BLOG
Wissenstransfer von IT-Spezialisten
| |

Intune – VPN-Free Device Management

In den bereits erschienenen Teilen dieser Blogserie ging es vor allem um Wege, wie das vorhandene Gerätemanagement mit neuen Werkzeugen erweitert werden kann. Wenn wir aber den Blick etwas weiter in Richtung Zukunft streifen lassen, können wir einen Paradigmenwechsel auf uns zu kommen sehen.

Genau wie in allen anderen Bereichen moderner IT-Landschaften, ist auch das Thema Gerätemanagement im Wandel. Obwohl Microsoft so viel Entwicklung im Bereich Configuration Manager wie noch nie betreibt, würde ich ein komplett neues Gerätemanagement heute nur noch aufgrund weniger spezifischer Voraussetzungen im eigenen Rechenzentrum betreiben. Meine erste Wahl wäre fast immer Intune. In diesem Blogpost möchte ich auf ein paar Gründe dafür eingehen.

Zuerst einmal: Was ist Intune?

In der Microsoft Dokumentation lesen wir:
„Microsoft Intune is an MDM and MAM provider for your devices“ – doch was verbirgt sich dahinter?

Zuerst einmal handelt es sich um einen reinen Cloud-Dienst von Microsoft, der Teil des Microsoft Endpoint Manager ist. Mit Intune lassen sich die unterschiedlichsten Geräte verwalten. Angefangen von Windows 8.1 über Windows 10 zu iOS-, Android- und macOS-Geräten bis hin zu Windows 10 IoT und HoloLens.

MDM steht für Mobile Device Management, sozusagen die Geräteverwaltung an sich.
MAM steht für Mobile Application Management – die Verwaltung einzelner Applikationen.

Hier sehen wir auch schon einen Unterschied zwischen vielen anderen MDM-Lösungen und Intune -> das Mobile Application Management, aber dazu etwas später mehr.

Da es in dieser Blogreihe hauptsächlich um Windows-Geräte geht, möchte ich zunächst auf die Verwaltung ebensolcher mit Intune eingehen.

Ein fundamentaler Unterschied zum klassischen Windows Management ist der Weg der Konfigurationsinformationen. Während bei klassischem Gerätemanagement typischerweise Einstellungen per Windows Management Instrumentation (WMI) durch ein Helferprogramm (Agent oder Client) auf dem Gerät gesetzt werden, wird mit Intune der MDM-Kanal verwendet. Dieser Weg der Konfiguration wurde mit Windows 8.1 eingeführt und seitdem ständig erweitert. Der MDM-Kanal ist im Betriebssystem eingebaut und benötigt keinerlei weitere Software. Zudem ist er auf „Over the Air“-Kommunikation ausgelegt – also deutlich robuster, wenn es um Unterbrechungen in der Verbindung geht. Außerdem wird keine VPN-Verbindung in Ihr Unternehmensnetzwerk benötigt, da die Clients direkt mit dem Cloudservice kommunizieren.

Durch verschiedene Konfigurationsprofile lassen sich die unterschiedlichsten Eigenschaften der Windows-Geräte verwalten. Dazu gehören Einstellungen wie Startmenü und PowerSettings, aber auch Bitlocker-Verschlüsselung, Kiosk-Modus oder Windows Defender Einstellungen.

Beispiel für das Erstellen von Konfigurationsprofilen für Windows-Endgeräte mit Intunes

Falls die gebotenen Einstellungen einmal nicht reichen, lassen sich viele Dinge auch per administrativen Templates (Gruppenrichtlinienvorlagen) konfigurieren. Für den seltenen Fall, dass eine Herausforderung auch damit nicht gelöst werden kann, steht PowerShell zur Verfügung.

Wichtig an dieser Stelle ist, dass Intune nicht nur das klassische Gerätemanagement vereinfachen bzw. ersetzen kann, sondern auch die Gruppenrichtlinien, die typischerweise in Windows Domänen verwendet werden, um zum Beispiel Zertifikate oder WLAN-Konfigurationen zu verteilen.

Natürlich darf auch die Softwareverteilung bei einer Device Management-Lösung nicht fehlen. Nach anfänglichen Lücken ist Intune mittlerweile zu einer sinnvollen Alternative in diesem Bereich geworden.

Neben deutlich vereinfachter Verteilung von Microsoft Office Applikationen und dem neuen Edge-Browser (Tipp: unbedingt ausprobieren!) lassen sich auch Microsoft Store Applikationen verteilen.

Verteilung von Apps mit Intunes

Da sehr viele Applikationen aber nach wie vor klassische Installationswege benötigen, gibt es auch die Möglichkeit diese auf den Geräten auszubringen. Falls Sie also eine eigens programmierte Anwendung nutzen, kann diese auch per Intune verteilt werden.

Als weiteren wichtigen Punkt möchte ich noch das Thema Sicherheit aufgreifen. Zu einem funktionierenden Gerätemanagement gehört auch die Konfiguration der Gerätesicherheit. Dieser Punkt findet in Intune besondere Beachtung, denn nirgends sonst ist die Konfiguration sämtlicher Windows Sicherheitsfeatures so komfortabel gestaltet wie hier.

Konfiguration der Windows-Sicherheitsfeatures in Intune

Sämtliche Möglichkeiten von Intune im Detail darzulegen würde den Rahmen dieses Blogposts sprengen, denn über jeden Teilaspekt ließen sich viele Seiten schreiben. Falls Sie Interesse an einem Intune Workshop haben, schreiben Sie gerne an sales@sepago.de .

Und was ist mit dem Betriebssystem-Deployment? Darum wird es in Teil sechs dieser Reihe gehen. Hier gibt es eine Neuerung, die Ihre IT-Abteilung deutlich entlasten kann.

Doch was hat es nun mit MAM – dem Mobile Application Management – auf sich?

Da Microsoft sowohl der Hersteller einiger wichtiger mobilen Applikationen wie Outlook Mobile, Word, Excel etc. als auch der Hersteller der Verwaltungssoftware ist, ergeben sich einige sehr interessante Verwaltungsmöglichkeiten.

Durch MAM ist es auf iOS- und Android-Geräten beispielsweise möglich, Unternehmensdaten und private Daten in der selben Applikation sicher zu trennen – und das, ohne die Hoheit über die Endgeräte haben zu müssen.

Mit MAM in Apps Unternehmensdaten von privaten Daten trennen

Quelle

Im nächsten Teil dieser Reihe werde ich detaillierter auf die sichere Bereitstellung von Unternehmensdaten auf mobilen Geräten eingehen und unterschiedliche Szenarien beleuchten.

Um vorab einen Überblick über sämtliche Möglichkeiten zu erhalten, melden Sie sich gerne bei sales@sepago.de

 

QuickTip:

Haben Sie schon die neue „Meeting Experience“ in Teams kennengelernt? Endlich öffnen sich Chats und Meetings in eigenen Fenstern und versperren nicht mehr die Sicht auf andere Inhalte in Teams. Außerdem gibt es die Galerieansicht, in der bis zu 49 TeilnehmerInnen auf dem Bildschirm angezeigt werden können, und den sogenannten „Together-Mode“, in dem Team alle TeilnehmerInnen im „gleichen Raum“ darstellt. Das sieht dann zum Beispiel so aus:

Galerieansicht in Microsoft Teams Meetings

Quelle 

Um die neue Meeting Experience zu nutzen, müssen Sie das Feature nur in den Einstellungen aktivieren:Meeting experience in Microsoft Teams aktivierenMeeting experience in Microsoft Teams Einstellungen