Filters
Q2 2021 introduceert Microsoft de nieuwe feature “filters” in de Microsoft Intune service. Deze nieuwe feature voorziet in een aantal voordelen met betrekking tot het toewijzen van apps, policies en profiles.
Een Intune beheerder zal gebruikelijk toewijzingen doen op basis van statische of dynamische Azure Active Directory groepen. Dit voor zowel users als devices te “includen” of te “excluden” in een toewijzing. Filters zal hier een toevoeging en verbetering op zijn. Bovendien raden we iedereen aan om hiermee aan de slag te gaan omdat we filters op meer en meer plaatsen terugvinden in de M365 wereld.
Deze feature gaat verder dan de al bestaande “applicability rules” die enkel gelden voor Windows 10/11, en bovendien enkel van toepassing zijn op basis van OS-editie of versie. Net daarom zijn we zo enthousiast met de komst van filters in de Intune service.
Filters zijn toepasbaar op:
- compliancy policies
- device configuration profiles
- endpoint security
- apps
Filters zijn op het moment dat dit artikel geschreven wordt op volgende workloads NIET toepasbaar, maar we hopen dat deze ook volgen, waar mogelijk:
- App configuration policies for Android and iOS/iPadOS
- App protection policies for Android, iOS/iPadOS, and Windows 10
- End user experiences customization policies
- iOS/iPadOS app provisioning profiles
- Partner device management
- Policies for Office apps
- Policy sets
- PowerShell scripts for Windows 10
- S mode supplemental policies for Windows 10
- Shell scripts for macOS
- Terms and conditions
- Update policies for iOS/iPadOS
- Feature updates for Windows 10 and later
Filters hebben een vergelijkbare aanpak als dynamic membership rules voor Azure Active Directory dynamic groepen, maar ook zoals in conditional access filters, in die zin dat je ook een expressie opbouwt gebaseerd op (bij filters) device eigenschappen die de toepasbaarheid van apps, policies en profiles bepalen in de Intune service.
Door Intune filters slim op te bouwen creëer je herbruikbare objecten die je (zo veel als mogelijk) kan combineren met Intune native virtuele groepen. Als een device rapporteert aan de Intune service wordt de toepasbaarheid van app, policies en profiles geëvalueerd door de filter evaluatie engine.
Volgende device properties kunnen gebruikt worden in Intune filters
- Device Name
- Manufacturer
- Model
- Device Category
- OS Version
- IsRooted
- Device Ownership
- Enrolment Profile Name
- Operating System SKU
Filters gebruiken
Filters zijn nu nog in public preview maar wel volledig ondersteund door Microsoft. Hieronder vind je de Microsoft documentatie die je stap voor stap toelicht hoe je filters moet aanmaken, verwijderen, toewijzen en evalueren.
Prerequisites: https://docs.microsoft.com/en-us/mem/intune/fundamentals/filters#enable-filters-and-add-a-filter
Filters aanmaken: https://docs.microsoft.com/en-us/mem/intune/fundamentals/filters#create-a-filter
Je kan ook via Microsoft Graph Intune filters oplijsten, aanmaken en exporteren. Dit geeft je de mogelijkheid om de configuratie te back-uppen, maar ook automation scenario’s uit te voeren.
Je kan hiermee aan de slag via de Microsoft Graph Explorer https://developer.microsoft.com/en-us/graph/graph-explorer
Gebruik volgende URL om filters te benaderen via de graph explorer of in je code:
“https://graph.microsoft.com/beta/deviceManagement/assignmentFilters”
Performantie
De “all users” en “all devices” virtuele groepen zijn, in tegenstelling to Azure Active Directory statische of dynamische groepen, “native” groepen in de Intune service en moeten daardoor niet gesynced worden vanuit Azure Active Directory en verder geen administratief beheer vereisen.
Intune virtuele groepen
Omdat ze niet gesynced worden vanuit Azure Active Directory zijn deze groepen schaalbaar en geoptimaliseerd voor toewijzingen.
In (zeer) grote omgevingen waar Azure Active Directory groepen veel users of devices bevatten kan er door de backlog van synchronisatie taken een negatieve impact ontstaan op app, policy en profile toewijzingen omdat het langer kan duren voor ze op het beheerde device toekomen.
Omdat de virtuele groepen en filters “Intune-native” native zijn kunnen toewijzingen dynamisch gebeuren bij het inchecken van een device.
Als je een nieuwe Azure Active Directory groep voor de eerste keer gebruikt in Intune voor een toewijzing, gebeurt er een initiële setup naast de “membership” sync. Die eerste (full) sync duurt altijd langer dan de daaropvolgende (incremental) sync.
Granulariteit
Als Intune native virtuele groepen gecombineerd met filters, je niet in staat stelt om de juiste “membership” samen te stellen, kan je Azure Active Directory dynamic groepen nog meer gaan verfijnen met filters.
Het mogelijk maken om user groepen te gebruiken voor toewijzing en dan te filteren op device properties is een van de grootste troeven van deze nieuwe feature.
Door bij toewijzingen van apps, profiles en policies, Azure Active Directory user of device groepen te combineren met filters, ben je in staat om volgende scenario’s te volbrengen:
- Een Windows 10/11 device restriction policy toewijzen aan enkel de bedrijfs toestellen van de gebruikers in de Sales afdeling door de persoonlijke toestellen te excluden.
- iOS app toewijzen aan enkel de iPad toestellen voor de gebruikers in de Marketing afdeling.
- Android compliancy policy voor mobiele telefoons toewijzen aan de all users (virtuele groep) maar de Android gebaseerde meeting room toestellen excluden. Die meeting room toestellen ondersteunen mogelijks niet alle instellingen in de compliancy policy.
Nieuw
Begin januari ’22 heeft Microsoft nog een heel interessante toevoeging gedaan waar je bij het aanmaken van een nieuwe filter al kan “previewen” welke devices vallen onder je filter rule. Dit maakt het aanmaken van filters nog efficiënter en maakt het leven van de beheerder ook weer iets makkelijker.
Lees ook:
https://www.nimble.be/mecm-en-mem-tenant-attach-en-co-management/
https://www.nimble.be/mobileiron-migreren-naar-intune/
Heb je na het lezen van deze blog nog vragen over Intune en hoe de service volgens de “best practices” op te zetten, contacteer ons dan zeker! We gaan graag het gesprek aan met jou om je omgeving zo optimaal mogelijk te laten draaien.