Windows Intune: AD-Synchronisierung, Mobile Device Management

    Intune: Core-Funktionen, Mobile Device Management, User-zentriertMicrosoft bereitet das nächste Update seines Cloud-basierten System-Managements Windows Intune vor. Zu den wesentlichen Neuerungen gehören die Synchronisierung eines lokalen Active Directory mit dem Azure-Verzeichnis, das Management mobiler Geräte (MDM), überarbeitete Konsolen für die Administration von PCs und Benutzern sowie für das Intune-Konto. Hinzu kommen Features zu besseren Nutzung von Bandbreiten sowie eine flexiblere Verwaltung von Benutzer- und Computer-Gruppen.

    Nach dem Start von Intune als relativ magere SaaS-Lösung für das IT-Management legte Microsoft im Oktober 2011 die Version 2.0 nach, die so wesentliche Funktionen wie Software-Verteilung oder ein Patch-Management einführte. Das bevorstehende nächste Update führt einen Schritt weiter zum erklärten Ziel, aus Intune eine mit System Center funktionsäquivalente Cloud-basierte Lösung für das IT-Management zu machen.

    Fortschritte bei der Verwaltung von PCs und Benutzern

    Zu den wichtigsten Fortschritten der kommenden Intune-Version zählt ein flexibleres Management von Benutzern und Geräten. Der Online-Service erreicht dies einerseits dadurch, dass sich Objekte aus einem firmeninternen Active Directory mit jenem auf Azure synchronisieren lassen. Intune verwendet dabei den gleichen Mechanismus wie Office 365. Dadurch entfällt die Notwendigkeit, Konten für Benutzer oder Computer doppelt pflegen zu müssen.

    Eine weitere Verbesserung besteht darin, dass sich nun Geräte und Benutzer in Gruppen aufnehmen lassen. Bisher war das auf Computer beschränkt. Microsoft bewirbt dies als stärkere Ausrichtung auf ein User-zentriertes Management, das auch beim SCCM 2012 eine wichtige Rolle spielt.

    Automatische Mitgliedschaft in Gruppen

    Eine interessante Neuerung stellen die dynamischen Mitgliedschaften in Gruppen dar, die ähnlich funktionieren wie etwa Suchordner in Outlook. Computer oder Benutzer werden dabei anhand von vorher festgelegten Kriterien automatisch in Gruppen aufgenommen. Als Attribute dafür eigenen sich etwa die Zugehörigkeit zu AD-Sicherheitsgruppen, der Typ eines Gerätes, seine Zuordnung zu bestimmten OUs oder der Manager eines Benutzers.

    Zu den auffälligen Änderungen aus der Sicht des Administrators zählt zudem eine neue Verwaltungskonsole, über die sich die User und PCs im Unternehmen verwalten lassen. Für die Administration des Intune-Kontos tritt anstelle des bisherigen Microsoft Online Customer Portal das neue Intune Account Portal.

    Installation von Anwendungen im Self-Service

    Eine weitere Ergänzung in puncto Frontend stellt das neue Web-Portal für Endbenutzer dar, das als Service-Katalog fungiert und aus dem die Anwender selbständig Applikationen zur Installation auswählen können, die der Administrator für sie freigegeben hat. Damit erhält Intune ein Gegenstück zum Self-Service-Portal des SCCM 2012.

    Neben der Runderneuerung der Management-Funktionen ist die Unterstützung für mobile Geräte die zweite große Verbesserung von Windows Intune. Berücksichtigt werden Smartphones und Tablets unter iOS, Android und Windows Phone. Die Integration erfolgt über Exchange ActiveSync, wobei Geräte automatisch entdeckt werden, sobald sie sich mit dem Mail-Server verbinden.

    Vordefinierte Policies für mobile Geräte

    Für die mobilen Geräte lassen sich zentral Richtlinien festlegen, die je nach Einstellung abhängig vom Typ der Hardware oder von der Gruppenzugehörigkeit des Users angewandt werden. So zielt die Vorgabe von Passwort-Policies typischerweise auf Benutzer, während die Verschlüsselung von Daten für Geräte erzwungen wird. Insgesamt unterstützt Windows Intune folgende Einstellungen für mobile Geräte:

    • Regeln zur Bestimmung der Stärke von Passwörtern
    • Festlegung, ob zur Entsperrung eines Gerätes bzw. nach einer bestimmten Zeit der Inaktivität ein Passwort eingegeben werden muss
    • Richtlinien, mit der die Verschlüsselung erzwungen werden kann
    • Zulassen oder Verbieten des Herunterladens von Mail-Anhängen, der Verwendung von Kamera oder Web-Browser

    Zur Vereinfachung des Managements von mobilen Geräten stellt Windows Intune vorgefertigte Policies zur Verfügung.

    Intune kommt mit einer Reihe von vordefinierten Richtlinien, die von Microsoft empfohlene Einstellungen enthalten. Solche Vorgaben existieren auch für das Management von mobilen Geräten, wobei es dem Administrator freisteht, einzelne Einstellungen zu ändern oder eigene Policies von Grund auf neu anzulegen. Die Funktionen zum Management mobiler Geräte umfassen schließlich noch die Möglichkeit, Smartphones und Tablets bei Verlust oder Diebstahl remote zu löschen.

    Weniger Bandbreitenverbrauch durch Caching

    Eine Herausforderung an ein Management-Tool aus der Cloud besteht darin, Funktionen wie die Verteilung von Software oder von Patches auch über eine wenig leistungsfähige Internet-Anbindung zu erbringen. Intune unterstützt zu diesem Zweck schon länger BITS, um Dateien im Hintergrund herunterzuladen und dabei nur ungenutzte Netzkapazitäten zu beanspruchen.

    Aber auch solche bandbreitenschonende Verfahren stoßen an ihre Grenzen, wenn jeder Client jede Datei separat herunterlädt. Aus diesem Grund erlaubt Intune künftig die Verteilung von Software innerhalb einer Firma oder Niederlassung über die Peer Distribution Platform von Windows 7, auf der auch BranchCache beruht. Wie dieses nutzt Intune einzelne Rechner als Cache, aus dem sich die anderen PCs am gleichen Standort bedienen können.

    Max. 4 Mobilgeräte pro verwalteten PC

    Wie bisher bleibt Intune ein Service, der auf Abonnement-Basis bezogen werden kann. Im Preis inbegriffen sind ähnliche Rechte wie bei einer Software Assurance für den Client, nämlich die Möglichkeit, stets die neueste Version der Windows Enterprise Edition einzusetzen sowie das MDOP zu erwerben. Bezahlt wird für jeden verwalteten Rechner, der Preis bleibt wie bisher bei 11 Euro pro Monat. Für jeden PC, der mit Intune administriert wird, dürfen maximale 4 mobile Geräte mitverwaltet werden.

    Keine Kommentare