__CONFIG_colors_palette__{"active_palette":0,"config":{"colors":{"33f62":{"name":"Main Accent","parent":-1},"3700b":{"name":"Main Accent Dark","parent":"33f62"}},"gradients":[]},"palettes":[{"name":"Default","value":{"colors":{"33f62":{"val":"var(--tcb-skin-color-0)"},"3700b":{"val":"rgb(9, 103, 134)","hsl_parent_dependency":{"h":195,"l":0.28,"s":0.88}}},"gradients":[]},"original":{"colors":{"33f62":{"val":"rgb(55, 179, 233)","hsl":{"h":198,"s":0.8,"l":0.56,"a":1}},"3700b":{"val":"rgb(35, 142, 188)","hsl_parent_dependency":{"h":198,"s":0.68,"l":0.43,"a":1}}},"gradients":[]}}]}__CONFIG_colors_palette__

Der ultimative Microsoft Intune 

Guide 

Zur professionellen Verwaltung mobiler Geräte (MDM, Mobile Device Management) für eine einfache und sichere zentrale Organisation. 

Microsoft Intune Mobile Device Management

Einstieg in Microsoft Intune

Die Mobile Device Management Lösung Microsoft Intune bietet einen umfassenden Funktionsumfang. In diesem Guide geben wir sowohl Einsteigern als auch Profis einen tiefen Einblick in die Funktionsweise und den Einsatz von Microsoft Intune. 

Intune schnell einrichten

Da Microsoft Intune als Microsoft 365 Service verfügbar ist, kann diese MDM Lösungen schnell und effizient bereitgestellt werden.

Zentrale Verwaltung aller Geräte

Richtlinien, Einstellungen und die Installation von Apps wird von einer zentralen Stelle aus gesteuert.

Sicherheit mit Microsoft Intune

Durch verbindliche Sicherheitsrichtlinien kann mit Microsoft Intune das Sicherheits-Niveau zentral gesteuert, überwacht und verbessert werden.




Microsoft Intune Schulungen

Mit einer professionellen Microsoft Intune Schulung eines erfahrenden Dozenten von siller.consulting werden Projekte schnell und sicher zum Erfolg.

Microsoft Intune Consulting

Benötigen Sie Beratung und Unterstützung bei der Einführung und Optimierung Ihrer Mobile Device Management Lösung auf Basis von Microsoft Intune? Das erfahrene Team von siller.consulting unterstützt Sie gern!

Überblick zu Intune

Der Funktionsumfang und die generelle Arbeitsweise wird in den folgenden Artikeln zu Microsoft Intune dargestellt. Wir liefern einen Überblick zu Mobile Device Management bis hin zum Unternehmensportal.

Januar 29, 2021

Mehr Lesen

Oktober 9, 2020

Mehr Lesen

Oktober 8, 2020

Mehr Lesen

Intune Einrichten & Nutzen

Microsoft Intune konfigurieren, Richtlinien einstellen und Applikationen verteilen: Hier sind die Praxis-Ratgeber.

Microsoft Autopilot

Windows Autopilot bietet Setup- und Vorkonfigurationsdienste für neue Geräte, sodass diese sofort einsatzbereit sind.

Mobile Device Management mit dem Microsoft Endpoint Manager

 

Microsoft bietet im Rahmen seiner Endpoint Security die Lösung Microsoft Intune an. Damit will Microsoft sich gegen bereits etablierte Lösungen, wie Airwatch oder MobileIron behaupten. In diesem Beitrag schauen wir uns an, welche Möglichkeiten sich mit Microsoft Intune ergeben, wo die Stärken aber auch Schwächen im Vergleich zu anderen MDM-Lösungen liegen. Der Leser/die Leserin erhält eine Übersicht zu den Einsatzszenarien und unterstützten Services innerhalb von Microsoft Intune. Zeitgleich wird dargestellt, warum bei der Nutzung von Microsoft 365 die Integration von Intune ein Vorteil sein kann. Nachdem lesen des Artikels weiß der Leser/dieser Leserin, was mit Microsoft Intune möglich ist und wann man lieber einen Blick auf die Konkurrenz werfen sollte 

 

 

Die Möglichkeit Endgeräte verschiedenster Betriebssysteme zu administrieren und abzusichern haben Unternehmen durch Anbieter und Lösungen wie MobileIronAirWatch oder baramundi schon länger. 

 

Diese und andere Anbieter bieten dabei u.a. an, dass Endgeräte mit Applikationen und Updates versorgt sind, durch Richtlinien in der Bedienung für den Nutzer eingeschränkt oder aber auch bei Diebstahl Remote gelöscht werden können. 

 

Natürlich ergibt sich daraus auch ein großer Markt mit potenziell vielen Abnehmern und zahlenden Kunden. Dies hat auch Microsoft erkannt und im Jahre 2011 seinen damals noch als Windows Intune betitelten Dienst für den Bereich Mobile Device Management (kurz: MDM) vorgestellt. 

