Mobile Device Management mit Microsoft Intune

Microsoft Intune

Modern, sicher und effizient – Mobile Device Management mit Microsoft Intune

Die moderne Arbeitswelt ist ständig im Wandel begriffen. In Unternehmen machen die zunehmende Dynamik und steigende Komplexität nicht nur eine bessere Zusammenarbeit, sondern auch eine umfangreichere Vernetzung notwendig. Um diesen Anforderungen gerecht zu werden, verlangt die neue Generation von Anwendern nach einem modernen Arbeitsplatz, der dem aktuellen Stand der Technik entspricht. Mit dem digitalen Wandel und der zunehmenden Transformation hin zu Cloud Architekturen wird Mobile Device Management immer wichtiger. Hinzu kommt, dass Mobilgeräte mehr und mehr an Bedeutung gewinnen: Längst sind sie zu den Arbeitsgeräten der heutigen Zeit geworden.

Auch die Art des Arbeitens hat sich mit der Digitalisierung drastisch verändert. Dies setzt auch neue Herausforderungen und Maßstäbe für die IT im Unternehmen an, denn es gilt eine gesicherte, flexible und kostengünstige Umgebung zu schaffen. Zur Erreichung dieser Ziele können Unternehmen auf Mobile Device Management Plattformen setzen und als Lösung definieren.

Eine davon ist Microsoft Intune:

Angebunden an eine Microsoft 365 Umgebung, kann es innerhalb der Microsoft 365- oder Enterprise Mobility und Security-Pläne lizenziert werden. Optional kann es auch als „standalone“ Intune Lizenz erworben werden.

Der Mehrwert bei einer Microsoft 365- oder Office 365-Integration ergibt sich durch die Vereinheitliche Benutzerverwaltung: So können bereits vorhandene Benutzer – ob Hybrid oder Cloud-Only – genutzt werden, um diese mit vorhanden Richtlinien, Applikationen und Policy Sets zu verknüpfen und so auch eine Auswirkung auf die Endgeräte im Unternehmen haben.

Das Ziel ist es eine vereinheitliche administrative Plattform zu bieten, ohne dabei an mehreren Stellen die Benutzer- und Gerte-Verwaltung durchzuführen.

Microsoft Intune als cloudbasiertes Mitglied der Enterprise und Mobility Suite von Microsoft.

Neben der Verwaltung von mobilen Endgeräten durch Konformitäts- und Konfigurationsrichtlinien, lassen sich auch Apps verwalten. Hierbei können wir u.a. die Office 365 Suite zentral auf unsere Endgeräte ausrollen oder aber auf den Google- und Microsoft-Store zugreifen.

Die Einbindung von PowerShell Skripten, MSI-Dateien und auch Win32-Applikationen stellt kein Problem dar.

Microsoft Intune Application

(Einbindung von Applikationen im Intune Portal)

Applikationen – wie die O365 Suite – können dabei optional zur Verfügung gestellt werden, ähnlich wie wir es aus einem App-Store können oder als verpflichtend auf dem jeweiligen Endgerät installiert werden.

Zugriffsregeln und Datenschutzrichtlinien können nicht nur zentral gesteuert, sondern auch für das Unternehmensszenario angepasst und definiert werden. Die entsprechenden Richtlinien dienen hierbei zur Steuerung und Einhaltung der Sicherheitsrichtlinien, die vom jeweiligen Unternehmen als Standard festgelegt wurden. Sollten noch keine Standards definiert sein, unterstützt Intune den Nutzer dabei, sogenannte Baseline Policies, also Standardrichtlinien für die IT-Sicherheit, mühelos und unkompliziert zu integrieren.

