Microsoft 365 Tools , Cloud & Services , IT-Sicherheit | Dominic Schneider

Verwaltung mobiler Geräte mit Microsoft Intune

Intune ist eine cloudbasierte Mobile Device Management (MDM) Lösung aus dem Hause Microsoft. Als Teil der EMS-Suite (Microsoft Enterprise Mobility + Security) ermöglicht Mircosoft Intune die Verwaltung und Sicherheit mobiler Umgebungen und bereitet den Weg für neue flexible Arbeitsmodelle. Über die intelligente Plattform lassen sich Windows, Android sowie Apple Geräte verwalten. Im Folgenden werden die Gründe für den Einsatz einer MDM-Lösung genannt und die wichtigsten Teile der Geräteverwaltung mit Microsoft Intune erläutert.

Microsoft Intune - Handy in Hosentasche

WARUM MOBILE DEVICE MANAGEMENT?

Immer mehr Unternehmen stellen Ihren Mitarbeitern mobile Geräte zur Verfügung oder erlauben die Nutzung privater Mobilgeräte am Arbeitsplatz. Während Smartphones und Tablets mehr Flexibilität für die Arbeitsgestaltung bieten, stellen deren Verwaltung, Integration sowie Sicherheit komplexe Anforderungen an die Unternehmens-IT. Der Einsatz von Software für das Mobile Device Management (MDM) hilft dabei, Sicherheit, Transparenz und Kontrolle beim Einsatz von Mobile Devices im Unternehmen zu schaffen. Im Folgenden werden die wichtigsten Aspekte kurz erläutert:

SICHERHEIT 

Mittels MDM kann die Sicherheit im gesamten Unternehmen erhöht werden. Dies geschieht durch die gezielte Vergabe von Rechten, die zentrale Aktivierung von Sicherheitsfeatures oder die Steuerung des Zugriffs auf Informationen. Des Weiteren besteht die Möglichkeit über eine MDM-Lösung Geräte von der Ferne aus zu sperren oder zurücksetzen. Dies ist vor allem nötig und sinnvoll, wenn Geräte gestohlen wurden oder verloren gegangen sind. 

Modern Workplace

Die Ansprüche an Arbeitsplatz und -umfeld haben sich verändert. Um produktiv sein zu können, benötigen wir eine technische Ausstattung, die uns nicht ausbremst. Mobiles Arbeiten von unterwegs sowie flexible Arbeitszeiten gehören hier selbstverständlich dazu. Da das Smartphone heutzutage das wichtigste privat genutzte technische Gerät ist, erweitert sich dieser Anspruch wie selbstverständlich auf die mobilen Endgeräte. Eine ausgereifte MDM-Lösung ebnet den Weg zur modernen digitalen Arbeitswelt. Sie sorgt dafür, dass die Geräte stets sicher sind und die Mitarbeiter von überall Zugriff auf erforderliche Anwendungen und Informationen haben.

WARUM MOBILE DEVICE MANAGEMENT MIT INTUNE?

Microsoft Intune ist standardmäßiger Bestandteil in allen Microsoft 365 Plänen und bietet eine einheitliche Plattform für die Entpunktverwaltung. Die cloudbasierte Lösung steuert die Verteilung von Richtlinien und Anwendungen und ermöglicht, Geräte jederzeit und überall zu verwalten. Zusätzlich bietet Intune eine Menge von Sicherheitsfeatures bzw. Einstellungen, die die Sicherheit von Unternehmensinformationen erhöhen, wie zum Beispiel: 

  • Verwaltung einer Kennwortrichtlinie 
  • Identity Protection über Multi-Faktor Authentifizierung & Windows Hello
  • Einstellungen zum Microsoft Defender  
  • Endpoint Protection per Microsoft Defender 
  • Einschränkung der Möglichkeiten der Nutzer über Richtlinien (z.B. Ausblenden des Microsoft Store) 
  • Verschlüsslung und Schutz von Unternehmensdaten auf (Privat)-Geräten 

Der Verwaltungsaufwand für die IT-Abteilung wird deutlich reduziert und die Ersteinrichtung und Verwaltung von Geräten kann ohne die physische Anwesenheit des Geräts bei der IT-Abteilung erfolgen. Die Funktion Autopilot ermöglicht, dass die Windows Geräte bei der „Out of the box experience“, also der erstmaligen Inbetriebnahme des Geräts direkt nach der Anmeldung des Nutzers vollständig verwaltet werden. Richtlinien werden auf dem Gerät angewandt, Anwendungen werden installiert und nach ca. 30 Minuten (abhängig von der Menge an Anwendungen und Richtlinien und der Internetverbindung) steht das Gerät dem Nutzer vollständig zur Verfügung, ohne dass die IT-Abteilung das Gerät auch nur einmal anfassen musste.  

