Mobile Device Management mit Microsoft Intune

Microsoft Intune ist in der Enterprise Mobility + Security Suite angesiedelt und somit Bestandteil von Microsoft 365. Der Dienst bietet ein zentrales Management für die Clientplattformen Windows, iOS, macOS und Android. Mit der Unified Endpoint Management Lösung Intune können unter anderem Geräteeinstellungen vorgenommen, Geräte provisioniert sowie Profile und Software an Clients verteilt werden.

In der Vergangenheit konnten die Mobile Device Management Funktionen von Intune nicht mit führenden Marktbegleitern mithalten. Für iOS und Android standen nur rudimentäre Funktionen zur Verwaltung der Endgeräte zur Verfügung. In den letzten Jahren haben sich sowohl die Management Schnittstellen der mobilen Endgeräte als auch Intune weiterentwickelt.

Intune entwickelt sich zum vollständigen Mobile Device Management System

Da Intune ein Cloud-Dienst ist und somit erstmal keine Kommunikationsverbindung mit On-Premises Ressourcen besteht, war die Anbindung von lokalen Diensten nur bedingt realisierbar. Spätestens bei der zertifikatsbasierten Authentifizierung für WLAN- oder VPN-Verbindungen hatten Mitbewerber mit lokal installierten Komponenten einen großen Vorteil. Die Authentifizierung über Zertifikate wird bei solchen Verbindungen oft eingesetzt, um die Sicherheit und die Benutzerfreundlichkeit zu erhöhen. Mit der Installation eines Zertifikats-Connectors ist es jedoch auch mit Intune möglich, Benutzer- und Computerzertifikate über Intune an iOS oder Android Geräte zu verteilen. In Zusammenhang mit einem Azure AD Application Proxy ist dies sogar sehr einfach ohne zusätzliche Veröffentlichung der Zertifikatsdienste umsetzbar. Neben der Anbindung der lokalen Zertifizierungsstelle fallen folgende Aufgaben häufig bei Migrationen von anderen MDM Lösungen zu Intune an:

• Anbindung des Apple Device Enrollment Programs
• Erstellung von Geräterichtlinien
• Konfiguration von Geräten
• Verteilung von Profilen (E-Mail, VPN, WLAN)
• Übernahme von Datenschutzeinstellungen
• Blockierung von Anwendungen

Mobile Application Management für BYOD

Neben dem Mobile Device Management ist es darüber hinaus auch möglich den Bring-Your-Own-Device Ansatz vollständig in Microsoft 365 zu integrieren. Bei dieser Betriebsform werden die privaten Endgeräte der MitarbeiterInnen für den Zugriff auf Unternehmensdaten sicher eingebunden, ohne dass dem Unternehmen die Zugangsberechtigung auf private Daten und Anwendungen erteilt wird. Über das mobile Application Management lassen sich die Firmendaten und -anwendungen auch auf nicht verwalteten Geräten konfigurieren und schützen. In Zusammenhang mit Conditional Access können die Zugriffe auf diese Daten weiter abgesichert werden. So wird beispielsweise der Zugriff auf Cloud-Dienste und Unternehmensdaten nur von firmenverwalteten Geräten zugelassen.

Migrationsphasen

Der Ablauf der Migration zu Intune als MDM-System kann wie folgt skizziert werden:

1. Abklärung der Anforderungen
   1. Welche Aufgaben sollen von Intune übernommen werden?
   2. Welche Betriebssysteme und Gerätetypen sollen unterstützt werden?
   3. Welche Betriebsformen sollen unterstützt werden? Soll BYOD unterstützt werden?
2. Voraussetzungen schaffen
   1. Vorbereitung der PKI
   2. Anpassung von WLAN Access Points oder VPN Lösungen
   3. Migrationsplanung
3. Konfiguration
   1. Grundeinrichtung von Intune
   2. Bereitstellung von Konfigurationsrichtlinien
   3. Verteilung von Apps
4. Migrationsphase
   1. Umstellung von Pilotbenutzern
   2. Anwenderkommunikation
   3. Unterstützung bei der Umstellung
   4. Monitoring und Support

Zentrale Verwaltung nicht nur von iOS und Android

Neben der Verwaltung von iOS, macOS und Android bringt die Unified Endpoint Management Lösung Intune auch alle Voraussetzungen für die Administration von Windows 10 Endgeräten mit. Durch Intune kann sowohl die Softwareverteilung als auch beispielsweise die Ablösung der Gruppenrichtlinien vorgenommen werden. So ist ein zentrales Management aller Unternehmensgeräte in Intune möglich. Durch den mobilen Einsatz von iOS und Android Clients ist es oftmals nichts Neues oder Ungewöhnliches, dass diese über das Internet verwaltet werden müssen. Besonders in der aktuellen Lage werden aber auch die Windows 10 Clients zum Großteil nicht mehr ausschließlich im Firmennetzwerk genutzt. Hier bietet Intune die Möglichkeit, die Geräte auch unabhängig vom Netzwerk zu verwalten und zu betreuen.