24/08/2019
I en moderne virksomhed er netværket af enheder som et levende økosystem. Hver computer, tablet og smartphone er en del af helheden, og ligesom i den menneskelige krop, kan en enkelt syg enhed påvirke resten af systemet. At opretholde digital sundhed er derfor ikke bare en teknisk opgave; det er en afgørende forudsætning for sikkerhed, produktivitet og overholdelse af regler. Her træder Microsoft Intune ind på scenen som organisationens digitale overlæge, der overvåger, diagnosticerer og behandler enhedsflåden for at sikre, at den forbliver robust og modstandsdygtig over for de utallige digitale vira og sårbarheder, der lurer online.
At styre operativsystemversioner er en af de mest fundamentale aspekter af denne digitale hygiejne. Gamle, uopdaterede systemer er som åbne døre for cyberkriminelle. Ved at implementere en klar strategi for, hvilke enheder og systemversioner der får adgang til virksomhedens ressourcer, kan man proaktivt forhindre infektioner, før de opstår. Denne artikel vil guide dig gennem, hvordan Intune fungerer som dit centrale 'hospital' for enhedsadministration, hvilke 'patienter' (enheder og operativsystemer) det kan behandle, og hvilke værktøjer du har til rådighed for at opstille sundhedsregler og sikre, at alle overholder dem.
Hvorfor er Styring af Operativsystemer så Vigtigt?
At håndhæve kontrol med operativsystemversioner i din organisation kan sammenlignes med at indføre en vaccinationspolitik i et samfund. Det tjener flere kritiske formål, der tilsammen skaber et stærkere og mere sikkert digitalt miljø:
- Sikkerhed: Dette er den mest åbenlyse årsag. Ældre operativsystemer mangler ofte kritiske sikkerhedsrettelser, hvilket efterlader dem sårbare over for kendte exploits. Ved at kræve nyere versioner sikrer du, at enhederne er beskyttet af de seneste sikkerhedsforbedringer.
- Kompatibilitet: Virksomhedens applikationer og tjenester er typisk udviklet og testet til at fungere bedst på moderne platforme. Ved at sikre, at alle enheder opfylder minimumskrav, undgår man funktionsfejl og sikrer en ensartet brugeroplevelse.
- Compliance: Mange brancher er underlagt lovgivningsmæssige standarder (som f.eks. GDPR), der kræver et højt niveau af datasikkerhed. At kunne dokumentere, at alle enheder kører godkendte og patchede operativsystemer, er en central del af at opfylde disse krav.
- Funktionalitet og Ydeevne: Nyere OS-versioner introducerer ofte nye funktioner, der kan forbedre produktiviteten, samt ydeevneforbedringer, der sikrer, at enhederne kører gnidningsfrit.
Intunes 'Klinik': Hvilke Enheder Kan Behandles?
Microsoft Intune er en alsidig platform, der kan administrere en bred vifte af enheder, der kører forskellige operativsystemer. Tænk på det som et moderne hospital med specialafdelinger for forskellige typer patienter. Her er de primære platforme, som Intune understøtter:
- Apple: Både iOS/iPadOS (version 16.x og nyere understøttes fuldt ud) og macOS (version 13.x og nyere understøttes fuldt ud). Intune skelner mellem enheder med og uden bruger-tilknytning, hvilket giver fleksibilitet til både personligt ejede (BYOD) og virksomhedsejede enheder.
- Android: Intune understøtter Android 10.0 og nyere for brugerbaserede administrationsmetoder som Android Enterprise (work profile, fully managed). For enheder uden bruger, f.eks. kiosk-enheder, understøttes Android 8.0 og nyere. På grund af Android-økosystemets fragmentering er det ofte vigtigere at fokusere på sikkerhedsopdateringsniveauet end selve OS-versionen.
- Linux: Intune udvider sin rækkevidde og understøtter nu populære distributioner som Ubuntu Desktop (22.04 LTS og 24.04 LTS) og Red Hat Enterprise Linux (8 og 9), så længe de har et GNOME grafisk skrivebordsmiljø.
- Windows: Dette er Intunes kernekompetence. Platformen understøtter et bredt spektrum af Windows 10 og 11-udgaver, herunder Home, Pro, Education og Enterprise. Det dækker også specialiserede versioner som Windows Holographic for Business (til HoloLens) og Windows 10 Teams (til Surface Hubs). Det er vigtigt at bemærke, at Intune ikke understøtter server-operativsystemer.
- Chrome OS: Enheder, der kører Chrome OS, kan også administreres, hvilket giver en samlet løsning for organisationer med en blandet enhedsflåde.
Diagnostiske Værktøjer: Restriktioner og Compliance-politikker
Intune giver administratorer to primære værktøjer til at håndhæve digital sundhed: Indskrivningsrestriktioner og Compliance-politikker. De fungerer på forskellige stadier af enhedens livscyklus.
1. Indskrivningsrestriktioner: Dørmanden ved Indgangen
Dette værktøj fungerer som en streng dørmand ved hospitalets indgang. Før en enhed overhovedet får lov til at blive en del af organisationens netværk (blive indskrevet i Intune), tjekker denne politik, om den opfylder de absolutte minimumskrav. Du kan for eksempel indstille en regel om, at kun Windows 11-enheder eller iPhones med iOS 17 eller nyere kan blive indskrevet. Enheder, der kører ældre, usikre versioner, afvises ved døren og kan ikke få adgang til virksomhedens data. Denne metode er effektiv til at forhindre, at nye, usikre enheder introduceres i dit miljø. Det er dog ikke tilgængeligt for alle platforme; f.eks. kan man ikke oprette indskrivningsrestriktioner for macOS og Linux på nuværende tidspunkt.
