Windows 10 in Microsoft Intune registrieren und über MDM-Schnittstellen verwalten

    , 01.09.2021
    Tags: , , ,

    Microsoft IntuneDas zu­nehmende Ar­beiten von unter­wegs oder zu Hause er­fordert eine Ver­waltung von PCs, die nicht von der Ver­bindung zum Firmen­netz­ abhängt. Micro­soft Intune ist ein Cloud-basierter Dienst, der ein Mobile Device Management (MDM) und Mobile Application Management (MAM) auch für Windows-PCs bietet.

    Eine der Haupt­funktionen von Microsoft Intune ist die Verwaltung mobiler Geräte (MDM). Dazu gehören Telefone, Tablets, Laptops und Desktops. Dabei kann es sich um firmeneigene Geräte handeln, aber auch um "Bring your own device" (BYOD), die für den Zugriff auf die Anwendungen des Unternehmens zugelassen sind.

    Bei persönlichen Geräten unterteilt Intune dieses in einen geschäftlichen und privaten Bereich, so dass die jeweiligen Daten und die Verwaltung voneinander isoliert sind. Auf diese Weise können Endbenutzer ihre Hardware selbst bereitstellen, und die zentrale Verwaltung der Unternehmens­daten bleibt trotzdem gewährleistet.

    Intune verfügt über eine breite Palette von Funktionen, darunter:

    • Richtlinien, die steuern, auf welche Daten und Netzwerke das Gerät zugreifen kann
    • Authentifizierung von Anwendungen auf Geräten
    • Kontrolle des Informations­austauschs auf dem verwalteten Gerät
    • Anpassen der Geräte an spezifische Sicherheits­anforderungen

    Bei privaten Geräten können Administratoren mit Intune:

    • registrierte Geräte sehen
    • Geräte inventarisieren, die auf Unternehmens­ressourcen zugreifen
    • Health Checks und Sicherheits­standards für Geräte vorschreiben, die eine Verbindung herstellen dürfen
    • Zertifikate verwalten
    • mit Berichtsfunktionen zum Beispiel feststellen, welche Geräte nicht konform sind
    • Unternehmens­daten bei Verlust bzw.  Diebstahl des Geräts löschen (oder wenn der Mitarbeiter das Unter­nehmen verlässt)

    MDM versus CSP

    Im Zusammenhang mit Microsoft Intune werden oft die Begriffe MDM und CSP verwendet. CSP steht für "Configuration Service Provider". Intune ist nicht der CSP, sondern die MDM-Lösung. CSP ist für Intune vielmehr das, was die Client Side Extensions (CSEs) für die Gruppen­richt­linien sind.

    Windows 10 enthält bereits die CSPs für alle Einstellungen, welche im MDM festgelegt werden können, und wendet diese dann auf dem Client an.

    Geräte im Intune MDM registrieren

    Microsoft Intune ist jetzt Teil von Microsoft Endpoint Manager. Das Verwaltungs­portal befindet sich daher unter https://endpoint.microsoft.com.

    Intune wurde mit SCCM zu Microsoft Endpoint Manager zusammengeschlossen

    Die Registrierung bei Microsoft Intune kann als Benutzer oder als Administrator erfolgen.

    Benutzer können sich selbst anmelden über

    • die App Microsoft Store Unter­nehmens­portal
    • Nur-MDM-Registrierung
    • den Beitritt zu Azure Active Directory (Azure AD)
    • Autopilot

    Admins können Richtlinien konfigurieren, um die automatische Registrierung zu erzwingen durch

    • eine hybride Azure AD-Verbindung
    • Co-Verwaltung mit Configuration Manager
    • Device Enrollment Manager
    • Bulk Enroll
    • Registrierung von Windows IoT Core-Geräten

    Um die Best Practices und die passenden Anwendungs­fälle für jede Registrierungs­methode zu verstehen, schauen Sie sich die Dokumentation von Microsoft an. In unserem Beispiel demonstrieren wir anhand der Unter­nehmens­portal-App, wie man ein Windows 10-Gerät in Intune registriert. Sie kann kostenlos aus dem Microsoft Store geladen werden.

    Nach der Installation werden Sie aufgefordert, sich einzuloggen. Wenn der Endbenutzer bereits mit dem Organisations­konto angemeldet ist, muss sich die App nicht anmelden.

    Aktivieren Sie die Option Allow my organization to manage my device.

    Zustimmen, dass Ihr Unternehmen das Gerät verwalten darf.

    Das Gerät synchronisiert sich dann mit Ihrer Organisation und wendet die Richtlinien an.

    Registrieren des privaten Geräts bei Ihrer Organisation

    Nach der Anmeldung und Synchronisierung ist die App verbunden. Sie sehen anschließend die Meldung, dass dieses Gerät noch nicht für die Nutzung im Unternehmen eingerichtet wurde.

    Klicken Sie auf diese Meldung aus, um mit der Einrichtung zu beginnen.

    Das Gerät wurde noch nicht für die Nutzung im Unternehmen eingerichtet.

    Zu diesem Zeitpunkt haben Sie bereits das Unternehmens­konto zum Gerät hinzugefügt. Es muss jedoch noch verbunden werden, damit es funktioniert.

    Das Setup des Geräts besteht aus zwei Schritten

    Klicken Sie dazu im nächsten Dialog auf die Schaltfläche Connect.

