SCCM 2012 R2 mit SP1 - Enterprise Szenario - live im Kurs

Intensivkurs "Endpoint Manager Hybrid" - Level 4

Microsoft Endpoint Manager Hybrid

- für Enterprise Umgebung -

Sollte dieser Kurs aufgrund von (zukünftigen) behördlichen Einschränkungen bezüglich COVID-19 nicht mehr vor Ort stattfinden dürfen, behalten wir uns vor diesen automatisch auf LIVE CLASS umzustellen.

In diesem Kurs wird die Zusammenarbeit von Intune (Mobile Device Management) und dem Microsoft Endpoint Configuration Manager praktiziert, also die Verbindung zwischen der „On-Premises“- und der Azure-Welt für die Geräteverwaltung.

Im Herbst 2019 hat Microsoft den System Center Configuration Manager in Microsoft Endpoint Configuration Manager umbenannt. Ebenso wurde zu dieser Zeit ein neues Intune Portal eingeführt, zunächst als Preview, welches sich Microsoft Endpoint Manager Admin Center nennt. Seit dem 1. August 2020 ist ausschließlich dieses Portal für die Verwaltung von Intune zuständig. Davor war diese Funktion noch im Azure Portal integriert.

Durch den gemeinsamen Namen für Intune und den Configuration Manager möchte Microsoft klarstellen, dass man sich in Zukunft nicht für eine reine „On-Premises“ oder Cloud Geräteverwaltung entscheiden muss, sondern ein Co-Management beider Produkte erstrebenswert ist, um das Beste aus beiden Welten zu vereinen. Das kann man auch vor allem daran erkennen, dass der Configuration Manager immer mehr neue Cloud Features bekommt. Auf der anderen Seite werden ständig weitere Verwaltungsoptionen für den Configuration Manager in das Endpoint Manager Admin Center integriert. Inzwischen kann man über das Portal auch schon On-Premises Clients verwalten und mit Anwendungen ausstatten, die im Configuration Manager erstellt worden sind. Das Ziel von Microsoft scheint hier also klar zu sein: Ein Webportal, mit dem man beide Produkte verwalten kann. Auch wenn es sicherlich noch lange dauert, bis die Funktionen aus der lokalen Configuration Manager Konsole wirklich im Endpoint Manager Admin Center zur Verfügung stehen werden.

Beide Produkte haben natürlich ihre Stärken und Schwächen. Während Intune deutlich besser dazu geeignet ist Mobilgeräte mit iOS oder Android, aber auch mobile Windows 10 Geräte, mit Konfigurationen und Sicherheitseinstellungen (Endpoint Security) auszustatten, stößt Intune bei komplexeren Anwendungen und auch beim umfangreichen Update Management im Vergleich zum Configuration Manager schnell an seine Grenzen. Hier ist der Configuration Manager deutlich flexibler.

Um nun das Beste aus beiden Welten nutzen zu können, muss eine Verbindung zwischen der lokalen Configuration Manager Infrastruktur und Azure hergestellt werden. Dies geschieht über die beiden Funktionen Cloud Management Gateway (CMG) und Co-Management. Das CMG ermöglicht es Clients, die keinen Kontakt zum Intranet haben, Content über das Internet zu beziehen (Anwendungen, Updates, Betriebssysteme). Durch das Co-Management haben wir die Möglichkeit zu bestimmen, welche Aufgabenbereiche (Workloads) von Intune übernommen werden und welche beim Configuration Manager bleiben. So können beispielsweise die Sicherheitsrichtlinien von Intune kommen, aber das Application- und Software Update Management weiterhin in der Verantwortung des Configuration Managers liegen. Die Aufteilung der Workloads kann auch jederzeit verändert werden. Diese beiden Komponenten werden wir in unserem Kurs „Microsoft Endpoint Manager Hybrid“ realisieren und praktizieren.

ZIELGRUPPE
Das Seminar richtet sich an Configuration Manager-Administratoren und Support-Ingenieure sowie Desktop-Administratoren von Windows 10 Clients.
Erfahrung mit Windows 10 Clients, Intune und dem Configuration Manager ist von Vorteil.

NIVEAU
Level 4 — ziemlich anspruchsvoll

DAUER
3 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

Live Class
30.11. - 02.12.2021 Ausgebucht
21.12. - 23.12.2021 Ausgebucht
22.02. - 24.02.2022 noch Plätze frei
 
Präsent (vor Ort)
26.10. - 28.10.2021 Geschlossen
16.11. - 18.11.2021 Geschlossen
07.12. - 09.12.2021 Ausgebucht

Teilnehmerzahl wegen Corona Kontaktbeschränkung reduziert!

