Wege in die moderne Geräteverwaltung mit Microsoft Intune

4. August 2022 von Christian Schmidt, Senior Consultant

Die Verwaltung von Endgeräten ist für viele Firmen ein zentraler Bestandteil der Tätigkeiten in der IT. Dafür existieren verschiedene Lösungen von Gruppenrichtlinienobjekte (Group Policy Object, GPO) über SCCM hin zu Tools von Drittanbietern. In der klassischen Arbeitswelt, in dem der Benutzer primär in einem Standort der Firma arbeitet, hat sich stark gewandelt und stellt die etablierten Lösungen vor neue Herausforderungen, da die Verwaltung oft eine Verbindung zu lokalen Servern und Netzwerken voraussetzt.

Microsoft Intune

Mit Intune hat Microsoft eine cloudbasierte Geräteverwaltung entwickelt, die zu den Herausforderungen des mobilen Arbeitens passt. Microsoft Intune stellt standortunabhängig Profile, Konfigurationen und Applikationen bereit, um eine komfortable, flexible und sichere Verwaltung zu gewährleisten. Dies erfordert grundsätzlich keine lokale Infrastruktur. Intune unterstützt dabei sowohl die klassische Geräteverwaltung (MDM), als auch die Verwaltung einzelner Applikationen (MAM). Weiterhin werden alle gängigen Betriebssysteme (Windows, iOS, Android, macOS) abgedeckt.

Abbildung 1: Device lifecycle in Mircosoft Intune

Lizenzen

Für die Nutzung von Microsoft Intune werden Benutzerkonten im Azure AD benötigt, die entweder direkt im Azure AD erstellt oder über Azure AD aus einem Windows Server AD (über Azure AD Connect) synchronisiert wurden. Intune ist ein Dienst rund um Microsoft 365 und wird pro Benutzer lizensiert. Die Microsoft Intune Lizenz wird optimal durch Azure AD Premium P1 ergänzt, sodass die automatischen Registrierungsfunktionen, sowie die fortgeschrittene Gruppenverwaltung, zur Verfügung stehen. Intune ist ebenfalls Bestandteil von Microsoft 365 Lizenzpaketen und ist möglicherweise bereits in Ihrem Unternehmen lizensiert. Intune ist in folgenden Lizenzpaketen enthalten:

Intune
Microsoft 365 E3/E5
Enterprise Mobility +Security E3/E5
Microsoft 365 F1/F3
Microsoft 365 Business Premium

Wege, Geräte in Intune zu registrieren

1. Bring your own device (BYOD)

Bring your own device steht stellvertretend für die Registrierung von Geräten, die bisher nicht von der Organisation verwaltet werden. Die Registrierung findet manuell durch den Benutzer am Gerät statt. Anschließend werden alle zugewiesenen Richtlinien und Applikationen angewandt. Die Geräte führen dabei einen „Azure AD Join“ durch. Für diese Art der Verwaltung ist keine lokale Infrastruktur erforderlich. Die bestehenden Konten und deren Berechtigungen bleiben bestehen, sodass der Benutzer in der Regel lokaler Administrator ist. Der Benutzer, sowie der Intune-Administrator kann die Verbindung zu Intune und damit die Anwendung von Richtlinien jederzeit entfernen. Dieser Weg funktioniert auch für Geräte, die mit der Domäne verbunden sind, ist allerdings nicht empfohlen.

2. Azure AD Hybrid Join für existierende AD joinend devices

Eine Registrierung für Geräte, die Mitglied der Domäne der Organisation sind, bietet sich der Weg über Azure AD Connect inklusive Hybrid Azure AD Join an. Dabei werden die Computer Objekte in das Azure AD synchronisiert. Die Benutzer müssen ebenfalls synchronisiert werden. Die Registrierung in Intune wird durch eine Gruppenrichtlinie auf die Hybrid Azure AD Joined Geräte ausgelöst. In diesem Fall gelten die Geräte als unternehmenseigen und die Entfernung der Verwaltung durch den Benutzer kann unterbunden werden. Außerdem werden sowohl Gruppenrichtlinien als auch Richtlinien aus Intune angewandt. Konflikte gilt es dabei zu vermeiden. Dieser Weg ist empfohlen für die Migration von bestehenden Domänen-Geräten in Intune. Der Prozess ist automatisiert und der Benutzer bekommt in der Regel nichts von dem Prozess mit. Eine Anmeldung funktioniert mit dem UPN und mit dem SAM-Account Name, wie es die Nutzer gewohnt sind.