Die Auswahl der Richtlinien richtet sich nach Endgerät, Profiltyp und Konfigurationsbereich – hierbei können wir via grafischer Oberfläche die Richtlinien einfach aktivieren oder
Microsoft Intune Profil

(Auswahl des Konfigurations-Profils)

Microsoft Intune Geräteeinstellungen

Zudem können die Funktionen und auch die App-Nutzung und Freischaltung der Geräte durch Konfigurationsrichtlinien beeinflusst werden:

So lässt sich zum Beispiel die Kamera sperren. Im Kioskmodus können die Geräte ausschließlich eine vorgegebene Anwendung ausführen (z.B.: Microsoft Edge Browser oder die Office 365-Suite) und andere Funktionen sind dann unzugänglich (z.B.: WhatsApp oder Facebook). Ergänzend bietet Intune einen eigenen Managed-App Store an, der dem Nutzer ausgewählte oder selbst entwickelte Business Apps verfügbar macht, ohne dass es dabei zu Einbußen bei der IT-Sicherheit kommt. Wie zuvor geschrieben kann hierbei die Softwareverteilung im Intune gesteuert werden – als Lösung wird hier die Unternehmens-Portal App genutzt:

Für den Nutzer sieht die das Portal aus wie ein klassischer App-Store, nur übernimmt das eigene Unternehmen hier die Verwaltung und Bereitstellung:

Intune Unternehmensportal

(Das Microsoft Intune Unternehmensportal im Microsoft App Store)

 Zusätzlich kann das jeweilige Unternehmen in einer Liste die Genehmigung und das Verbot von Apps angeben. Der Vorteil für den Nutzer ist, dass die genehmigten Apps besonders gesichert sind, weil sie in einer geschützten Umgebung arbeiten, die Aktionen wie Speichern, Kopieren oder Einfügen einschränkt. Dateiinhalte wie Bilder, Videos oder Audiodateien werden nur mit freigeschalteten Apps freigegeben. Damit wird ein Schutz der Daten auch auf privaten Endgeräten sichergestellt.

Microsoft Intune unterscheidet in der Speicherung der Dateien zwischen dem privaten und geschäftlichen Bereich auf einem Endgerät (ähnlich einer Container-Lösung) und wendet eine Verschlüsselung auf Dokumente und Dateien an. Die ist gerade im BYOD-Szenario äußerst interessant und auch ratsam:

Intune byod szenario

(Aufteilung der geschäftlichen und privaten Daten durch Microsoft Intune im BYOD-Szenario)

Problemloser Einsatz und umfassendes Management möglich?

Die Kernfunktion von Intune, nämlich die Verwaltung von Mobilgeräten mit iOS, Windows 10, oder Android kann durch ein Selfservice Portal ergänzt werden, welches bei der Registrierung neuer Geräte hilft. Neue Geräte können vom Nutzer selber im AutoPilot in das Azure Active Directory registriert werden. Dadurch wird der Arbeitsaufwand für den Nutzer und IT-Administrator auf ein Minimum beschränkt, weshalb auch kleine bis mittlere Unternehmen von der Lösung profitieren.

Direkt verwaltet werden können Apple iOS 6.0 und höher, Windows Phone 8.0 und höher sowie Google Android 4.0 und höher. Ebenso alle Computer mit Windows 8.1 und höher. Der Einsatz von Microsoft Apps bietet zusätzliche Möglichkeiten: So kann die Outlook App zum Beispiel auch unter iOS und Android verwaltet werden. Mit dem Intune Managed Browser kann der Zugriff auf bestimmte Webseiten eingeschränkt werden. Weil die Konfigurationsregeln von Intune auch für die Office Apps gelten, kann die Lösung als ein umfassendes Managementpaket für mobile Endgeräte bezeichnet werden.

Grundsätzlich kann Intune als Standalone oder in Kombination mit dem Microsoft System Center Configuration Manager genutzt werden. Die Abrechnung erfolgt je Nutzer. Die Lizenzmenge lässt sich von Monat zu Monat dem tatsächlichen Bedarf anpassen, wie wir es aus der Lizenzierung im Microsoft 365 Umfeld gewohnt sind. Pro Nutzer lassen sich bis zu 15 Geräte in Intune verwalten. Die Nutzungsberechtigung für eine System Center Configuration Manager Installation ist inbegriffen.

intune autopilot

(Direkter Einsatz der Endgeräte durch AutoPilot im Microsoft Intune)

Sicher und vollumfänglich durch Microsoft Intune?