Zur Anmeldung

PREIS
3.250,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am 1. Tag:   09:00 - 17:00 Uhr
Am 2. Tag:   08:30 - 17:00 Uhr
Am 3. Tag:   08:30 - 16:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen:

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Azure Intune in Zusammenarbeit mit dem Configuration Manager in einer Enterprise Umgebung behandelt.

Über Intune können Geräte mit Windows 10, iOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt (Lock) werden. Die Ausstattung mit Sicherheitseinstellungen (Endpoint Security) kann ohne Probleme auf Intune Geräte verteilt werden. Mit den Compliance Policies kann zusätzlich der Zugriff (Conditional Access) auf Unternehmensressourcen gesteuert werden.

Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Microsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Lizenz Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 sind alle Lizenzen enthalten.

Die meisten Firmen besitzen bereits eine Configuration Manager Umgebung, um Windows 10 und Server zu verwalten. Mit dem Configuration Manager können hoch komplexe Anwendungen an Windows Clients verteilt werden. Auch das Update Management kann flexibel und gezielt mit dem Configuration Manager betrieben werden. Seit das Cloud Management Gateway (CMG) mit der Version 1806 eingeführt wurde, können nun auch Clients, die keinen direkten Kontakt mit dem Intranet besitzen, mit Anwendungen und Updates versorgt werden.

Da beide Produkte, Intune und der Configuration Manager, ihre Vorzüge besitzen, bietet es sich an beide Welten miteinander zu verschmelzen. Dies kann mit dem Co-Management erreicht werden. Mit dem Co-Management vom Configuration Manager können diverse Arbeitsbereiche (Workloads) in Richtung Intune ausgelagert werden. Beispielsweise kann Intune die Bereitstellung von Sicherheitsrichtlinien übernehmen, während die Verteilung von Anwendung weiterhin der Configuration Manager übernimmt. Hierbei ist es egal, wo sich der Windows 10 Client auf der Welt befindet.

Kursumgebung Hybrid + Configuration Manager + Intune:
Im Kurs nutzen wir eine hybride Umgebung als Backbone, wobei das "On-Premises" AD mit Azure AD über Azure AD Connect bereits verbunden ist. Benutzerobjekte und Geräteobjekte werden via AAD Connect von "On-Premises" AD zu Azure AD synchronisiert.
Der Configuration Manager ist in diesem Kurs bereits installiert und verwaltet Windows 10 Clients. Diese Windows 10 Clients sollen im Laufe des Kurses zusätzlich von Intune verwaltet werden. Um dies zu erreichen, wird eine Identität in Azure AD benötigt. Wenn ein bestehender Client aus einer "On-Premises" Domain zusätzlich eine Azure AD Identität erhält, spricht man von Hybrid Azure AD Join.
Neue Windows 10 Clients werden im Kurs direkt in Azure AD aufgenommen. Hierbei spricht man von Azure AD Join. Dennoch sollen auch diese Clients zusätzlich vom Configuration Manager verwaltet werden.

Umstellung auf HTTPS:
Damit die Verbindung zwischen Management Point und den Clients nicht ungeschützt über HTTP läuft, sollte diese auf HTTPS umgestellt werden. Auch die anderen Site System Server, wie der Distribution- und Software Update Point, sollten auf HTTPS umgestellt werden. Die Umstellung auf HTTPS ist besonders wichtig, wenn die Cloud Features oder das BitLocker Management eingesetzt werden. Im Kurs wird das Cloud Management Gateway eingerichtet, welches die Kommunikation über HTTPS voraussetzt. Es kann zwar das Feature Enhanced HTTP (ab 1810) verwendet werden, aber hierbei werden einfach nur selbstsignierte Zertifikate erstellt. Deswegen wird in diesem Kurs die Umstellung auf HTTPS mit Zertifikaten einer Enterprise PKI praktiziert.

