Stellen Sie sich vor, Sie müssten alle Windows-Clients Ihres Unternehmens zentral verwalten. Eventuell machen Sie genau das schon mithilfe des Configuration Managers (früher SCCM) oder eines anderen Verwaltungssystems. Neben Windows-Geräten verfügt Ihr Unternehmen teilweise noch über Apple Macs und natürlich Firmen-Handys, auf denen alle möglichen Daten liegen. Seit geraumer Zeit sind zudem noch die meisten Verwaltungsmitarbeiter im Home Office. Vermutlich benötigen diese einen VPN. Dieser erfordert eine entsprechende Internetbandbreite, die auch an Patchdays standhält…
Der Microsoft Endpoint Manager (MEM) möchte Sie an genau dieser Stelle unterstützen. Seit einiger Zeit führt Microsoft diesen Namen, um darunter sowohl den Configuration Manager als auch Intune einzugliedern. Es handelt sich nicht nur um zwei verschiedene Produkte mit ähnlichem Zweck, sondern diese werden immer enger miteinander verzahnt, sodass sie sich in ihrer Funktionalität ergänzen.
Der Configuration Manager wird traditionell eher mit Clients betrieben, die in der eigenen Active Directory-Domäne oder hauptsächlich im internen Netzwerk (vor Ort oder per VPN) beheimatet sind. Intune verwaltet Clients sobald diese eine Internetverbindung haben, worüber auch Mobilgeräte angebunden werden können (Mobile Device Management, kurz MDM). Dieser Artikel soll Ihnen den End-point Manager und dessen grundlegende Möglichkeiten mit dem Schwerpunkt Intune vorstellen.
Verwaltung aller Endgeräte und wichtiger Anwendungen
Mit dem MEM können Sie neben Clients mit Windows oder MacOS auch iPhones und Android-Geräte verwalten. Je nach Betriebssystem unterscheiden sich die Konfigurationsmöglichkeiten, und Microsoft entwickelt diese kontinuierlich weiter.
Dank des Endpoint Managers ist es einfach möglich, auf allen Plattformen Apps für Ihre Mitarbeiter zur Verfügung zu stellen. Darüber hinaus ist es möglich, Apps den Anforderungen Ihres Unternehmens entsprechend zu konfigurieren (Mobile App Mangement, kurz MAM). Dies beinhaltet z.B. auch die Azure Information Protection. So ist mobiles Arbeiten mit Sicherheit bestmöglich steuerbar.
Neben der Verwaltung von Apps ist die Gerätekonfiguration einer der wichtigsten Aspekte, den Sie mittels des MEMs zentral steuern können. Dank eines Standards der Open Mobile Alliance (OMA) können Sie verschiedene Betriebssysteme verwalten und dabei die gleiche Oberfläche verwenden. Sie benötigen das Zertifikat einer internen Zertifizierungsautorität auf allen Geräten? Kein Problem, mit einem Konfigurationsprofil je Betriebssystem. Sie möchten auf allen mobilen Geräten den Google Play Store oder Apple App Store anpassen? Auch das ist möglich.
In der Gerätekonfiguration ist natürlich die Sicherheitskonfiguration inbegriffen. So lässt sich bspw. festlegen, dass die Daten auf dem Gerät verschlüsselt werden müssen oder das Gerät mit dem Microsoft Defender for Endpoint verbunden wird. Darüber hinaus ist es bspw. erzwingbar, die Entsperr-Optionen einzuschränken und eine VPN-Verbindung aufzubauen. Mittels des MEMs haben Sie außerdem die Möglichkeit, Geräte aus der Ferne zu löschen, zurückzusetzen oder zu sperren – für den Fall, dass diese gestohlen werden oder verloren gehen.
Anschauliche Beispiele
Hier nun drei Beispiele, wie Sie den MEM gewinnbringend einsetzen können. Stellen Sie sich als Benutzer einen Außendienstler vor, der selten im Unternehmen ist und nicht immer einen VPN verwenden kann bwz. muss.
