ikinci bölüm bilgisayarımızı yönettiğimiz “computers” bölümüdür.
Computers
Bu bölüm üzerinden temelde 3 ana başlıkta bilgi alabiliyoruz.
Alert – Durum bilgisi
Update – Yama ve güncelleme bilgisi
Malware – virüs ve spyware bilgisi
Genel raporların yanında makine bazlı olarak bilgi almak mümkündür.
Genel Bilgiler – Güncelleştirmeler – Malware – Alarmalar – Donanım Bilgisi – Yazılım Bilgisi
Konularında aşağıdaki gibi tek tek detaylı raporlar alabilmekteyiz.
Bir sonraki ekran ise “updates” ekranıdır, ancak bu ekranı makalenin ortalarında anlattığım için geçiyorum ve “malware” kısmına geçiyorum.
Malware
Bu bölümden yönettiğimiz bilgisayarlardaki virüs veya kötü içerikli kodların durumu hakkında bilgi alabiliyoruz. Örneğin şu anda elimizde bir adet virüs var. Detayını görmek için üzerine tıklıyoruz.
Detay görüntüye ulaştık. Virüs’ ün sisteme ne zaman bulaştığı ve sorunun çözülüp çözülmediği konularında bilgiyi alabiliyoruz. Daha fazla bilgi için yine bu uyarının üzerine tıklamak yeterlidir.
Eğer bu virüsün hangi makinede bulunduğu ve uygulanan aksiyonu merak ediyorsanız bir kez daha üzerine tıklamamız gerekmektedir.
Sonuç olarak “hakanuzuner” isimli makinede “DOS/EICAR_Test_File” isimli bir virüs bulunmuş ve bu virüs sağ alt köşede belirtildiği üzere silinerek sisteme zarar vermesi engellenmiştir.
Alerts
Bu bölüm yardımı ile yönettiğimiz tüm bilgisayarlar hakkında detaylı uyarılar alabiliyoruz. Virüs koruması, policy, uzak yönetim, sistem, yama yönetimi veya izleme başlıkları altında sınıflanan uyarıları bu şekilde izlemek çok daha kolaydır.
Software
Bu bölümde ise şirketinizin makinelerinde yüklü olan yazılımların envanterini görebiliyorsunuz. Her bir yazılımın üzerine geldiğiniz zaman kaç makinede yüklü olduğunu ve yazılımın üzerine tıklayarak hangi makinelerde yüklü olduğunu görebilirsiniz.
Licenses
Bu bölümde ise sahip olduğunuz lisansları yükleyebilirsiniz (MVLS ). Bu yükleme işleminden sonra sayfayı tazelediğinizde sistem sahip olduğunuz yazılım envanteri ile lisansları karşılaştıracak ve size son derece kullanışlı raporlar sunacaktır.
Policy
Windows Intune ile policy uygulamamız mümkündür. Ancak burada Domain policyleri ile Intune policylerini birbirine karıştırmamak gerekmektedir. Intune policy leri domain den bağımsız policyler olup domain ortamındaki bir makine için çakışma durumunda Domain policyleri baskın olacaktır. Ancak domain’ e ulaşılamaması durumlarında Intune policy si baskın olabilir.
Policy oluşturma aşamasına geçmeden önce policy yapısını biraz daha detaylandırmak istiyorum.
Intune policyleri temelde 3 başlık altında toplanabilir.
Windows Intune Agent Policy Settings
Bu bölümde temel olarak malware ve update policyleri yer almaktadır. Yani istemci için virüs tarama ve bulunduğundaki aksiyon ayarları ile yamaların yüklenmesi ile ilgili ayarları yapabiliyoruz
Tam olarak ayarların listesi aşağıdaki gibidir
1. Malware Protection Agent Policy Settings
· Malware Protection Service policy settings
o Enable Malware Protection
o Enable real-time protection
o Track resolved malware (days)
· Scan Schedule policy settings
o Schedule a daily quick scan
o Schedule a full scan
o Run a scan if you have missed two consecutive scans
· Scan Options policy settings
o Run a full scan after installation of Malware Protection
o Automatically run a full scan when needed to follow up malware removal
o Start a scheduled scan only when the computer is idle
o Check for the latest malware definitions before starting a scan
o Scan archive files
o Scan e-mail messages
o Scan files opened from network shared folders
o Scan mapped network drives
· Microsoft SpyNet policy settings
o Join Microsoft SpyNet
o Membership level
2. Update Agent Policy Settings
· Update detection frequency (hours)
· Automated or prompted installation of updates
· Immediate installation of updates that do not interrupt Windows
· Delay between prompts to install scheduled updates (minutes)
· Delay following restart to begin installing missed scheduled updates (minutes)
· Prompt user to restart computer after updates are installed
· Delay between prompts to restart installation of scheduled updates (minutes)
Windows Intune Center Policy Settings
Bu bölüm ise policy hakkında detay bilgi ve sorumlu kontaklarını içeren bölümlerden oluşur.
Name
Phone number
E-mail address
Web site name
Web site URL
Notes
Windows Firewall Policy Settings
Bu policy üzerinden ise tahmin edebileceğiniz gibi firewall ayarlarını yapabilirsiniz. Yapabileceğiniz ayarların listesi aşağıdaki gibidir.