3. Windows AutoPilot (Azure AD join)

Geräte, die sich im Auslieferungszustand befinden (neu, neu installiert, zurückgesetzt) können über Windows AutoPilot direkt im Azure AD und in Intune registriert werden. AutoPilot ist ein Bereitstellungsprozess, der in Windows 10/11 integriert ist und in Intune über Bereitstellungsprofile konfiguriert wird. Dabei werden Geräte vor der Provisionierung in Azure vorregistriert. In dem AutoPilot-Prozess wird das Gerät in Intune durch die Benutzeranmeldung registriert und alle zugewiesenen Richtlinien und erforderlichen Applikationen werden angewandt, bevor der Benutzer das Gerät verwenden kann. Dadurch wird ein konformer Einsatz des Geräts von Beginn an sichergestellt. Dieser Prozess kann von dem Benutzer eigenständig und unabhängig vom Standort durchgeführt werden. Es ist nur eine Internetverbindung erforderlich. Dadurch kann ein neues Gerät zum Beispiel direkt zum Anwender geschickt werden und die IT entsprechend so entlasten. In dem AutoPilot Profil kann eingestellt werden, ob der Benutzer lokaler Administrator ist oder Standardbenutzer sein soll. Dieser Weg eignet sich besonders für Geräte, die vollständig in Intune verwaltet werden und keine Domänenmitgliedschaft erfordern.

Abbildung 2: AutoPilot Lifecycle

Abbildung 3: Geräteeinrichtung im Windows 10 AutoPilot Prozess

4. Windows AutoPilot (Hybrid Azure AD Join)

Falls eine Domänenmitgliedschaft der Geräte zwingend erforderlich ist (Gerätegruppen-basierte Authentifizierung, Co-Management, erforderliche GPO, etc.) unterstützt AutoPilot einen Hybrid Azure AD Join. Dafür wird ein Connector lokal installiert, über welchen Intune das Gerät, zusätzlich zum Azure AD Join, in eine Organisation Unit (OU) schreibt. Azure AD Connect synchronisiert das Gerät dann und schließt den Hybrid Azure AD Join ab. Für die Einrichtung ist zusätzlich die Erreichbarkeit des Domänencontrollers nötig. Eine Registrierung ist damit nicht mehr ohne weiteres vom Standort unabhängig möglich. Ansonsten gelten die allgemeinen Vor- und Nachteile des Azure AD Hybrid Join, wie oben beschrieben.

5. Co-Management (SCCM & Intune)

Für Organisationen, die bereits System Center Configuration Manager einsetzen und nicht direkt zu Intune migrieren möchten, hat Microsoft Co-Management implementiert. Dabei werden die Geräte sowohl in SCCM, als auch in Intune verwaltet. Dafür müssen die Geräte Azure AD Hybrid Joined sein. Entweder über Azure AD Connect für Domänengeräte oder mittels AutoPilot Hybrid Join und Installation des SCCM Client über Intune. Im Co-Management kann pro Workload entschieden werden, ob dieser von SCCM oder von Intune verwaltet werden soll.

Compliance policies
Windows Updates
Endpoint Protection
Device Configuration
Office Click-to-Run apps
Client Apps

Abbildung 4: Design Co-Management mit SCCM und Intune

Fazit

Es gibt verschiedene Möglichkeiten bestehende und neue Geräte in die Verwaltung mit Microsoft Intune zu bringen, um die cloud-native zukunftssichere Geräteverwaltungsfunktionen zu nutzen. Sie benötigen Hilfe bei Entwicklung einer passenden Strategie oder bei der Einrichtung von Microsoft Intune?

Wir unterstützen Sie und finden gemeinsam die passende Lösung. Sprechen Sie uns gerne an!

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.