 

Seit der Einführung hat Microsoft viel Zeit und Geld in die Weiterentwicklung seines Dienstes gesteckt und so wird dieser auch heute „Microsoft Endpoint Manager“ bezeichnet und umfasst die administrativen Möglichkeiten eines System Center Configuration Managers und des Cloud-Dienstes Intune.  

 

Aber wo steht der Endpoint Manager heute? Welche Möglichkeiten in der Administration haben wir und wie behauptet sich dieser im Vergleich zu seinen Mitbewerbern?  

 

Wenn wir bereits Microsoft 365 nutzen, ist der Sprung zum Endpoint Manager nicht mehr groß 

 

Es gibt zahlreiche Unternehmen die bereits Cloud-Dienste aus dem Umfeld von Microsoft 365 nutzen und auch auf Seiten der Lizenz über die nötige Voraussetzung verfügen, um den Endpoint Manager zu verwenden. 

 

Oftmals wurde der MDM-Dienst allerdings nicht aktiv verwendet, sondern bereits zuvor etablierte Lösungen haben den Vorrang bekommen. Erst wenn eine Verlängerung der Lizenz für die Dritt-Anbieter-Lösungen Anstand und somit wieder Summe X ausgegeben werden musste, entscheiden sich Unternehmen für die MDM-Lösung der Microsoft. Immerhin hat man bereits die ganze Zeit dafür gezahlt. 

 

Dies nicht immer mit dem Einverständnis der IT-Abteilung - schließlich sorgt der Wechsel des Anbieters auch auf IT-Seite zunächst für viel Zeit, die in Schulung, Planung, Migration und Troubleshooting gesteckt werden muss. 

 

Hier zeigt sich aber auch schnell, worauf Microsoft abzielt: Der Endpoint Manager kann entweder als eigenständige Lizenz erworben werden oder ist bereits Bestandteil zahlreicher Microsoft 365-Pläne (z.B.: Microsoft 365 Business Premium oder Microsoft 365 E3) 

 

Pro Benutzer benötigen wir eine Lizenz – mit einer Lizenz können auf einen Benutzer bis zu 15 Endgeräte registriert werden. Es gibt auch die Option eines Geräteregistrierungs-Managers bei dem wir bis zu 1.000 Geräte auf ein Benutzerkonto registrieren können. 

 

Als dritte Option haben wir Geräte-Lizenzen, womit wir z.B.: Kiosk-Geräte für Empfangshallen, Rezeptionen oder auch Baustellen einrichten können, die keinem festen Benutzer zugeordnet sind. 

 

Es zeigt sich somit ab, das Unternehmen langfristig die Möglichkeit haben mögliche Insellösungen abzuschaffen und auch die laufenden Kosten auf einzelne Plattformen zu konzentrieren.  Aus technischer Sicht kann die IT-Abteilung eine Integration vom Endpoint Manager in andere Services der Security & Compliance-Suite von Microsoft schnell und simpel herstellen: 

 

Je nach Lizenz kann eine aktive Steuerung des Windows Defenders über das Intune eingerichtet werden. Auch kann die Einrichtung des Bedingten Zugriffs über das Admin Center stattfinden und zusätzliche Security-Mechanismen, wie die App und Browser Isolation oder Web Protection für den Edge Browser können eingerichtet werden. 

 

Neben dieser Beispiele ermöglicht uns die MDM-Lösung auch das Zusammenspiel mit einer Cloud App Security, um mögliche Fälle einer Schatten-IT zu verhindern. Dabei bezieht sich Intune aber nicht nur auf Microsoft eigene Produkte, sondern kann auch mit Firewall von Dritt-anbietern sprechen oder sich mit dem Jamf-Konfigurator von Apple verknüpfen. 

 

Natürlich können auch andere MDM-Anbieter verschiedene Dienste miteinander koppelnReports erstellen und bei Gefahren unterschiedliche Aktionen durchführen, jedoch merkt man recht schnell in der Administration mit Intune, dass der Gedanke von Microsoft sein Portfolio um eine eigene Endpoint Security Lösung zu erweitern und diese dann auch recht kostengünstig in bestehende Microsoft 365 Abonnements zu stecken mit gewissem Erfolg gekrönt ist: 

 

Unternehmen benötigen nicht zwingend weiteres Budget für Dritt-Anbieter und die IT-Abteilung darf die Administration innerhalb der Microsoft Cloud Dienste durchführen. Der Fokus kann somit auf eine Lösung gesetzt werden, die fortlaufend ihren Umfang erweitert und großen Support von Microsoft erfährt. 

 

Natürlich ist auch beim Endpoint Manager nicht alles Gold was glänzt. Schauen wir uns zunächst an, welche Plattformen wir denn überhaupt verwalten und administrieren können. 

