Sobald sich Angreifer Zugang zu einem Rechner verschafft haben, besteht eines ihrer ersten Ziele meist darin, die Sicherheitsmechanismen des Systems auszuhebeln. Dazu gehört besonders das Deaktivieren des Virenscanners. Der Manipulationsschutz soll dies verhindern, bietet aber nur ein Cloud-basiertes Management.
Microsoft Intune dient als Teil von Endpoint Manager der Bereitstellung, Konfiguration und Verwaltung von Remote-Clients. Bis dato fehlten dieser Management-Lösung jedoch Funktionen für die Remote-Hilfe. Dies änderte sich Ende 2021 mit dem Feature "Remote Help". Es bietet rollenbasierte Berechtigungen und bei Bedarf eine Erhöhung der Privilegien.
Admin- und Service-Konten sind ein bevorzugtes Ziel für Angreifer und sollten entsprechend abgesichert werden. Dazu gehört das Durchsetzen starker Kennwörter oder das automatische Ändern von Passwörtern für Service-Accounts. Zudem sollte man privilegierte Konten sparsam einsetzen.
Die Security Baseline umfasst Einstellungen für Gruppenrichtlinien oder MDM, die Microsoft als Best Practice empfiehlt. Compliance-Richtlinien konfigurieren dagegen Regeln und Einstellungen, die Benutzer und Geräte erfüllen müssen. Mit Microsoft Intune können Firmen Compliance- und Sicherheitsrichtlinien auf ihren Endgeräten durchsetzen.
Restriktive Sicherheitseinstellungen für Endgeräte sind eine wesentliche Maßnahme im Schutz gegen Angriffe. Die unkontrollierte Installation von USB-Geräten öffnet Einfallstore für Malware und erhöht das Risiko für Datendiebstahl. Mit Microsoft Intune können Admins Endbenutzer daran hindern, USB-Peripherie auf ihren PCs zu installieren.
Mit dem Cloud-Service Microsoft Intune können Unternehmen ihre Geräte verwalten, auch wenn sich diese nicht im Firmen-LAN befinden. Intune deckt dabei die meisten Aufgaben des PC-Lifecycle-Managements ab. Dazu gehört auch das Patch-Management, bei dem es Windows Update über Profile konfiguriert.
Microsoft Intune bietet vollwertige Funktionen für das Bereitstellen von Anwendungen. Damit können Unternehmen ihre Apps für Windows, macOS, Android und iOS verteilen. Ein typischer Kandidat sind Microsofts Office-Anwendungen, die bereits in Intune hinterlegt sind und deren Setup nur angepasst werden muss.
Das zunehmende Arbeiten von unterwegs oder zu Hause erfordert eine Verwaltung von PCs, die nicht von der Verbindung zum Firmennetz abhängt. Microsoft Intune ist ein Cloud-basierter Dienst, der ein Mobile Device Management (MDM) und Mobile Application Management (MAM) auch für Windows-PCs bietet.
Windows AutoPilot ist ein Cloud-Dienst von Microsoft, mit dem Firmen ihre Windows-PCs bereitstellen können. Endbenutzer können so ihre Rechner weitgehend selbständig in Betrieb nehmen. Neben dem OS kann man auch gleich Anwendungen wie MS Office installieren. Diese Anleitung zeigt, wie man den Service nutzt.
Microsofts Endpoint Manager kombiniert SCCM (jetzt: Endpoint Configuration Manager) mit dem Cloud-Service Intune. Er sieht ein Co-Management für Windows-10-PCs vor, für das man die lokale MECM-Infrastruktur und Intune koppelt. Wer von beiden Aufgaben übernimmt, kann der Admin festlegen.
Ein mobiles Gerät kann schnell verloren gehen, etwa weil es einem aus der Tasche gefallen ist oder man es irgendwo liegen gelassen hat. Im schlimmsten Fall ist natürlich auch ein Diebstahl denkbar. In solchen Situationen sollte man sicherstellen, dass die Daten auf dem Smartphone nicht in die falschen Hände fallen.