NWC Services Blog
Group Policy Objects in der Cloud via Configuration Service Provider (CSP)
Nach mehreren erfolgreichen Jahren im Home Office und der Tatsache, dass uns dieses nicht mehr komplett verlassen wird, kommen auf viele Kunden ganz neue Herausforderungen bzgl. der Verwaltung ihrer Clients zu. Da ich diesbezüglich sehr viele Fragen von Kunden auch abseits der klassischen Softwareverteilung erhalte, möchte ich in diesem Artikel speziell auf die Frage nach GPOs in einer Cloud-Welt und wie man seine bestehenden On-Premises GPOs am sinnvollsten Richtung Microsoft Intune migrieren kann eingehen.
Doch sehen wir uns zunächst noch einmal etwas genauer an welche Vor- und Nachteile beide Welten mit sich bringen.
Group Policy vs. Configuration Service Provider
Im Enterprise Umfeld, unter Verwendung eines Microsoft Active Directory kaum weg zu denken, bieten Gruppenrichtlinien die Möglichkeit sowohl Benutzer- als auch Computerspezifische Einstellungen auf die Unternehmensrechner zu verteilen. Die größte Herausforderung hierbei liegt allerdings darin, dass die Rechner zum Anwenden der Richtlinien auch eine Verbindung zum Unternehmensnetzwerk herstellen bzw. haben müssen. Sicherlich lässt sich dies für Home Office oder "Road Warrior" Szenarien auch über Technologien wie VPN oder DirectAccess abbilden. Allerdings kann eine permanente VPN Verbindung, mal abgesehen von Security relevanten Themen und der vielleicht tausenden von Rechnern die die VPN Verbindung parallel nutzen, auch gerne wieder zu einem Flaschenhals werden wie sicherlich einige unserer Kunden in den letzten beiden Jahren schmerzlich feststellen mussten.
Dem gegenüber steht in einer hybriden oder auch Cloud-Only Welt das Microsoft Azure Active Directory und der Microsoft Endpoint Manager der im speziellen mit Microsoft Intune die Möglichkeit bietet, diverse Einstellungen über z.B. "Configuration Profiles" auf Rechner zu verteilen. Beschäftigt man sich nun etwas genauer mit diesen Profilen, stößt man unweigerlich auf den Begriff "Configuration Service Provider" (CSP). Hierbei handelt es sich um eine Schnittstelle zum Lesen, Schreiben und Löschen von Einstellungen auf einem Windows Rechner die wiederrum mit Registry Werten oder auch Dateien verknüpft sind. Um diese Einstellungen auf die Rechner zu bringen verwendet Microsoft "SyncML" (Synchronous Markup Language) und "OMA DM" (Open Mobile Alliance Device Management). Verwendet man nun sogenannte "Custom Configuration Profiles" stellt man fest, dass diese "OMA URI" (Open Mobile Alliance Uniform Ressource Identifier) Einstellungen zur Konfiguration von Windows verwenden.
Doch lassen Sie uns an dieser Stelle nicht zu tief ins Detail gehen sondern unseren Fokus wieder auf die Vor- und Nachteile des Ganzen richten. Einfach gesagt könnte man also CSPs auch als "Mini-GPOs" bezeichnen die jeweils eine oder auch mehrere Einstellungen vornehmen und für deren Anwendung ein Rechner lediglich eine Internetverbindung benötigt. Ebenso sind keine speziellen Firewall Freischaltungen notwendig da die Kommunikation rein über https (Port 443) läuft. Sicherlich zwei große Vorteile im Vergleich zu normalen GPOs.
Einen kleinen Wermutstropfen findet man aber dennoch. Zum einen sind nach aktuellem Stand noch lange nicht alle GPO Einstellungen auch via CSP verfügbar und zum anderen zeigt sich ein doch deutlicher Unterschied bei der Verarbeitungszeit dieser Profile. Nach offizieller Aussage von Microsoft kann diese zwischen "sofort" und "mehreren Stunden" variieren und ist daher im Vergleich zu herkömmlichen GPOs schlichtweg ziemlich unvorhersehbar und schwer zu steuern.