Windows Update verwalten
Mittels des MEMs können Sie festlegen, in welchem Update-Ring der Client sich befindet und welche Updates installiert werden sollen (bspw. keine Treiber). Dazu ist es möglich einen Zeitrahmen festzulegen, in dem Updates installiert werden sein müssen bis das Gerät dies forciert. Der Vorteil: Das Gerät lädt diese Updates einfach von Microsoft. Und damit nicht genau dann über den VPN, wenn es gerade mal verbunden ist und der Außendienstler eigentlich arbeiten und nicht warten will.
Endpunktsicherheit verwenden
Neben vielem anderem können Sie den Schutz „Block At First Sight“ aktivieren. Dieser verlässt sich im Zweifelsfall auf eine Online-Prüfung bei Microsoft. Der Benutzer erhält eine Benachrichtigung, dass ein Administrator die Überprüfung einer zu verwendenden Datei angeordnet hat und diese erst in ein paar Sekunden verfügbar ist. So können Sie fragwürdige Dateien schneller behandeln und potenzielle Gefahren abwehren! Die Endpunktsicherheit bietet sich darüber hinaus an, um den Compliance-Status für Endgeräte zu bestimmen. Falls ein Client nicht "compliant" ist, wird der Zugriff eingeschränkt.
Skripte
Schnell einen Registry-Key an Geräte verteilen? Mittels GPO oder Configuration Manager kein Problem. Nicht aber bei mobilen Geräten, die sich ggf. nur unregelmäßig mit den internen Servern verbinden. Hier kann es deutlich einfacher sein, ein Skript mittels Intune zu verteilen. Sobald ein Client sich dort wieder meldet (oder Sie den Sync auf dem Endgerät anstoßen), wird das Skript ausgeführt.
Aufnahme von Geräten nach Intune
Ein Endgerät kann aus einem laufenden Windows heraus in Intune registriert werden. Es ist möglich, zwischen MDM-Verwaltung und Azure AD Join zu unterscheiden. Alternativ bietet sich bei einer Neu-/Erstinstallation der Weg an, Intune die Konfiguration mittels Windows Autopilot komplett übernehmen zu lassen. Das Endgerät verbindet sich lediglich mit dem Internet und erhält von Intune ein sog. Autopilot-Profil mit vorgegebenen Einstellungen für die Windows-Einrichtung, App-Installationen und allen anderen Richtlinien. Sobald das Gerät startklar ist, kann der Benutzer mit der Arbeit beginnen. Ein IT-Admin/-Operator muss im besten Fall keine Hand mehr an das Gerät anlegen – wortwörtlich, denn das Gerät kann direkt vom Händler zum Benutzer versandt werden.
Schnittpunkte mit dem Configuration Manager
Der Endpoint Manager bietet mit Intune ein Tool, das die bereits in Windows integrierten Schnittstellen verwendet, um Ihre Geräte zu verwalten, kein Agent o.ä. ist nötig. Die Verwaltung findet über die Cloud statt, mit oder ohne VPN. All dies ist mit dem Configuration Manager genau so nicht umsetzbar. Dessen Vorteile liegen eher in On-Premises Geräten. Dennoch ist zwischen der Cloud und Ihrem Configuration Manager eine enge Verzahnung möglich.
Mittels eines Cloud Management Gateways (CMG) ist die Cloud bspw. als sicheres Internet-Standbein des Configuration Managers verwendbar. Sollten Sie Intune einsetzen wollen, ist es möglich, verschiedene Workloads (z.B. App- und Update-Verwaltung) schrittweise und unabhängig voneinander in die Cloud zu migrieren. Der Endpoint Manager bietet dafür sog. Co-Management an, bei dem sich der On-Premises Configuration Manager als auch Intune die Aufgaben teilen.
Wir helfen Ihnen gerne bei der Evaluation, Konzeption und ggf. Implementierung von Microsoft End-point Manager in Ihrem Unternehmen. Kommen Sie gerne auf uns zu. Wagen Sie den Blick.