Microsoft führt SCCM und Intune zu Endpoint Manager zusammen

Seit der Version 1710 von SCCM unterstützt Microsoft das so genannte Co-Management von Windows-10-PCs. Dies erlaubt Anwendern einer­seits, das Management ihrer Endgeräte um Funk­tionen aus der Cloud zu ergänzen, die in SCCM nicht zur Verfügung stehen. Dazu zählen etwa der bedingte Zugriff (Conditional Access) von Azure AD oder Remote-Aktionen wie das Löschen, Zurück­setzen oder Neustarten von Geräten.

Zum anderen können Anwender bei Funktionen, die in beiden Lösungen existieren, gezielt auswählen, von wo sie sie beziehen möchten. Dazu weisen sie dem jeweiligen System die Autorität für bestimmte Aufgaben ("Workloads") zu. Dabei ist es auch möglich, die gleiche Funktion für ver­schiedene Gruppen von PCs von der einen oder der anderen Seite in Anspruch zu nehmen.

Intune als SCCM-Ergänzung für mobile User

Eine solche Trennung wird häufig zwischen Desktop-PCs im Firmennetz und mobilen Geräten verlaufen, die Mitarbeiter unterwegs nutzen. Letztere verfügen zwar meist über einen Internet-Zugang, bräuchten aber stets eine VPN-Verbindung, um über einen internen SCCM verwaltet zu werden. Hier bietet sich Intune an, um Patches durch die Konfiguration von Windows Update for Business (WUfB) zu verteilen oder um Richtlinien zu aktualisieren.

Die gerade erschienene Preview von Configuration Manager 1911 erhöht umgekehrt mit Connected Cache die Reichweite von Intune in das Firmennetz. Aktiviert man dieses Feature auf den Verteilungs­punkten (Distribution Points) von SCCM, dann dienen diese für Intune Win32 als Zwischen­speicher. Win32-Programme müssen dann für die internen Clients nicht mehr über das Internet verteilt werden.

Eine weitere Integration der beiden Produkte soll über die Microsoft-365-Konsole erfolgen, die dann auch Daten und Aufgaben aus Configuration Manager enthalten wird.

Permanente Hybrid-Lösung

Die zunehmende Über­schneidung zwischen SCCM und Intune sowie eine gemeinsame Konsole könnte man als Fahrplan in Richtung Cloud interpretieren, an dessen Ziel das Ende eines On-Prem-SCCM steht. Microsoft beteuert jedoch, dass das Konzept des Co-Managements von dauerhafter Natur sei und nicht als Übergangs­lösung zur Migration der SCCM-Kunden in die Cloud diene.

DMAC und Desktop Analytics

Unter dem Dach des neuen Microsoft Endpoint Manager finden sich neben SCCM und Intune noch Device Management Admin Center (DMAC) und Desktop Analytics. Bei Letzterem handelt es sich ebenfalls um einen Cloud-Service, der mit SCCM interagiert, um die Update-Fähigkeit und App-Kompati­bilität von Clients zu ermitteln.

Das Device Management Admin Center hingegen dient dazu, bestimmte Aufgaben bei der Verwaltung mobiler Geräte von einer Web-Konsole aus zu erledigen. Dazu gehören etwa das Registrieren von Smartphones und Tablets, das Management von Apps und Benutzern oder das Installieren eines Konnektors für Exchange.

Lizenzierung

Neben der engeren technischen Integration kündigte Microsoft auch eine lizenzrechtliche Verein­heitlichung an. Demnach können SCCM-Anwender künftig Intune ohne zusätzliche Kosten ver­wenden, wenn sie damit Windows-10-PCs verwalten.

Nicht inbegriffen ist jedoch das Mobile Device Management für Android und iOS. Dafür müssen Unter­nehmen entweder eine Lizenz für Intune, Enterprise Mobility & Security (EMS) oder Microsoft 365 E3 und höher erwerben.