Im Fokus einer Mobile Device Management Lösung wie Intune steht die IT-Sicherheit. Im Rahmen der Migration können Einstellungen wie die PIN Länge, die Kennwortablaufzeit und die PIN-Komplexität geprüft und organisiert werden. Auch weiterführende Konfigurationen sind möglich – darunter die Verweigerung von Screenshots, die Verschlüsselung der Geräte und Speicher oder die Verwendung von externen Medien.

Ebenfalls wichtig ist das Mobile Application Management, über das sich die Informationsverarbeitung innerhalb von Apps einschränken lässt. So ist es zum Beispiel möglich, festzulegen, dass Informationen aus Outlook nur in Word oder Excel weiterverarbeitet werden können, um zu verhindern, dass unternehmerische Daten und sensible Dateianhänge ihren Weg in private Cloud Konten finden. Dadurch ist ein Grundschutz für alle Geräte gewährleistet, auf denen unternehmensrelevante Informationen eingesehen oder bearbeitet werden – unabhängig davon, ob es sich um den geschäftlichen Laptop oder das private Smartphone handelt. Sollte ein Gerät verlorengehen oder ein Mitarbeiter ausscheiden, ist es möglich, das entsprechende Gerät teilweise oder vollständig zurückzusetzen. Hier kommt der ergänzende Gedanke von vorhin zur Aufteilung der Daten und Information auf dem Endgerät zu tragen.

Bei einer teilweisen Löschung werden nur Daten entfernt, die über das Mobile Application Management verwaltet werden. Bei einer vollständigen Zurücksetzung wird das Gerät dagegen auf die Werkseinstellungen zurückgesetzt, was zum Verlust aller gespeicherten Daten führt, die sich darauf befinden.

Intune: Zentrale Steuerung und hohe Flexibilität im laufenden Betrieb?

Ob Laptop, Notebook oder Desktop: Intune ermöglicht es Unternehmen, Windows 10 Geräte sicher und effizient zu verwalten. So können mobile Arbeitsplatzkonzepte ohne Einschränkungen umgesetzt werden (Stichwort: Remote Work und Home Office) – für mehr Flexibilität und Produktivität im täglichen Arbeitsleben. Gegenüber einer selbstbetriebenen Anwendung hat Intune unter anderem den Vorteil, dass Unternehmen Ihre Apps, Windows 10 Geräte und Mobilgeräte ohne Mehraufwand für die Netzwerkinfrastruktur verwalten können. Die Nutzer können einfach und unkompliziert selbst Geräte registrieren oder entfernen. Auch Apps können in Eigenregie installiert werden, sofern sie vom Unternehmen genehmigt sind. Unternehmen, die bereits das Microsoft System Center verwenden, um mit dem Configuration Manager ihre Computer zu verwalten, können Intune als Erweiterung für mobile Endgeräte einsetzen. In Kombination mit Windows Autopilot lassen sich Windows 10 Geräte ohne jeglichen Mehraufwand vonseiten des Nutzers verwalten. Hinzu kommt, dass Intune verschiedene Einsatzszenarien unterstützt: In Form einer reinen Cloudlösung eignet es sich gut für Unternehmen, die bislang noch keine Geräteverwaltung nutzen. Es kann aber auch mit vorhandenen Lösungen kombiniert werden, um maximalen Nutzen daraus zu ziehen (Stichwort: Co-Management).

intune privates endgerät

(Anbindung eines privaten Endgerätes via Intune)

Und noch einen entscheidenden Vorteil hat Intune: Für die Nutzung ist im Grunde keinerlei Infrastruktur erforderlich. Erwerb, Planung und Verwaltung von Hardware entfallen, weil die Geräte von der Cloud aus mit Intune verwaltet werden.