Intune unterstützt zudem die Verwaltung von privaten Mobilgeräten. Dazu wird ein Arbeitsprofil auf den persönlichen Geräten der Mitarbeiter eingerichtet. Nur dieses Arbeitsprofil kann von der IT-Abteilung administriert werden und Firmeninformationen können das Arbeitsprofil nicht verlassen. Dies erhöht die Flexibilität des Mitarbeiters erheblich, da er praktisch von allen Arten von Endgeräten sicher auf Unternehmensdaten zugreifen kann.

Verwaltung von Geräten mit Intune

Gerätekonfiguration

Bevor die Geräte über Intune verwaltet werden können, müssen diese bei der Geräteverwaltung registriert werden. Nachdem die Geräte bei Intune registriert wurden, kann die Verwaltung beginnen. Dabei werden Gerätekonfigurationsprofile auf dem jeweiligen System angewandt und das Gerät wird auf Inkompatibilität überprüft.

Um aufzuzeigen, wie Geräte verwaltet werden folgt ein kurzes Beispiel, indem per Richtlinie das Ausführen von Apps aus dem Microsoft Store blockiert wird. Zum Erstellen der Richtlinie meldet man sich zuerst als Administrator beim Microsoft Endpoint Manager Admin Center an. Über Geräte > Windows > Konfigurationsprofile gelangt man zu den bereits erstellten Konfigurationsprofilen und ist in der Lage ein neues Profil zu erstellen.

Das Profil erhält einen Namen und optional noch eine Beschreibung. Da wir Windows 10 Geräte verwalten, wählen wir als Plattform „Windows 10 und höher“ aus und wählen als Profiltyp „Geräteeinschränkungen“, da die Einstellung für unser Beispiel darin zu finden ist. Nun navigieren wir über Einstellungen > App Store zu unserer gewünschten Einstellung und ändern den Wert auf „Blockieren“.

Damit das Profil angewendet werden kann muss es nun nur noch einer bestimmten Gruppe oder bestimmten Nutzer zugewiesen werden. In unserem Fall soll die Richtlinie für alle Geräte gelten.

Nach dem die jeweilige Gruppe zugewiesen wurde, kann es teilweise einige Stunden dauern, bis die neue Richtlinie auf den zugewiesenen Geräten angewendet wurde. Allerdings besteht immer noch die Möglichkeit als Administrator einen Sync mit den Geräten anzufordern oder als Endnutzer einen Sync zu initiieren wodurch die Richtlinie deutlich schneller angewendet wird. Nachdem das Konfigurationsprofil erfolgreich auf das Gerät angewendet wurde ist der Nutzer nicht mehr in der Lage die Microsoft Store App zu öffnen und auch keine Apps mehr zu starten, die aus dem Microsoft Store heruntergeladen wurden.

GERÄTEKOMPATIBILITÄT

Innerhalb der Gerätekompatibilität können Richtlinien für Unternehmensgeräte definiert werden. Dabei wird zum Beispiel geprüft welche Betriebssystemversion ein Gerät besitzt, ob Bitlocker aktiviert ist oder ob der Microsoft Defender aktiviert ist. 

Bei Nichteinhaltung von Kompatibilitätsrichtlinien können IT-Administratoren und Nutzer des Gerätes benachrichtigt werden, oder die Geräte können remote gesperrt werden.

APPS

In dem Bereich-Apps werden die Anwendungen verwaltet, welche auf den Endgeräten installiert werden sollen bzw. installiert werden können. Hierbei besteht die Möglichkeit zu entscheiden, ob die Installation einer Anwendung erforderlich ist oder ob die Anwendung für Geräte verfügbar sein soll aber nicht zwanghaft installiert werden muss.

Ist letzteres der Fall, erscheint die Anwendung im Unternehmensportal des Unternehmens und kann von da aus je nach Belieben von den Endnutzern installiert werden.

Anmerkung: Der Zugriff auf das Unternehmensportal wird durch die zuvor erstellte Richtlinie außer Kraft gesetzt, da die Unternehmensportal App ebenfalls aus dem Microsoft Store bezogen wird. Die Richtlinie wurde zum Aufzeigen dieser Möglichkeit außer Kraft gesetzt.

Zur Installation von Anwendungen auf Windows Geräten werden .msi Pakete benötigt. Diese werden entweder vom Entwickler selbst zur Verfügung gestellt oder können eigenhändig durch Einsatz des MSIX Packaging Tool erstellt werden.

dominic schneider

ba-student

dominic.schneider@intraconnect.de

Zurück

Themen

Informiert bleiben

Erhalten Sie max. einmal im Monat Neuigkeiten zu aktuellen IT-Themen aus den Bereichen IT-Betrieb und Zusammenarbeit in der Cloud.

NEWS ABONNIEREN

Feedback

Haben Sie Anregungen zum Blog oder Wünsche für Themen? Dann senden Sie uns Ihr Feedback an
redaktion@intraconnect.de.