Configuration Manager Azure Services:
Mittlerweile ist es möglich, Benutzer und Gruppen aus Azure AD im Configuration Manager zu ermitteln (Discovery). Dadurch können Anwendungen aus dem Configuration Manager auch direkt an reine Azure AD Benutzer adressiert werden.
In Intune können Konfigurationen oder Anwendungen ausschließlich an Azure AD Gruppen adressiert werden. Azure AD Gruppen können zwar dynamisch befüllt werden, aber nicht mit der Flexibilität von Collections im Configuration Manager. Deswegen ist es jetzt möglich, den Inhalt einer bestehenden Collection im Configuration Manager in eine Azure AD Gruppe zu synchronisieren.
Auch die Verwaltung von reinen Configuration Manager Clients über das Intune Portal ist mittlerweile möglich, dabei spielt es keine Rolle, ob es sich um Client oder Server Betriebssysteme handelt.

Configuration Manager Cloud Management Gateway (CMG) (ab 1806):
In diesem Kurs wird das Cloud Management Gateway (CMG) behandelt. Das CMG ermöglicht es, in Azure einen Management Point, Software Update Point und einen Distribution Point (ab Configuration Manager 1806) zu hosten. Diese Site System Komponenten können Configuration Manager Clients, die mit dem Internet verbunden sind, verwalten und mit Content (Software Updates, Applikation und Betriebssystemen) versorgen. In Azure wird hierfür ein Service gemietet, der im Hintergrund auf max.16 VMs verteilt wird. On-Premises muss die Site System Role CMG Connection Point für die Kommunikation mit Azure eingerichtet werden. Die Konfiguration erfolgt ausschließlich im Configuration Manager (On-Premises) und wird über den CMG Connection Point an Azure weitergeleitet, um die Internet Clients, die einen Configuration Manager Agent besitzen, zu verwalten. Seit der Version 2010 kann das CMG als Virtual Machine Scale Set (VMSS) bereitgestellt werden.

Intune Zertifikats Connector:
Wenn im Configuration Manager der Management Point auf HTTPS umgestellt wurde, benötigen alle Clients ein Zertifikat mit dem Zweck "Client Authentication". Deswegen werden alle Clients mithilfe von Gruppenrichtlinien mit einem Zertifikat versorgt (Auto Enroll). Windows Clients, die aber nur in Azure AD (Azure AD Join) aufgenommen wurden, können keine Zertifikate über Gruppenrichtlinien erhalten.
Durch den Intune Zertifikats Connector kann ein Azure AD Client, durch ein "Device Configuration Profil" von Intune, ein Zertifikat mit dem Zweck "Client Authentication" von unserer "On-Premises" Enterprise PKI erhalten. Genau dieses Vorgehen wird im Kurs praktiziert.

Windows AutoPilot:
Die moderne Methode Windows Clients automatisch auszurollen heißt Windows AutoPilot. In diesem Kurs wird ein Windows 10 Client mit AutoPilot ausgerollt und dabei mit dem Configuration Manager Agent und einem Zertifikat ausgestattet. Der Client wird automatisch in Azure AD aufgenommen und ist über Intune und den Configuration Manager verwaltbar. Über das Co-Management wird anschließend entschieden, wer welche Aufgaben übernimmt.

Application- & Software Update Deployment:
Im Kurs wird auch die Verteilung von Anwendungen und Software Updates über den Cloud Management Gateway behandelt. Dabei kann der Client entweder Azure AD Joined oder Hybrid Azure AD Joined sein.

Co-Management:
Durch das Co-Management können sich der Configuration Manager (On-Premises) und Intune (Cloud) die Aufgaben teilen. Die verschiedenen Arbeitsbereiche (Workloads), wie z. B. Compliance oder Device Configuration, können entweder vom Configuration Manager oder von Intune übernommen werden. Die einzelnen Bereiche können jederzeit zwischen dem Configuration Manager und Intune verschoben werden.

Microsoft Endpoint Manager Hybrid - On-Boarding Config Manager
Microsoft Endpoint Manager Hybrid - On-Boarding Config Manager

Microsoft Endpoint Manager Hybrid - Cloud Management Workflow
Microsoft Endpoint Manager Hybrid - Cloud Management Workflow

Microsoft Endpoint Manager Hybrid
Microsoft Endpoint Manager Hybrid

Microsoft Endpoint Manager Hybrid - standalone Primary Site
Microsoft Endpoint Manager Hybrid - standalone Primary Site

SCCM 1810 Content Management - Standalone Primary Site (ohne CAS)
Configuration Manager - Standalone Primary Site with CMG

Azure Intune Enterprise - Azure AD Device Registration - Intune Enrollment - ADProxy - WAC
Azure Intune Enterprise - Azure AD Device Registration - Intune Enrollment - ADProxy - WAC

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -