Tags: Intune, Windows 10, Software-Distribution, MDM
Das zunehmende Arbeiten von unterwegs oder zu Hause erfordert eine Verwaltung von PCs, die nicht von der Verbindung zum Firmennetz abhängt. Microsoft Intune ist ein Cloud-basierter Dienst, der ein Mobile Device Management (MDM) und Mobile Application Management (MAM) auch für Windows-PCs bietet.
Eine der Hauptfunktionen von Microsoft Intune ist die Verwaltung mobiler Geräte (MDM). Dazu gehören Telefone, Tablets, Laptops und Desktops. Dabei kann es sich um firmeneigene Geräte handeln, aber auch um "Bring your own device" (BYOD), die für den Zugriff auf die Anwendungen des Unternehmens zugelassen sind.
Bei persönlichen Geräten unterteilt Intune dieses in einen geschäftlichen und privaten Bereich, so dass die jeweiligen Daten und die Verwaltung voneinander isoliert sind. Auf diese Weise können Endbenutzer ihre Hardware selbst bereitstellen, und die zentrale Verwaltung der Unternehmensdaten bleibt trotzdem gewährleistet.
Intune verfügt über eine breite Palette von Funktionen, darunter:
- Richtlinien, die steuern, auf welche Daten und Netzwerke das Gerät zugreifen kann
- Authentifizierung von Anwendungen auf Geräten
- Kontrolle des Informationsaustauschs auf dem verwalteten Gerät
- Anpassen der Geräte an spezifische Sicherheitsanforderungen
Bei privaten Geräten können Administratoren mit Intune:
- registrierte Geräte sehen
- Geräte inventarisieren, die auf Unternehmensressourcen zugreifen
- Health Checks und Sicherheitsstandards für Geräte vorschreiben, die eine Verbindung herstellen dürfen
- Zertifikate verwalten
- mit Berichtsfunktionen zum Beispiel feststellen, welche Geräte nicht konform sind
- Unternehmensdaten bei Verlust bzw. Diebstahl des Geräts löschen (oder wenn der Mitarbeiter das Unternehmen verlässt)
MDM versus CSP
Im Zusammenhang mit Microsoft Intune werden oft die Begriffe MDM und CSP verwendet. CSP steht für "Configuration Service Provider". Intune ist nicht der CSP, sondern die MDM-Lösung. CSP ist für Intune vielmehr das, was die Client Side Extensions (CSEs) für die Gruppenrichtlinien sind.
Windows 10 enthält bereits die CSPs für alle Einstellungen, welche im MDM festgelegt werden können, und wendet diese dann auf dem Client an.
Geräte im Intune MDM registrieren
Microsoft Intune ist jetzt Teil von Microsoft Endpoint Manager. Das Verwaltungsportal befindet sich daher unter https://endpoint.microsoft.com.
Die Registrierung bei Microsoft Intune kann als Benutzer oder als Administrator erfolgen.
Benutzer können sich selbst anmelden über
- die App Microsoft Store Unternehmensportal
- Nur-MDM-Registrierung
- den Beitritt zu Azure Active Directory (Azure AD)
- Autopilot
Admins können Richtlinien konfigurieren, um die automatische Registrierung zu erzwingen durch
- eine hybride Azure AD-Verbindung
- Co-Verwaltung mit Configuration Manager
- Device Enrollment Manager
- Bulk Enroll
- Registrierung von Windows IoT Core-Geräten
Um die Best Practices und die passenden Anwendungsfälle für jede Registrierungsmethode zu verstehen, schauen Sie sich die Dokumentation von Microsoft an. In unserem Beispiel demonstrieren wir anhand der Unternehmensportal-App, wie man ein Windows 10-Gerät in Intune registriert. Sie kann kostenlos aus dem Microsoft Store geladen werden.
Nach der Installation werden Sie aufgefordert, sich einzuloggen. Wenn der Endbenutzer bereits mit dem Organisationskonto angemeldet ist, muss sich die App nicht anmelden.
Aktivieren Sie die Option Allow my organization to manage my device.
Das Gerät synchronisiert sich dann mit Ihrer Organisation und wendet die Richtlinien an.
Nach der Anmeldung und Synchronisierung ist die App verbunden. Sie sehen anschließend die Meldung, dass dieses Gerät noch nicht für die Nutzung im Unternehmen eingerichtet wurde.
Klicken Sie auf diese Meldung aus, um mit der Einrichtung zu beginnen.
Zu diesem Zeitpunkt haben Sie bereits das Unternehmenskonto zum Gerät hinzugefügt. Es muss jedoch noch verbunden werden, damit es funktioniert.
Klicken Sie dazu im nächsten Dialog auf die Schaltfläche Connect.
