Was im Intune oder EndpointManager drin fehlt ist jedem IT Admin schnell klar:
Einerseits ein umfassendes Software Repository und das Management von Applikations-Updates auf dem Client.
Und als zweites möchte ich ausgewählten Mitarbeitern die Möglichkeit geben, lokal notwendige Anpassungen als Admin vorzunehmen (Bspw. Elektriker-Notebook, welche selber Software mit Dongles installieren müssen), und dies natürlich ohne einen permanenten lokalen AdminAccount !
Im folgenden Artikel erkläre ich kurz zwei Lösungen zu den angesprochenen Themen. „Patch my PC“ für das Software Repository und Update Management, sowie die Lösung von „Admin by Request“ für das kurzzeitige Anheben von Userrechten auf Endgeräten
"Diese Tools verleihen Intune Flügel"
Beginnen wir mit der Lösung zum Erteilen von lokalen Adminrechten mittels Klick. Zu Beginn braucht es einen für 25 oder weniger Endgeräte kostenlosen Account, welcher hier zu beantragen ist.
Nach erfolgreichem Erstellen, und anschliessendem Login findet man sich auf den Einstellungen für den Agent wieder, wo man das Branding vornuimmt, Zeitdauer für eine (optional einstellbare) AdminSession vorgibt, das Look & Feel für den geänderten UAC-Prompt anpasst, E-MAils definiert, welche bei einem Request ausgelöst werden sollen etc.
Nachdem sämtliche Einstellungen vorgenommen wurden, wird das .MSI für den Agent heruntergeladen, mittels Intune WinappUtil paketiert und dann über Intune auf alle Windows Clients verteilt.
Somit ist es jedem Mitarbeiter sofort möglich, ein setup.exe zu starten, und eine Installation beim Helpdesk zu beantragen. Falls der IT Mitrabeiter diesen Antrag genehmigt (geht bspw. bequem über eine Smartphone-App) kann der Mitarbeiter die Installation durchführen. Für dedizierte Benutzer kann man auch erlauben, dass sie sich unter Umständen sogar selber für 15 Minuten Adminrechte geben dürfen.
Das gute dabei:
1. Der Mitarbeiter ist nie permanent Admin
2. Es gibt keinen lokalen Admin, dies geschieht alles über Elevation im AdminbyRequest
3. Für Notfälle kann ein Break-Glass Account mit einmaligem User/Passwort erstellt werden
4. Sämtliche Aktionen sind protokolliert, was der Governance wiederum von Diensten ist
Was wäre das schön, wenn es ein Produkt gäbe, welches mir die mühsame und aufwändige Arbeit abnehmen würde, Standard Applikationen zu paketieren und dafür zu sorgen, dass alle durch Intune verwalteten Geräte immr auf dem neuesten Stand bleiben. Ich müsste nicht am Freitag Abend notfallmässig den Google Chrome zum x-ten Mal neu paketieren, die selbst installierten VLC Media Player wären gepatch etc.
Voila PatchmyPC (hat per Mitte Dezember Scapman akquiriert)
Aktuell noch auf einer Windows VM (vollständige SaaS Web-Version auf der Roadmap) installiere ich die App, und verbinde diese per Enterprise App ID & Secret mit meinem Intune.
Dann wähle ich aus den diversen Apps im Software-Katalog aus, welche ich in Intune zur Verfügung stellen oder aktuell halten möchte und fertig.
Was aber passiert dabei ? Ganz einfach.
Und zwar stellt mir PatchmyPC als erstes mal ein Rezept zusammen, wie die App paketiert werden soll, und stellt mit einem Framework sicher, dass die Installation auch sauber klappt. Dies passiert alles ohne mein Zutun, IntuneWinappUtil wird nicht mehr benötigt.
Weiter kann ich bereits installierte Applikationen aktuell halten. Und zwar macht die Software dies mit dem gleichen Rezept für die App, bloss schaut sie noch zusätzlich, ob aktuell schon eine alte Version auf dem System vorhanden ist, entfernt dieses und installiert dann die aktuelle Version.