 

Windows, Apple und Android – die Wege der Registrierung 

 

Mit Intune können wir Geräte der Plattformen Windows, Apple und Android registrieren und für die spätere Administration bereitstellen. 
 
Je nach Plattform unterscheiden sich auch die Wege, wie Clients oder auch mobile Endgeräte beim Benutzer ausgerollt und entsprechend im Endpoint Manager administriert werden. 

 

Bei Android Geräten verbinden wir unser Intune mit dem verwalteten Google Play. Dies müssen wir durchführen, um Android Enterprise Geräte zu verwalten. Die Einrichtung selbst normalerweise in keinen 5 Minuten durchgeführt. Sobald wir dies erledigt haben, stehen uns die verschiedenen Registrierungsprofile unter Android zur Verfügung: 

 

 

 

 

 

 

 

 

Ansicht der Registrierungsprofile unter Android im Endpoint Manager (Quelle: eigenes Intune Portal) 

 

 

 

  • Benutzereigene Geräte mit Arbeitsprofil: Dies ist in der Theorie primär für private Geräte von Nutzern vorgesehen, die bereit sind ihr eigenes Smartphone oder Tablet dem Unternehmen zur Verfügung zu stellen. Hier befinden wir uns oftmals im „Bring your own Device“-Szenario (kurz: BYOD). Aus der Praxis heraus zeigt sich allerdings, dass auch oftmals reine Unternehmensgeräte über diese Methode registriert werden, da zumeist Smartphones und Tablets bereits im Umlauf sind und nicht zurückgesetzt werden sollen für ein neue Deployment. Die Registrierung erfolgt hierbei über den Download des Unternehmensportals aus dem Google Play Store und die damit verbundene Anmeldung mit dem Geschäftskonto. 
  • Unternehmenseigene, vollständig verwaltete Geräte:  Bei diesem Registrierungsprofil verwenden wir beim ersten Starten des Gerätes einen Token, den wir entweder manuell eingeben oder aber über einen QR-Code mit der Kamera scannen können. Danach wird das Endgerät im Intune registriert und befindet sich in der vollständigen Verwaltung des Unternehmens. Hier verwenden wir keine getrennten Bereiche für den Arbeits- und den Privat-Bereich, sondern das komplette Endgerät ist unter der Administration der IT-Abteilung. 

 

  • Unternehmenseigene dedizierte Geräte: Hier befinden wir uns im selben Szenariowie bei dem vorherigen Registrierungsprofil. Tatsächlich funktioniert der Prozess auch hier wieder über ein neues Deployment mit der Anwendung eines Tokens. Das Endgerät wird dann allerdings nicht einem Benutzer zugeordnet, sondern dient als sogenanntes Kiosk- oder Taskgerät. Dies sind Geräte, die z.B.: am Empfang oder auf Baustellen verwendet werden und einer ganzen Reihe von Benutzern zur Verfügung steht. 

 

  • Unternehmenseigene Geräte mit Arbeitsprofil: Mit dem letzten Profil arbeiten wir erneut über einen QR-Code und das Gerät wird als Unternehmenseigenes Gerät klassifiziert, jedoch wird auf dem Endgerät ein separater Bereich für die private Nutzung eingerichtet. Somit befinden wir uns nicht im BYOD-Umfeld, haben aber zeitgleich die Möglichkeit die kontrollierte private Nutzung eines geschäftlichen Gerätes zu ermöglichen.  

 

Wenn in der Verwaltung geschäftliche Apps zur Verfügung gestellt werden, so sind diese für den Nutzer an einem kleinen Koffer-Symbol zu erkennen und geben den Hinweis, dass dies eine verwaltete App ist: 

 

 

 

Quelle: Introduction to Android work profile - Microsoft Intune | Microsoft Docs  

 

All diese Registrierungswege unter Android benötigen eine gewissen Interaktion vom Nutzer oder der IT-Abteilung. Möchten man auch diesen Schritt eliminieren ist die Verwendung des Zero-Touch Portals erforderlich. 

 

Nach aktuellem Stand können wir die Zero Touch-Lösung nicht direkt im Endpoint Manager Admin Center konfigurieren, sondern bauen eine Verbindung zwischen Intune und dem Google Dienst auf. Den Großteil der Einrichtung erfolgt dann außerhalb des Intune Portals auf Google Seite. 

 

 

 

Registrierungs-Token und Verweiß auf das Zero Touch Portal (Quelle: eigenes Intune Portal) 

 

Verwenden der Apple-Registrierung 

 

Auch zur Verwaltung von iOS-Geräten, muss eine Verbindung zwischen Intune und dem externen Dienst hergestellt werden. Dazu nutzt man eine Apple-ID und mit dieser Kennung und einem dazugehörigen Zertifikat, welches über eine CSR Datei erstellt wird, erlangt man Zugriff auf die Endgeräte Verwaltung von iOS- und MacOS-Geräten. 

