Microsoft Intune bietet Unternehmen und gerade der IT-Abteilung verschiedene Einsatzmöglichkeiten an, um die im Umlauf bestehenden Endgeräte zentral zu administrieren und auch zukünftige Geräte in ein verwaltetes Deployment zu bringen. Intune selbst bietet dabei die Integration folgender Plattformen an:

• Windows 10

• iOS-, iPadOS- und MacOS-Geräte

• Android Enterprise

Microsoft Intune - was ist das?

Im Windows-10-Umfeld ermöglicht Intune eine Anbindung von Geräten ausschließlich über die Cloud (Azure AD Joined). Die Alternative ist eine Anbindung im hybriden Kontext im Zusammenhang mit einem lokalen DC und Active Directory, hier spricht man dann von Hybrid Azure AD Joined Geräten. Ein Zusammenspiel des Apple Business- bzw. Apple Schools Manager für iOS-Geräte ist ebenso möglich, wie die Nutzung des verwalteten Google Plays und dem Zero Touch Deployment. Auch kann die Einbindung in einem Bring-Your-Own-Device-Szenario umgesetzt werden, indem private Endgeräte in die unternehmerische Verwaltung mit aufgenommen werden. Über alle Plattformen hinweg lassen sich per Intune Konfigurationen und Einschränkungen vornehmen, Updates steuern und das App Deployment einrichten.

Intune unterscheidet sich in den grundlegenden Funktionalitäten nicht stark von anderen Mobile-Device-Management-Lösungen, bietet jedoch unter anderem durch den Service AutoPilot oder die Auswertung von lokalen Gruppenrichtlinien sehr interessante Möglichkeiten. Schauen wir einmal die Möglichkeiten von Windows AutoPilot genauer an. Dabei kommen wir auch schon zum größten Unterschied im Vergleich zu anderen Anbietern: Das Gerät kann direkt beim Endanwender ins Deployment gehen.

Der zumeist gängige Weg, dass ein Gerät beim Hardware-Lieferanten bestellt wird, dann in die IT-Abteilung geht und dort mit einem Image betankt wird, entfällt. Natürlich muss auch Intune den Windows Client gemäß der vorgegebenen Richtlinien und Applikationen anpassen, jedoch bedient sich Intune des auf dem Endgerät bereits installierten Windows Betriebssystems. Es findet somit keine völlige Neuinstallation statt, sondern vielmehr eine (große) Anpassung des bestehenden OS. Diese Anpassung muss dann nicht mehr zwangsläufig innerhalb des Unternehmens stattfinden. In Zeiten von Home-Office und Remote Work kann der Client dem Nutzer nach Hause geschickt werden. Der Nutzer entpackt das Gerät, schließt es an das heimische Netzwerk an und meldet sich mit seiner geschäftlichen Mail-Adresse an. Sobald das erledigt ist, beginnt das Gerät in den AutoPilot-Modus zu gehen. Folgende Grafik verdeutlicht den Ablauf auch sehr gut:

Lesetipp: Home-Office einrichten - Das brauchen Sie für die Heimarbeit

MDM mit Intune

Je nach Plattform betreibt Intune eine unterschiedliche Menge an Richtlinien, die über das Endpoint Manager Admin Center angewendet werden können. Die Richtlinien dienen dazu, um das Gerät an die Compliance- und Security-Vorgaben des Unternehmens anzupassen. Dabei können die folgenden Anwendungsfälle abgedeckt werden:

• Einrichten einer Passwortvorgabe

• Deaktivieren von Ortungsdiensten

• Setzen der BitLocker Einstellungen

• Sperren der Screenshot- Funktionalität auf Android oder iOS

• Nutzen von WLAN-Profilen

Die gesetzten Richtlinien können entweder rein auf Intune-Basis eingerichtet sein, sich im Co-Management mit dem System Center befinden oder auch als Ergänzung zu lokalen Gruppenrichtlinien angesehen werden. Neben Konfigurationsrichtlinien können Applikationen verpflichtend oder optional zur Verfügung gestellt werden. Dabei können Applikationen aus dem jeweiligen Store von Google, Apple oder Microsoft genutzt werden. Aber auch die Möglichkeit MSI-Dateien oder Win32-Apps in Intune einzubinden, ist gegeben. Die Darstellung von Abhängigkeiten zwischen den Apps zur Installationsreihenfolge ist aktuell noch in der Preview-Phase, soll aber zukünftig als Standard integriert sein.

Erweitert wird das Microsoft Intune MDM durch die Mandantenverwaltung, in der wir Konnektoren zu Drittanbieten im Bereich Firewall oder auch TeamViewer für den Remote Support aktivieren. Hier zeigt sich auch der Plattform-Gedanke bei Microsoft: Es besteht die Möglichkeit, den Windows Defender über Intune zu steuern und somit ist es nicht zwingend erforderlich, auf einen Drittanbieter zu setzen, bei dem wir wieder eine weitere Administrationsoberfläche hätten und natürlich auch einen separaten Kostenblock.

Das MDM bietet auch die Möglichkeit, ein Reporting über die aktuell im System befindlichen Geräte und Applikationen zu erstellen. Jedes Endgerät unterliegt bei der Einbindung in Intune einer Inventarisierung, womit der IT-Administrator einen Überblick über die gesamte Landschaft erhalten kann. Dieses Reporting kann bei Bedarf, zwecks personalisierter Übersicht, unter Umständen auch in ein Power BI eingebunden werden.

Microsoft Intune einrichten

Microsoft Intune befindet sich im SaaS-Umfeld, wodurch keine direkte Einrichtung von Intune und dem Microsoft Endpoint Manager Admin Center nötig ist. Sobald die entsprechende Lizenz bestellt ist, wird die MDM-Lösung automatisch bereitgestellt.

Vielmehr muss, je nach Anwendungsfall, eine Administration und Einrichtung innerhalb vom Intune vorgenommen werden, um zum Beispiel den Windows-AutoPilot-Dienst zu nutzen oder aber die Windows-Update-Ringe zu steuern.

Intune - Preise und Linzenzen

Bei den Lizenzen und Preisen zeigt sich erneut die starke Verknüpfung zur Microsoft 365 Suite. So ist Intune Bestandteil folgender Lizenzen:

• Microsoft 365 E3/E5

• Microsoft 365

• Enterprise Mobility + Security E3/E5

• Enterprise Mobility + Security E3

• Microsoft 365 Business Premium

• Microsoft 365 F3

• Microsoft 365 Government G3/G5

• Microsoft 365 Education A3/A5

Dadurch versursacht Intune keine gesonderten Kosten, sondern ist im Preis der jeweiligen Microsoft-365-Abonnements enthalten. Die Lizenzen sind im Intune-Umfeld personengebunden, jedoch bietet Intune auch Gerätelizenzen an, wenn ein Unternehmen zum Beispiel Kiosk-Geräte verwendet, die nicht einem spezifischen Nutzer zugeordnet sind. Für eine reine Intune-Standalone-Lizenz liegt der Preis aktuell bei rund 5,10 € pro Monat pro Lizenz.

Endpoint Manager und Intune - die Tools der Wahl?

Das Endpoint Manager Admin Center bietet Unternehmen eine vollumfängliche Lösung zur Verwaltung von Windows Clients und mobilen Endgeräten rund um die Plattformen Android und iOS. Dabei gibt es interessante Funktionalitäten, wie die Integration und Steuerung eines Windows Defenders oder die Arbeit mit anderen Funktionalitäten des Microsoft Security Stacks. Dies ermöglicht es, sich innerhalb der Microsoft-Produktfamilie zu bewegen und man ist nicht zwingend darauf angewiesen, weitere Drittanbieter-Lösungen mit einzubinden.

Auch bietet Intune bewährte Administrationswege, wie das Einrichten von Konfigurationsrichtlinien oder die Steuerung von Windows-Updates. Leider verpasst es Microsoft aber beim Thema App-Deployment die Nutzerfreundlichkeit auf Seiten der IT-Administratoren zu erhöhen und setzt mit umständlichen Konvertierungen und dem manuellen Setzen von Installationspfaden einige Hürden, die erst gemeistert werden wollen. Auch mitunter lange Synchronisierungszeiten, bis eine Applikation oder Richtlinie vom Endgerät gezogen wird kennt man von einigen MDM-Lösungen. Leider ist Intune da kein besseres Beispiel, sondern führt die Tradition eines System Centers oder anderer Lösungen fort.

Eins ist sicher: Microsoft steckt viel Zeit und Geld in seine Endpoint Management Lösung. Dies führt dazu, dass Intune in den letzten Jahren enorm an Funktionalität und Stabilität gewonnen hat. Einige Schwächen trägt das System aber noch mit sich. Mittlerweile ist Intune für Unternehmen ohne MDM-Lösung durch seine Nähe zur Microsoft-365-Produktfamilie recht schnell zu ersten Wahl geworden. Für Unternehmen mit bereits etablierten Verwaltungslösungen kann sich bei einem Wechsel des Anbieters ein Blick in Richtung Intune und dem Endpoint Manager ebenfalls durchaus lohnen, je nach Anwendungsfall aber mit einigen Schwierigkeiten und Kopfschmerzen verbunden sein. (bw)