2. Compliance-politikker: Det Regelmæssige Sundhedstjek
Når en enhed er blevet indskrevet, træder compliance-politikker i kraft. Tænk på disse som regelmæssige, obligatoriske sundhedstjek. Disse politikker verificerer løbende, at enheden overholder organisationens sundhedsstandarder. Du kan oprette politikker, der kræver:
- En minimums OS-version.
- Et specifikt OS-build-nummer.
- Et minimumsniveau for sikkerhedsopdateringer (især vigtigt for Android).
- At enhedskryptering er slået til.
- At enheden ikke er 'jailbroken' eller 'rooted'.
Hvis en enhed ikke opfylder kravene, markeres den som 'non-compliant' (ikke-kompatibel). Afhængigt af konfigurationen kan dette udløse notifikationer til brugeren med instruktioner om, hvordan de løser problemet. Hvis problemet ikke løses inden for en given tidsfrist ('grace period'), kan Betinget Adgang (Conditional Access) træde i kraft og blokere enhedens adgang til følsomme data som e-mails og dokumenter, indtil den igen er 'sund'.
Sammenligning af Intunes Sundhedsværktøjer
For at give et klart overblik, er her en tabel, der sammenligner de to primære metoder til at styre OS-versioner på tværs af de mest almindelige platforme.
| Platform | Indskrivningsrestriktion (Før adgang) | Compliance-politik (Efter adgang) |
|---|---|---|
| Windows 10/11 | Ja, kan blokere baseret på OS-version (f.eks. 10.0.22631.0). | Ja, kan kræve minimum/maksimum OS-version og build-nummer. |
| iOS/iPadOS | Ja, kan blokere baseret på OS-version (f.eks. 17.0). | Ja, kan kræve minimum/maksimum OS-version. |
| Android Enterprise | Ja, kan blokere baseret på OS-version (f.eks. 12.0). | Ja, kan kræve minimum OS-version og, vigtigst af alt, et minimumsniveau for sikkerhedsopdateringer. |
| macOS | Nej, ikke understøttet på nuværende tidspunkt. | Ja, kan kræve minimum/maksimum OS-version. |
| Linux | Nej, ikke understøttet på nuværende tidspunkt. | Ja, kan kræve en bestemt distribution og version. |
Ofte Stillede Spørgsmål: Din Digitale Læge Svarer
Kan Intune administrere servere?
Nej. Intune er et værktøj til administration af slutpunktsenheder (Endpoint Management), hvilket betyder, at det fokuserer på klientoperativsystemer som Windows 10/11, macOS, iOS og Android. Det er designet til at administrere de enheder, som medarbejderne bruger i deres daglige arbejde, ikke de centrale servere, der driver virksomhedens infrastruktur. For serveradministration findes andre værktøjer i Microsofts økosystem, som f.eks. Azure Arc.
Hvad sker der, hvis en enhed klones?
Intune understøtter ikke brugen af klonede computer-images, der allerede er indskrevet. Hver enhed skal have en unik identitet i Intune. Hvis enhedens identitetstokens replikeres, vil det føre til fejl i indskrivning og synkronisering. Dette er en sikkerhedsforanstaltning for at forhindre 'identitetstyveri' blandt enheder og sikre, at politikker anvendes korrekt på den tiltænkte enhed.
Hvorfor er det specielt udfordrende med Android-opdateringer?
Android-økosystemet er meget fragmenteret. I modsætning til Apple, der kontrollerer både hardware og software, frigiver Google en ny Android-version, hvorefter det er op til de enkelte producenter (Samsung, OnePlus, etc.) og teleselskaber at tilpasse og distribuere opdateringen til deres specifikke enheder. Dette kan føre til store forsinkelser, og nogle enheder modtager måske aldrig de seneste opdateringer. Derfor er det en god praksis i Intune at fokusere mere på krav til sikkerhedsopdateringsniveauet end kun på OS-versionen for Android-enheder.
Hvad med Samsung Knox?
Samsung Knox er et ekstra sikkerhedslag, som Samsung bygger oven på Android. Intune kan aktivere og udnytte Knox-funktioner på understøttede Samsung-enheder under indskrivningen for at give forbedret sikkerhed og administration. Det er dog vigtigt at verificere, at den specifikke Samsung-model understøtter Knox, da ikke alle modeller gør det. Enheder, der ikke understøtter Knox, vil blive indskrevet som standard Android-enheder.
Ved at bruge Microsoft Intune som et centralt styringsværktøj kan organisationer implementere en robust strategi for digital sundhed. Gennem en kombination af proaktive indskrivningsrestriktioner og løbende compliance-tjek sikrer man, at enhedsflåden forbliver sund, sikker og i overensstemmelse med virksomhedens politikker, hvilket i sidste ende beskytter både data og brugere.
Hvis du vil læse andre artikler, der ligner Digital Sundhed: Din Guide til Microsoft Intune, kan du besøge kategorien Sundhed.