 

Das Zertifikat selbst ist zunächst für 365 Tage gültig und ermöglicht mehrere Methoden der Registrierung. Hierbei bietet Intune den Bereich der Massenregistrierung an: 

 

Als IT-Administrator kann mit dem Apple Configurator ein Endgerät zurückgesetzt und entsprechend als Unternehmensgerät wieder ausgerollt werden. Auch hier besteht wieder die Möglichkeit ein Gerät auf einzelne Benutzer zu registrieren oder entsprechend Geräte in den Kiosk-Modus zu versetzen. Bei iOS spricht man hier von der Option der Benutzeraffinität. 

 

Bei der Nutzung des Apple Configurators ist zu beachten, dass hierfür die entsprechende Software auf einem MacOS bereitstehen muss und ein physischer Zugriff auf das Endgerät ermöglicht wird. 

 

Eine weitere Methodik ist die Nutzung des Apple-Business- oder Apple-School-Managers. Parallel zum Zero Touch unter Android wird hier über das Mobile Device Management Portal von Apple eine Verbindung zum Intune hergestellt und ein voll automatisiertes Deployment ermöglicht, ohne dass die IT-Abteilung das Gerät vor Ausgabe an den Nutzer sehen muss.  

 

Die Optionen und Möglichkeiten (z.B.: Einrichtung Finger-Scanner oder Zoom) kann bei Bedarf deaktiviert werden, so dass auch hier ein möglichst zügiges Deployment für den Nutzer stattfinden kann. 

 

Die rein manuelle Registrierung durch den Nutzer anhand des Unternehmensportal besteht auch unter Intune. Aus IT-Sicht können wir auch hier über die Funktion der Registrierungszuordnung festlegen, ob ein Nutzer die Möglichkeit hat, das Endgerät fest auf einen Benutzer zu setzen oder ob es ein Kiosk-Gerät ist. 

 

 

 

Registrierungsoptionen unter iOS im Intune (Quelle: eigenes Intune Portal) 

 

 

Intune bietet bis hierhin somit eine umfangreiche Verwaltung für iOS- und Android-Geräte an und muss sich bei der Bereitstellung nicht hinter anderen Mobile Device Management-Lösungen verstecken. Die besonderen Stärken und Vorteile kommen aber gerade bei der Windows Client Plattform zum Tragen. 

 

Eine wichtige Information: Aktuell ist eine Server Administration auf Basis der reinen Cloud-Verwaltung nicht unterstützt. Hier setzt Microsoft auf das Co-Management mit dem hauseigenen System Center Configuration Manager, um auch Server Infrastrukturen in die Administration zu heben. 

 

Windows Deployment mit AutoPilot – oder auch: wie der Client das Fliegen lernt 

 

Im Windows Umfeld ermöglicht Intune das automatische Deployment von Windows 10 Client ab der Pro Edition. Dieser Deployment-Service unter Intune nennt sich AutoPilot und sich stark von anderen MDM-Lösungen. 

 

 

Klären wir aber zunächst was AutoPilot ist und wie es funktioniert: 

 

AutoPilot beschreibt das automatische Deployment von Windows 10 Clients beim Endanwender.  

Dabei kommen wir auch schon zum größten Unterschied im Vergleich zu anderen Anbietern – das Gerät kann direkt beim Endanwender ins Deployment gehen. 

 

Der zumeist gängige Weg, dass ein Gerät beim Hardware-Lieferanten bestellt wird, dann in die IT-Abteilung geht und dort dann mit einem Image betankt wird entfällt. Natürlich muss auch Intune den Windows Client mit den ihm vorgegebenen Richtlinien und Applikationen anpassen, jedoch bedient sich Intune den auf dem Endgerät bereits installiertem Windows Betriebssystem. 
 
Es findet somit keine völlige Neuinstallation statt, sondern vielmehr eine (mitunter große) Anpassung des bestehenden OS. Diese Anpassung muss dann nicht mehr zwangsläufig innerhalb des Unternehmens stattfinden, sondern gerade in Zeiten vom Home Office und Remote Work kann der Client dem Nutzer quasi nach Hause geschickt werden. 

 

Der Nutzer entpackt das Gerät, schließt es an das heimische Netzwerk an und meldet sich beim Anmeldebildschirm mit seiner geschäftlichen Mail-Adresse an. Sobald dies erledigt ist, beginnt das Gerät in den AutoPilot-Modus zu gehen. 

 

Folgende Grafik verdeutlicht den Ablauf auch sehr gut: 

 

Windows Autopilot-Geräte Registrierungsprozess 

 

Quelle: Manuelle Registrierung von Geräten für Windows Autopilot | Microsoft Docs 

 

Die Grafik zeigt auf, dass wir als IT-Abteilung die Möglichkeit haben unsere bestellte Hardware direkt zum Endanwender schicken können und dabei sogenannte Geräte-IDs (auch Hardware-IDs genannt) vom Lieferanten in unser Intune-Portal hochgeladen werden. 