1. Profile Settings
· Turn on Windows Firewall
o Domain profile
o Private profile
o Public profile
2. Block all incoming connections, including those in the list of allowed programs
· Domain profile
· Private profile
· Public profile
3. Notify the user when Windows Firewall blocks a new program
· Domain profile
· Private profile
· Public profile
4. Predefined Exceptions
· BranchCache – Content Retrieval
· BranchCache – Hosted Cache Client
· BranchCache – Hosted Cache Server
· BranchCache – Peer Discovery
· BITS Peercaching
· Connect to a Network Projector
· Core Networking
· Distributed Transaction Coordinator
· File and Printer Sharing
· HomeGroup
· iSCSI Service
· Key Management Service
· Media Center Extenders
· Netlogon Service
· Network Discovery
· Performance Logs and Alerts
· Remote Administration
· Remote Assistance
· Remote Desktop
· Remote Event Log Management
· Remote Scheduled Tasks Management
· Remote Service Management
· Remote Volume Management
· Routing and Remote Access
· Secure Socket Tunneling Protocol
· SNMP Trap
· UPnP Framework
· Windows Collaboration Computer Name Registration Service
· Windows Media Player
· Windows Media Player Network Sharing Service
· Windows Media Player Network Sharing Service (Internet)
· Windows Meeting Space
· Windows Peer to Peer Collaboration Foundation
· Windows Remote Management
· Windows Virtual PC
· Wireless Portable Devices
Temel olarak policylerin neleri içerdiğini gördük şimdi isterseniz policy oluşturalım. Sağ bölümdeki “Create New Policy” linkini kullanarak yeni bir policy tanımlayalım. Benim demo ortamımdaki sorun nedeni ile bu bölümdeki resimleri internet üzerinden aldığımı belirtmek isterim, sizlere bu makaleyi hazırlarken aşağıdaki gibi bir sorun yaşadığım için sadece bu bölüm ile ilgili resimleri internetten aldım.
Peki, çalışsaydı ne görecektiniz.
Policy oluşturmak için öncelikle policy’ ye bir isim tanımlıyoruz, ardından policy içerisinde yapabileceğimiz ayarları kontrol ediyoruz.
İhtiyaç duyduğunuz policyi oluşturduktan sonra ise bunu deploy etmek gerekiyor. Yani istemcilere bu policyi atamak gerekiyor. Bunun içinde aşağıdaki adımları takip ediyoruz.
Yönetim konsolu üzerinden policy bölümüne geliyoruz, ardından sağ bölümdeki task list altındaki view policy linkine tıklıyoruz ve policyleri görüyoruz. Daha sonra deploy etmek istediğimiz policyi seçiyoruz ve Manage Deployment bölümüne tıklıyoruz. Daha sonra açılan bilgisayar grupları penceresinden istediğimiz gruplar için kutucuğu işaretlemek ve ok tuşuna basmak yeterli olacaktır.
Policyler ile ilgili çakışma durumları içinde bilgi vermek istiyorum. Eğer Domain policyleri ile Intune policyleri çakışır ise domain policyleri baskın gelecektir. Veya bir bilgisayar eğer birden çok gruba üye ise yani bir bilgisayara birden çok policy ugulanır ( hepsi intune policysi )ve çakışma var ise bu policylerin arasında, bilgisayara en yakın olan baskın olur. Örneğin aşağıdaki bilgisayar gruplarında “Çözümpark İstanbul” ana bilgisayar grubu altında “Bahçelievler” ve “Bostancı” isminde iki grup vardır. Eğer siz policy nin birini “Çözümpark İstanbul” grubuna birini “Bostancı” grubuna eklerseniz, çakışma durumunda “Bostancı” grubundaki bir bilgisayara etkin olan policy en yakın olan policy olacaktır, yani “Bostancı” bilgisayar grubuna atadığınız policy baskındır.
Aynı seviyedeki gruplar için aynı şekilde iki policy uygulanması halinde ise en son uygulanan policy baskın olacaktır.
Reports
Bu bölümde ise sistemimiz hakkındaki raporları çekebiliyoruz. Üç ana başlık altında toplanan reports bölümü bizlere güncellemeler, yazılımlar ve lisanslama ile ilgili detaylı raporlar sunmaktadır.
Örnek bir rapor ekranını sizlerle paylaşıyorum.
Yazılım raporunu hazırladım ve gördüğünüz gibi yüklü yazılımlar ve isterseniz detay bölümünden hangi makinede yüklü olduklarını görebiliyorsunuz.
Administration
Yönetim bölümünde ise yama yönetimi, bilgilendirme mailleri yönetimi, yönetici tanımlama ekranları ve istemci yazılımı indirme linki bulunmaktadır.
Yukarıdaki ekranda görüldüğü gibi yamalar için aynı WSUS ürününde olduğu gibi otomatik yükleme kuralları tanımlayabiliyoruz. Zaten Intune özetle WSUS ve SCCM ürünlerinin nerede ise toplam özelliklerinin cloud versiyonudur.
Alerts bölümünde tanımlanmış uyarılar, bu uyarıların kime gönderileceği konularında ayarlamalar yapabilmekteyiz.
Administrator Management bölümünde ise live ID ile istediğiniz kullanıcıları yönetici rolü tanımlayabiliyorsunuz.
Son bölümde ise istemci makineleri cloud servisine bağlamak için kullanacağınız agentları indirebileceğiniz bir ekran bulunmaktadır.
Evet, bu son ekran paylaşımımız ile Intune ürününün kullanımı konulu makalemizin sonuna geldik. Özetle Intune ürünü WSUS + SCCM ürünlerinin nerede ise toplam özelliklerinin cloud üzerinde müşterilere sunulmasıdır. Tabi ki orta ölçekli firmalar için önerilen bir çözüm olup SCCM ürünün tüm özelliklerini barındırmamaktadır.