Bevor wir uns nun noch einen Weg zur Analyse und Migration von On-Premises GPOs ansehen, möchte ich die angesprochenen Punkte in einer kleinen Tabelle noch einmal zusammenfassen.
Group Policy Objects | Configuration Service Provider | |
Verfügbarkeit/Auswahl von Einstellungsmöglichkeiten |
Große Auswahl an Einstellungen verfügbar (ADMX Templates) | Wird ständig erweitert Leider noch nicht alle Einstellungen verfügbar |
Abarbeitung/Intervalle | Default alle 90min. (+/- 30min Random Versatz) Aktualisierungsintervall kann angepasst werden (0-64800min) Kleinster Wert liegt bei ca. 7 Sekunden. Maximaler Wert 45 Tage. Aktualisierung kann lokal forciert werden | Aktualisierungsintervall schwankt zwischen 0min und mehreren Stunden Auch manuelles anstoßen von Sync löst nicht zwingend sofortige Abarbeitung aus |
Voraussetzungen | Verbindung zum On-Premises Netzwerk (Domain Controller) erforderlich | Lediglich Internetverbindung benötigt Kommunikation über https (443) |
Migration von GPO mit Hilfe von Group Policy Analytics
Möchte man nun nach reiflicher Überlegung mit der Migration seiner GPOs Richtung Microsoft Intune starten, stellen sich natürlich weitere Fragen. Zwei Fragen, die bei diesen Überlegungen nicht ganz unwichtig sind, sollten lauten:
"Benötige ich überhaupt alle meine GPOs in der Cloud?" und "Welche Policies kann ich überhaupt in die Cloud migrieren?"
Die erste Frage bietet demnach die wahrscheinlich einmalige Gelegenheit sich von Altlasten zu verabschieden. Weiterhin finden sich sicherlich einige GPOs die in einer Cloud Welt weder Anwendung finden würden noch relevant sind. Für die zweite Frage steht mit dem Punkt "Group Policy Analytics" eine Möglichkeit in Intune zur Verfügung, die einen ersten Hinweis über die Verfügbarkeit der verwendeten Settings via CSP geben kann.
Um diese Möglichkeit testen zu können muss zunächst eine Gruppenrichtlinie im XML Format gespeichert werden.
Im Microsoft Endpoint Manager Admin Center kann der gespeicherte Report anschließend unter dem Punkt "Devices --> Group Policy Analytics" importiert werden.
Nach erfolgreichem Import werden die Einstellung von Microsoft Intune ausgewertet und auf CSP Verfügbarkeit geprüft.
Durch Klick auf die Detail-Links kann eine Übersicht der Settings inkl. CSP Mapping angezeigt werden.
Die hierdurch generierte Liste kann nun exportiert werden und soll bei der Erstellung von Configuration Profiles helfen. Leider gibt es zum aktuellen Zeitpunkt keine Möglichkeit aus den importierten Reports direkt Configuration Profiles anlegen zu lassen. Um allerdings einen ersten Eindruck zur Verfügbarkeit von Einstellungen zu bekommen bietet Microsoft Intune mit dem Punkt Group Policy Analytics sicherlich eine interessante Möglichkeit die bei der Migration von GPOs durchaus unterstützen kann.
Fazit
In einer modernen Welt kann die Verteilung von Richtlinien via Internet durchaus dabei helfen die Compliance der Unternehmensgeräte unabhängig von Standort oder Firmenanbindung durchzusetzen oder zu verbessern. Allerdings ist dieser Schritt mit einigen Überlegungen und Arbeit verbunden um die ggf. veralteten GPO Strukturen zu modernisieren und via Microsoft Intune zu verwalten. Weiterhin gibt es sicherlich auch gute Gründe oder Anwendungsfälle die gegen eine Migration von speziellen Einstellungen sprechen werden. Nichts desto trotz kann gerade auch hier ein hybrider Ansatz bzw. eine Mischung aus GPO und CSP für viele Kunden Vorteile bringen und die Arbeit mit Geräten in der Cloud erleichtern.
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Kommentare