    Gerät mit dem Unternehmen verbinden

    Sie werden aufgefordert, ein Arbeits- oder Schulkonto einzurichten. Als Organisations­konto wird automatisch jenes eingesetzt, mit dem Sie sich im Unter­nehmens­portal angemeldet haben.

    Arbeits- oder Schulkonto einrichten

    Das Gerät wird nach erfolgreicher Anmeldung eingerichtet und verbindet sich mit dem Arbeitskonto.

    Das Gerät ist nun erfolgreich mit Intune verbunden

    Nachdem der Rechner nun vollständig verbunden ist, kann er über das in Endpoint Manager enthaltene Intune-MDM verwaltet werden.

    Windows über die Intune-Konsole verwalten

    Nach der Registrierung wird Ihr Gerät im Microsoft Endpoint Manager unter Windows devices angezeigt.

    Verifizieren, dass der Windows-PC nun Intune-Management auftaucht

    Wenn Sie an Windows 10 zuerst mit dem Unter­nehmens­konto angemeldet sind und dann eine Verbindung über die Unter­nehmens­portal-App herstellen, wird der PC als Corporate und nicht als Personal registriert.

    Registrierung als Unternehmen versus persönlich in Intune

    Sobald ein Windows 10-Rechner an Bord ist, bestehen unter anderem folgende Optionen für die Fernverwaltung:

    • Ausmustern
    • Löschen
    • Sperren
    • Synchronisieren
    • Passwort zurücksetzen
    • Neu starten
    • Diagnosedaten sammeln
    • Zurücksetzen
    • Reset via Autopilot
    • Schnell oder voller Scan via Windows Defender
    • Windows Defender aktualisieren
    • Generieren neuer BitLocker-Keys
    • Gerät umbenennen

    Funktionen, die für die Verwaltung von Windows 10 mit Intune zur Verfügung stehen

    Sie können auch Anwendungen an Windows 10-PCs zuweisen, sobald sie in Intune MDM integriert sind. In der folgenden Abbildung erhält der Rechner WIN10TEST-PC die Microsoft 365 Apps für Windows 10, aber die Installation steht hier noch aus.

    Zugewiesene und zur Installation anstehende Microsoft 365-Apps für ein von Intune verwaltetes Gerät

    Sicherheitsoptionen für Endgeräte

    Microsoft Intune MDM bietet im Endpoint Security Dashboard eine Fülle von Sicherheits­optionen für IT-Administratoren:

    • Antivirus
    • Festplatten­verschlüsselung
    • Firewall
    • Erkennung und Beseitigung von Bedrohungen (Detection and Response)
    • Reduzierung der Angriffsfläche
    • Schutz von Konten
    • Geräte-Compliance
    • Conditional access

    Außerdem können Sie einfach Security Baselines remote auf Windows-Geräte anwenden.

    Sicherheitsoptionen für Windows-10-Endpoints in Intune

    Intune bietet auch Einblick in Sicherheits­probleme. So erkennt es unter Endpoint security => Firewall => Windows 10 MDM devices with firewall off, dass die Firewall eines verwalteten PCs ausgeschaltet ist.

    Verwaltete Windows-Geräte in Intune finden, bei denen die Firewall deaktiviert ist

    Sicherheitsrichtlinie erstellen und anwenden

    Sehen wir uns an, wie man die Sicherheits­richtlinien von Intune verwendet. Mit ihnen können wir zum Beispiel gewährleisten, dass die Windows-Firewall für alle Profile aktiviert ist. Klicken Sie dazu auf Endpoint security => Firewall => Create policy.

    Policy für die Windows Firewall erstellen

    Dies startet den Wizard für das Erstellen eines Profils. Geben Sie diesem einen Namen und hinterlegen Sie bei Bedarf eine Beschreibung.

    Erstellen einer Firewall-Richtlinie, dabei gibt man zuerst Name und Beschreibung ein

    Im nächsten Schritt können wir unter Configuration settings die gewünschten Firewall-Einstellungen festlegen. Zudem aktivieren wir die Windows-Firewall für alle Profile.

    Einstellungen für die Windows-Firewall konfigurieren, um sicherzustellen, dass sie aktiviert ist.

    Bestimmen Sie anschließend, für welche Windows 10-PCs die Richtlinie gelten soll.

    Geltungsbereich für die Richtlinie zur Steuerung der Firewall festlegen

    Abschließend überprüft man im letzten Bildschirm die Einstellungen und erstellt die Policy.

    Nachdem der Windows 10-PC die Einstellungen und Richtlinien mit Intune synchronisiert hat, werden die Windows Firewall-Einstellungen korrigiert und für alle konfigurierten Profile aktiviert.

    Zusammenfassung

    Es gibt mehrere Möglichkeiten, Windows 10-PCs bei Intune anzumelden. Dies kann sowohl durch den Benutzer als auch über einen Administrator erfolgen. Wie gezeigt, stellt die Unter­nehmens­portal-App eine einfache Möglichkeit dar, Windows 10-Clients einzubinden, einschließlich der BYOD-Option.

    Die Verwaltung der Windows 10-Clients über die MDM-Schnittstelle wird durch die in Windows 10 integrierten CSPs ermöglicht. Sie wenden die Richtlinien­einstellungen aus Intune an. Dies funktioniert ähnlich, wie dies von den Gruppen­richtlinien im lokalen Active Directory bekannt ist.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links