Einheitliche Struktur durch Intune-Konfigurationsprofile – welche Möglichkeiten?

Die Sicherheitseinstellungen im Microsoft Intune werden, wie auch die anderen meisten Einstellungen und Konfigurationen im Intune, durch Profile abgebildet. Die Einstellungen werden in einem Endpoint Protection Konfigurationsprofil in Intune erstellt, um die gewünschten Sicherheitsfunktionen festzulegen – einschließlich der Verschlüsselung mit BitLocker. Mit Unterstützung für iOS, Windows und Android ermöglicht es Intune dem Nutzer, seine verschiedenen Umgebungen auf sichere und einheitliche Art und Weise zu verwalten. Auch eine Fernwartung ist möglich, hierbei besteht sogar die Möglichkeit eine direkte Verbindung zu TeamViewer herzustellen. Windows Updates und Funktionen werden über Intune gesteuert, um den Schutz der unternehmerischen Daten zu gewährleisten.

Intune Teamviewer

(Anbindung des TeamViewer Connectors im Intune Portal)

Wege einer erfolgreichen Migration nach Microsoft Intune


Für die Migration zu Intune ist eine gute Planung und IST-Analyse erforderlich. So hängt die Konfiguration unter anderem von der vorhandenen IT-Infrastruktur ab. Es ist daher wichtig, in einem ersten Schritt alle Aufgaben und Prozesse zu analysieren, für die Mobilgeräte und Geräte mit Windows 10 genutzt werden.

Einige technische Rahmenbedingungen müssen beachtet werden – so zum Beispiel die Firewall, die im Rahmen der Migration entsprechend angepasst werden sollte, damit die von Intune genutzten Ports nicht blockiert werden. Ebenfalls vonnöten ist eine Analyse der Netzwerkauslastung, da die Synchronisation umfangreicher Datenbestände einiges an Bandbreite verschlingen kann. Zu guter Letzt sollten sich die Nutzer die Frage stellen, ob der Zugriff auf Intune über eine eigene Domain geschehen soll. Wenn nicht, wird die Standarddomain von Microsoft eingesetzt, was jedoch nicht empfehlenswert ist.

Microsoft Intune Homeoffice

Für Unternehmen, die sich unsicher sind, wie sie die Migration zu Intune mit Erfolg absolvieren sollen, kann eine Microsoft Intune Schulung und Beratung eine große Hilfe und Unterstützung sein. Wir, das Team von siller.consulting, bieten Ihnen als Kunde mit Microsoft Intune und unserem Know-How gerne ein kostenloses Erstgespräch an und zeigen Ihnen erforderliche Handlungsschritte auf.

Auf Grundlage der Microsoft Enterprise Mobility und Security Suite sind wir in der Lage, die IT-Sicherheit in Ihrem Unternehmen deutlich zu erhöhen. Die Integration ist dabei ausgesprochen kostengünstig. Bei uns erhalten Sie mit Intune eine Sicherheitslösung, mit deren Hilfe Sie Ihre Endgeräte zentral steuern können. Monitoring, Fernwartung, Updates, Diebstahlschutz und Softwareverwaltung werden allesamt aus nur einer Hand bereitgestellt. Auch die Konfiguration und Sicherstellung der Unternehmensdaten ist gewährleistet.

Wenn auch Sie Ihren Mitarbeitern einen flexiblen und dezentralen Arbeitsplatz zur Verfügung stellen möchten, sind Sie bei uns richtig: Gerne helfen wir Ihnen im Rahmen einer Microsoft Intune Schulung oder Microsoft Intune Beratung bei der Integration von Intune.

Wir freuen uns auf Sie!

 

About the Author Aaron Siller

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung.

follow me on:
>