Sie werden aufgefordert, ein Arbeits- oder Schulkonto einzurichten. Als Organisationskonto wird automatisch jenes eingesetzt, mit dem Sie sich im Unternehmensportal angemeldet haben.
Das Gerät wird nach erfolgreicher Anmeldung eingerichtet und verbindet sich mit dem Arbeitskonto.
Nachdem der Rechner nun vollständig verbunden ist, kann er über das in Endpoint Manager enthaltene Intune-MDM verwaltet werden.
Windows über die Intune-Konsole verwalten
Nach der Registrierung wird Ihr Gerät im Microsoft Endpoint Manager unter Windows devices angezeigt.
Wenn Sie an Windows 10 zuerst mit dem Unternehmenskonto angemeldet sind und dann eine Verbindung über die Unternehmensportal-App herstellen, wird der PC als Corporate und nicht als Personal registriert.
Sobald ein Windows 10-Rechner an Bord ist, bestehen unter anderem folgende Optionen für die Fernverwaltung:
- Ausmustern
- Löschen
- Sperren
- Synchronisieren
- Passwort zurücksetzen
- Neu starten
- Diagnosedaten sammeln
- Zurücksetzen
- Reset via Autopilot
- Schnell oder voller Scan via Windows Defender
- Windows Defender aktualisieren
- Generieren neuer BitLocker-Keys
- Gerät umbenennen
Sie können auch Anwendungen an Windows 10-PCs zuweisen, sobald sie in Intune MDM integriert sind. In der folgenden Abbildung erhält der Rechner WIN10TEST-PC die Microsoft 365 Apps für Windows 10, aber die Installation steht hier noch aus.
Sicherheitsoptionen für Endgeräte
Microsoft Intune MDM bietet im Endpoint Security Dashboard eine Fülle von Sicherheitsoptionen für IT-Administratoren:
- Antivirus
- Festplattenverschlüsselung
- Firewall
- Erkennung und Beseitigung von Bedrohungen (Detection and Response)
- Reduzierung der Angriffsfläche
- Schutz von Konten
- Geräte-Compliance
- Conditional access
Außerdem können Sie einfach Security Baselines remote auf Windows-Geräte anwenden.
Intune bietet auch Einblick in Sicherheitsprobleme. So erkennt es unter Endpoint security => Firewall => Windows 10 MDM devices with firewall off, dass die Firewall eines verwalteten PCs ausgeschaltet ist.
Sicherheitsrichtlinie erstellen und anwenden
Sehen wir uns an, wie man die Sicherheitsrichtlinien von Intune verwendet. Mit ihnen können wir zum Beispiel gewährleisten, dass die Windows-Firewall für alle Profile aktiviert ist. Klicken Sie dazu auf Endpoint security => Firewall => Create policy.
Dies startet den Wizard für das Erstellen eines Profils. Geben Sie diesem einen Namen und hinterlegen Sie bei Bedarf eine Beschreibung.
Im nächsten Schritt können wir unter Configuration settings die gewünschten Firewall-Einstellungen festlegen. Zudem aktivieren wir die Windows-Firewall für alle Profile.
Bestimmen Sie anschließend, für welche Windows 10-PCs die Richtlinie gelten soll.
Abschließend überprüft man im letzten Bildschirm die Einstellungen und erstellt die Policy.
Nachdem der Windows 10-PC die Einstellungen und Richtlinien mit Intune synchronisiert hat, werden die Windows Firewall-Einstellungen korrigiert und für alle konfigurierten Profile aktiviert.
Zusammenfassung
Es gibt mehrere Möglichkeiten, Windows 10-PCs bei Intune anzumelden. Dies kann sowohl durch den Benutzer als auch über einen Administrator erfolgen. Wie gezeigt, stellt die Unternehmensportal-App eine einfache Möglichkeit dar, Windows 10-Clients einzubinden, einschließlich der BYOD-Option.
Die Verwaltung der Windows 10-Clients über die MDM-Schnittstelle wird durch die in Windows 10 integrierten CSPs ermöglicht. Sie wenden die Richtlinieneinstellungen aus Intune an. Dies funktioniert ähnlich, wie dies von den Gruppenrichtlinien im lokalen Active Directory bekannt ist.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Im Test: Windows 10 und Mobilgeräte mit AppTec EMM verwalten
- GPOs zu MDM konvertieren mit Intune Group Policy Analytics
- Intune Suite verbindet Endpoint-Management mit Remote-Help, Privilege-Management und Endpoint Analytics
- Patch-Status von PCs überwachen mit Windows Update for Business Reports
- baramundi Management Suite 2022 R1: Support für neues Android-API, Mehrstufige Genehmigungen von Tickets, SSH für Network Devices
Weitere Links