 

Diese Geräte-IDs sind eindeutige Bezeichner der physischen Geräte, die die Verbindung zwischen unserem Nutzer, dem Unternehmen und den damit in Verbindung stehenden Einstellungen garantieren. 

 

Auch können bereits bestehende Geräte ausgelesen werden und im Falle einer Neuinstallation über AutoPilot ausgerollt werden. Dazu stellt Microsoft ein Script bereit, welches je nach Anwendungsfall entweder einzeln auf einem Windows Client angewendet wird oder über Gruppenrichtlinien zentral ausgeführt wird und die Geräte-IDs an einem zentralen Punkt für den Upload ins Intune bereitstellt. 

 

Wenn ein Deployment direkt beim Nutzer durchgeführt wird, muss auch bedacht werden, dass damit stets auch die Zeit eines Nutzers in Anspruch genommen wird. Es gilt somit sich hier gut zu organisieren und einen möglichst unterbrechungsfreien Wechsel vom Alt- zum Neugerät zu ermöglichen. 

 

Haben wir dann allerdings ein Deployment, welches 16 Applikationen installieren und dabei auch mehrere Konfigurationsrichtlinien anwenden soll und dann den Zugriff nur über die schwache Internetverbindung des Nutzers zu Hause erhält kann die Geduldsspanne stark strapaziert werden. 

 

Damit dies nicht passiert, gibt es die Möglichkeit den White-Glove-Modus zu verwenden. Hierbei wird der Client nicht direkt an den Benutzer geschickt, sondern geht zuerst den Weg in die IT-Abteilung. Diese widerum startet den Client und durch fünfmaliges Drücken der Windows Taste landen der Client in einem Pre-Load Modus, wodurch Applikationen und Konfigurationen vor der Anmeldung durch den Nutzer installiert und angewendet werden. 

 

 Dies macht in Summe den ursprünglichen AutoPilot-Gedanken kaputt, denn schließlich nimm die IT-abteilung das Gerät doch wieder selbst in die Hand, aber gewährt es zugleich die Gelegenheit ein möglichst schnelles Deployment beim Endanwender durchzuführen. 

 

Mit AutoPilot haben wir im Intune einen sehr interessanten Dienst innerhalb der MDM-Plattform, um den Client Rollout zu automatisieren und die Arbeitslast innerhalb der IT zu minimieren. Aber natürlich haben wir beim AutoPilot noch weitere Einstellungsmöglichkeiten, die den Service noch interessanter machen können. 

 

Reine Cloud Verwaltung oder doch ein Hybrid-Deployment? 

 

Für die meisten Unternehmen ist die reine Cloud Verwaltung ihrer Windows Clients zunächst keine Option, schließlich bestehen zahlreiche lokale und historisch gewachsene Gruppenrichtlinien (kurz: GPO). 

 

Dort sind entsprechend Richtlinien, Registry-Einträge und Berechtigungen gesetzt. Intune bietet zwar mittlerweile die Möglichkeit an, eine Auswertung der lokalen GPOs durchzuführen und gibt aus, welche direkt im Intune abgebildet werden können, wem das jedoch zu wenig ist der kann auch ein AutoPilot Hybrid Deployment durchführen. 
 
Die Einstellung dazu definieren wir im AutoPilot-Profil und durch Anpassungen am Azure AD Connect und der Installation des Intune Connectors mindestens auf einem Windows Server 2016, kann der Windows Client auch in einem Hybrid Szenario bereitgestellt werden. 

 

Der Client erhält im Azure Active Directory den Status des Hybrid Joinssomit besteht die Möglichkeit eine lokale Verwaltung durchzuführen und zeitgleich die Administration über Intune einzubeziehen. 

 

Wichtig ist hierbei sich eine Struktur zu überlegen, welche Richtlinien lokal oder in der Cloud abgebildet werden sollen, damit es hier nicht zu Überschneidungen und im weiteren Verlauf zu massiven Nacharbeiten in den Einstellungen kommt. 

 

Über den Status eines Gerätes im Azure Active Directory können wir auch ableiten, wie dieses eingebunden wurde. Es gibt drei verschiedene Status von Join Typen: 

 

 

  • Hybrid Azure AD Joined: Das Endgerät hat sein Objekt im lokalen Active Directory und in der Cloud im Azure Active Directory und bietet somit die Möglichkeit eine Verwaltung aus beiden Welten durchzuführen 
  • Azure AD Joined: Ein Windows Client, der sich nur in der Verwaltung des Azure Active Directorys befindet und auch als Unternehmensgerät gekennzeichnet ist. 
  • Azure AD Registered: Diese Geräte wurden manuell gegen die Unternehmensportal App registriert und sind zunächst als private Geräte gekennzeichnet und haben nicht den Weg z.B.: über AutoPilot verwendet. 

 

 

 

 

Ansicht der verschiedenen Join-Typen im Azure Active Directory (Quelle: eigenes Azure AD) 

 

Im Rahmen des Deployments können wir noch weitere Einstellungen anwenden, dazu gehören das Ausblenden folgender Einstellungen für den Nutzer bei der ersten Anmeldung: 

 

  • Microsoft Software Lizenzbedingungen 
  • Datenschutzeinstellungen 
  • Optionen zur Kontoänderung 
  • Art des Benutzerkontos 
  • Spracheinstellungen 
  • Konfiguration der Tastatur 

 

Bei Bedarf kann auch ein Template für den Client-Namen angewendet werden. Neben statischen Werten kann der Name auch dynamische Inhalte basierend auf der Seriennummer oder einer Zufallsgenerierten Zahl beinhalten. 

 

Wie auch bei anderen Betriebssystemen ermöglicht uns Intune hier neben Benutzergesteuerten Geräten auch Kiosk-Geräte zur Anwendung für Terminals, Rezeption und co. anzuwenden.  

 

 

 

Einstellungsmöglichkeiten beim AutoPilot Profil im Intune (Quelle: eigenes Portal) 

Über die Option des Registrierungsstatus können wir auch anpassen, wie die Benutzerinteraktion beim Deployment ist, somit wird festgelegt was der Nutzer schlussendlich sieht und auch, ob der Windows Client bis zum Abschluss aller Installation und Anpassung für die Nutzung gesperrt ist oder aber die Möglichkeit gewährt wird auch mit einer „halben Installation“ die Nutzung zu gewähren. 

 

Diese Entscheidung sollte gerade aus organisatorischer Sicht gut überlegt sein, möchte man doch zumeist Anrufe an den IT-Support oder Helpdesk verhindern.  

 

Beim Thema Windows Deployment zeigt Intune seine Stärken, bietet es doch einen gänzlich anderen Ansatz als die meisten anderen MDM-Anbieter und zeitgleich erhält die IT-Abteilung weiterhin die Möglichkeit sein Windows Client-Management in Hybriden Szenarien bereitzustellen. Das direkte Deployment beim Nutzer oder auch Kunden eröffnet neue Wege der modernen Verwaltung, erfordert aber auch eine gute Planung und Startegie bei der Anwendung verschiedener AutoPilot-Profile, Anwendung von Richtlinien und der Installation von Applikationen. 

 

Die Oberhand beim Geräte-Dschungel behalten 

 

Ein Thema das im Microsoft 365 Umfeld immer wieder vorkommt sind zahlreiche Registrierungen, die Nutzer mit ihrem geschäftlichen Konto bei Dritt-Anbietern oder auch anderen privaten Apps durchgeführt haben, die dann bei der Administration im Microsoft Admin Center oder dem Azure Portal sichtbar werden. 

 

Nicht anders ist es bei den Endgeräten – oftmals sind bereits zahlreiche private Geräte zumindest im Azure Active Directory vorhanden oder haben sogar den Weg in die MDM-Verwaltung von Intune geschafft. 

 

Erklärbar ist dies durch die Option, die bei der Anmeldung von z.B.: Teams auf privaten Windows Geräten angezeigt wird. Bei der Erstanmeldung erscheint ein Fenster mit der Aufschrift „Verwaltung des Geräts durch meine Organisation zulassen“ und der gewöhnliche User klickt natürlich schnell auf OK, denn er will einfach Teams nutzen. 

 

 Als Ergebnis sehen wir zahlreiche private Geräte im Azure Active Directory des Unternehmens. Durch Intune können wir dem ganzen Einhalt gebieten. Hierfür verwenden wir die Registrierungsbeschränkungen. Dabei gibt es zwei Arten von Beschränkungen, die gesetzt werden können: 

 

  • Einschränkungen zum Gerätelimit: Über diese Option wird festgelegt, wie viele Geräte ein Benutzer über seine Intune Lizenz registrieren darf. Das Maximum beträgt aktuell bis zu 15 Endgeräte (unabhängig vom Betriebssystem), die mit einer Lizenz hinzugefügt werden können. Hier ist es sinnvoll sich zu überlegen, wie viele Geräte für gewöhnlich benötigt werden und auch diesen Wert als Limit zu setzen 
  • Einschränkungen zum Gerätetypen: Hier wird auf Basis des Betriebssystems festgelegt, ob ein bestimmtes Betriebssystem sich erst gar nicht im Azure Active Directory und Intune authentifizieren darf oder ob nur unternehmenseigenen Geräte erlaubt sind. Auch eine Filterung auf Basis der OS-Version ist möglich. 

 

Durch das Setzen und Anwenden dieser Limits erhalten wir die Möglichkeit die Zahl der im System befindlichen Gerät zu minimieren. Wenn allerdings das Kind schon in den Brunnen gefallen ist und bereits etliche Geräte fälschlicherweise in der Verwaltung sind haben wir immer noch die Möglichkeit manuell Geräte zu entfernen oder über die Option Regeln für die Gerätebereinigung automatisiert Geräte aus der MDM-Verwaltung zu entfernen, die sich nicht innerhalb eines bestimmten Intervalls am System angemeldet haben 

 

 

App-Deployment mit Intune – eine nicht ganz so einfache Aufgabe 

 

Natürlich gehört zur MDM-Verwaltung auch eine Applikations-Steuerung hinzu, die Intune dem IT-Administrator bereitstellt. 

 

Wenn es die Nutzung von Store-Apps geht ist dies mit Intune sehr schnell gelöst. Wir haben die Möglichkeit eine Anbindung den Google Business Store, das Apple-VPP-Token Programm und den Microsoft Store durchzuführen und entsprechend darüber die Applikationen zu verteilen. 

 

Dabei können wir angeben, ob die Applikation automatisch im Hintergrund (Zustand: Erforderlich) installiert werden soll oder ob Sie als optionale App im Unternehmensportal angezeigt wird. Die Applikation kann dann bei Bedarf von den Nutzern heruntergeladen und installiert werden. 

 

In Summe funktioniert dies recht einfach und verursacht keine größeren Arbeiten. Auch bei der Bereitstellung der Microsoft 365 Apps zeigt sich die gute Integration der Services ineinander: 

 

Wir erhalten die Möglichkeit den integrierten Designer zu verwenden und auszuwählen, welche Apps mit installiert werden sollen, welche Update-Kanal genutzt wird, die Office Suite Version und auch ob bestehende Anwendung aus der Office Familie deinstalliert werden sollen. 

 

Bei Bedarf geben wir auch an, ob es sich um eine Installation handelt, die von mehreren Benutzern verwendet wird und ob die Lizenzbedingungen automatisch akzeptiert werden sollen. 

 

 Auch die Integration von XML-Installationsanweisungen ist kein Problem. Eine sehr gute Alternative zum bisherigen Office Deployment Toolkit. 

 

 

 

Anpassung der Office 365 Suite im Intune (Quelle: eigenes Portal) 

 

Intune bietet auch an MSI- und Win32-Dateien auf Windows Client zu verteilen. Was bei MSI-Dateien keine allzu großen Herausforderungen darstellt, kann bei klassischen Win32-Apps ziemlich an die Frustrationsgrenze des IT-Administrators gehen. 

 

Im Fall von MSI-Dateien muss nur die Quelldatei im MSI-Format im Endpoint Manager Admin Center hochgeladen werden, die Zuweisung an eine Gruppe oder auch alle Geräte stattfinden und die Installation wird in den allermeisten Fällen ohne große Probleme durchgeführt. 

 

Im Monitoring wird uns der Status der App-Installation angezeigt und auch mitgeteilt, ob diese erfolgreich war oder aber auf Fehler gelaufen ist. Bis hierhin macht Intune noch keine Abstriche im Vergleich zu anderen MDM-Anbietern. Ganz anders aber, wenn wir eine Exe-Datei installieren wollen: 

 

Exe-Dateien können nicht einfach ins Intune hochgeladen werden, sondern müssen zuerst in ein INTUNEWIN-Format konvertiert werden. Auch dazu stellt Microsoft über GitHub ein Tool bereit (das Content Prep Tool), welches die Konvertierung für uns vornimmt. Weiterhin muss für die fehlerfreie Durchführung der App-Installation auch ein Inund Deinstallations-Pfad angegeben werden. Darüber setzen wir dann auch einen Trigger, der Intune mitteilt, dass eine Installation erfolgreich war und entsprechend im Monitoring auch so angezeigt wird.  

 

Damit für die Installation die korrekten Parameter gesetzt werden, muss der IT-Administrator entweder die Applikation einem manuell installieren und sich die Information heraussuchen oder aber wir haben eine gute Dokumentation, die die erforderlichen Parameter bereithält. Exemplarisch eine Installation am Beispiel vom TeamViewer: 
 
Ich erstelle zunächst zwei Verzeichnisse: 

 

Das Quell-Verzeichnis mit der Setup-Datei und ein Ziel-Verzeichnis in das die Intunewin-Datei abgelegt wird. Im nächsten Schritt Starte ich das Content Prep Tool und gebe dort die zuvor angelegten Pfade an: 
 
 

 

Danach findet die Umwandlung der Datei statt und ich kann diese aus dem Quell-Verzeichnis in das Intune Portal hochladen. Sobald der Upload erledigt ist, gebe ich die zuvor angesprochenen Installationsbefehle mit: 

 

Installationsbefehle-Intune 

 

Darauffolgende lege ich fest, welche Bedingung der Client erfüllen muss, damit die Installation durchgeführt werden darf. Hierzu zählen Punkte wie die OS-Architektur, erforderlicher Speicherplatz usw.: 

 

Anforderungen-App 

 

Als nächstes sind Erkennungsregeln zu setzen, die angeben woran Intune erkennen soll, ob eine Installation erfolgreich war oder nicht. Hierbei können wir auf manuelle Regeln setzen, wie z.B.: das Vorhandensein eines bestimmten Ordners oder einer Datei: 

 

Erkennungsregel-Intune 

 

Abschließend wird die Applikation noch einer Gruppe zugeordnet und nach einem initialen Sync und etwas Geduld wird dann auch die App auf den Windows Clients erscheinen. Was jetzt im Falle einer TeamViewer Installation noch simpel aussehen mag, kann bei weniger bekannten Applikationen oder gut geführten Dokumentation eine menge Zeit in Anspruch nehmen. 
 
Gerade wenn auch noch Abhängigkeiten zu anderer Software berücksichtigt werden muss, kann es sehr schnell komplex werden. Hier sehe ich auch einen der größten Kritikpunkte in der Arbeit mit Intune. Warum kriegen andere MDM-Anbieter diesen Punkt einfacher gelöst? So geht z.B.: ein Baramundi hin und konvertiert und setzt alle erforderlichen Parameter automatisch. Der IT-Administrator hat mit dem Thema nur wenig Arbeit und kann sich entsprechend auf andere Themen konzentrieren. 

 

Da dieser Punkt unter Kollegen und in der Community für reichlich Diskussionen sorgt, gehen mittlerweile viele Unternehmen hin und kaufen sich eine Drittanbieter-Lösung ein, die die App-Steuerung im Intune für Sie übernimmt oder man versucht Exe-Dateien in ein MSI-Format umzuwandeln und hofft, dass es auch so klappen wird.  

 

Es ist äußerst schade, dass Microsoft an dieser Stelle nicht nachbessert und eine eigene hausinterne Lösung anbietet, denn diese Problematik haben wir schon seit mehreren Jahren und viele sehen sich an dieser Stelle gezwungen extra Geld und Ressourcen aufzuwenden. 

 

App-Security mit Konfigurations- und Schutzrichtlinien 

 

Neben den Schwächen bei der Implementierung von Software zeigt Intune wieder stärke, wenn es um die Anwendung weiterer Schutzrichtlinien geht. 

 

Hierzu bedient sich Intune sogenannter Schutz- und Konfigurationsrichtlinien. Mit den App-Schutzrichtlinien haben wir die Möglichkeiten einzelne Applikationen durch eine weitere Zugriffs- und Schutzschicht abzusichern und Bedingungen für die Nutzung festzulegen. 

 

Wir können festlegen, ob neben dem bereits bestehenden Passwort noch eine zusätzliche Authentifizierung beim Starten einer App erforderlich ist oder ob Daten zwischen dem geschäftlichen Outlook und dem privaten WhatsApp geteilt werden dürfen. Dadurch ergibt sich auch die Gelegenheit eine mögliche Schatten-IT zu verhindern, die sich in manchen Unternehmen im Laufe der Zeit aufgebaut hat 

 

Ergänzt werden die Möglichkeiten durch die Anwendung einer Verschlüsselung oder auch die Blockierung von Backups in externe Dienste, wie einer iCloud. Die zusätzlichen Schutzrichtlinien können auf Unternehmens-Geräten, aber auch sehr gut in BYOD-Szenarien angewendet werden. 

 

Je nach Plattform definiert Intune unterschiedlich, ob die Schutzrichtlinien nun auf Unternehmens- oder privaten Endgeräten angewendet werden. So ist es bei Android erforderlich, dass das Unternehmensportal zwar auf dem Smartphone oder Tablett installiert aber nicht registriert ist, um es als privates Gerät zu deklarierenBei iOS-Geräten ist dies so nicht erforderlich und ein Nutzer muss nicht zwingen das Unternehmensportal installiert haben, um eine Aktivierung der App-Schutzrichtlinien durchzuführen. 

 

Innerhalb der Windows Plattform arbeiten wir über das Festlegen von MDM- und MAM-URLs und dem jeweiligen Registrierungsstatus des Clients, um eine Klassifizierung vorzunehmen. 

 

 

 

Eine App-Schutzrichtlinie für Android Geräte (Quelle: eigenes Intune Portal) 

 

Aufbauend darauf kommen noch die App-Konfigurationsrichtlinien. Diese können ergänzend verwendet werden, um weitere Einstellungen am Client vorzunehmen. So kann z.B.: für Outlook festgelegt werden, ob der Posteingang mit Relevanz verwendet werden soll oder welche Attribute aus den Outlook Kontakten in die nativen Apps übertragen werden sollen. Auch