Intune for Enterprise

Intune for Enterprise

Device Enrollment & Configuration – Microsoft 365 Apps – Compliance Policy – Windows Autopilot

  • 5 Tage
  • Präsenzkurs
  • min. 3 – max. 10 Teilnehmer (bei Präsenzkursen)
  • 4.290,– € zzgl. MwSt.

Zielgruppe:
Das Seminar richtet sich an Administratoren, Support-Ingenieure sowie Desktop-Administratoren von Windows 10/11 Clients, iOS/iPadOS Geräten & Android Geräten.

Voraussetzungen:
Erfahrung mit Client Managementsysteme ist von Vorteil.

Zertifikat:
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

Kursdokumentation:
Die digitale Kursdokumentation erhalten die Teilnehmer einen Werktag vor Kursbeginn. Diese ist im Kurspreis inbegriffen. Auf Wunsch kann gegen einen Aufpreis von 300,– € zzgl. MwSt. zusätzlich eine Printversion dazugebucht werden.

Schulungszeiten:
Tag 1: 09:00–17:00 Uhr / Tag 2–4: 08:30–17:00 Uhr / Tag 5: 08:30–13:00 Uhr

Intune Intensivkurs im Detail

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Intune behandelt. Über Intune können Geräte mit WindowsiOS/iPadOS, MacOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Micorsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 wie auch in der E3 ist Intune Plan 1 enthalten. Zusätzlich kann Plan 2 oder die Intune Suite erworben werden für weitere Premium Funktionen.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer „Hybrid“, d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit AAD Connect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Federation zwischen Active Directory und Azure AD. 

Kursumgebung Hybrid + Intune:
Im Kurs nutzen wir eine hybride Umgebung. Das On-Premises AD mit Azure AD über Azure AD Connect verbunden wird, um Benutzer-, Gruppen- und Geräteobjekte via AAD Connect von On-Premises AD zu Azure AD zu synchronisieren. Die Authentifizierung zwischen dem auf Kerberos basierenden On-Premises AD und dem auf Token basierenden Azure AD kann durch mehrere Möglichkeiten realisiert werden. Zur Verfügung stehen hier unter anderem die Federation durch ADFS (Active Directory Federation Services) und die in diesem Kurs angewandte PTA (Pass-Through Authentication) oder PHS (Password Hash Synchronisation). 

Device Registration:
Bevor Geräte über Intune voll verwaltet werden können, sollten diese in Azure Active Directory registrieren (Azure AD Registration). Dabei gibt es folgende drei Methoden: Device Registration, Azure AD Join und Hybrid Azure AD Join. Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Geräte in Intune aufgenommen (enrolled) werden. Es gibt die manuelle und automatische Enrollment Methode. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows. Für das Massenenrollment von Windows Geräten wird Windows Autopilot genutzt.
Bevor iOS/iPadOS Devices von Intune verwaltet, werden können, muss ein Apple MDM Push Zertifikat angefordert werden. Erst durch das Zertifikat werden Intune Konfiguration auf Apple Geräten vertrauenswürdig.
Auf dem iOS/iPadOS Gerät kann das manuelle Enrollment über die Unternehmensportal App aus dem App Store durchgeführt werden. Automatisiert kann dies über den Apple Business Manager durchgeführt werden. Beim Automatic Device Enrollment (ADE) kann der „Supervised“ Status gesetzt werden. Dieser Status wird für die vollumfängliche Verwaltung von iOS/iPadOS benötigt. Weitere Enrollment Methoden sind „User- & Device Enrollment“.
Um Android Geräte verwalten zu können, muss ein Google Business Account mit Intune verbunden werden. Anschließend können zwischen verschiedenen Enrollment Methoden gewählt werden, z.B. Corporate-owned fully managed User Devices.

Device Configuration:
Von Intune verwaltete Geräte können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigtem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows Gerät umgesetzt werden. Ein CSP funktioniert vergleichsweise wie eine CSE (Client Side Extension) bei den Active Directory Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows Geräten können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Eine Migration von bestehenden Gruppenrichtlinien ist bedingt möglich. Firmeneigene iOS/iPadOS Geräte können vollumfänglich verwaltet werden. Es kann z. B. die Kamera, der App Store blockiert und weitere Einschränkungen, sowie Sicherheitskonfigurationen angewandt werden. Basierend auf der Enrollment Variante sind verschiedene Konfigurationsmöglichkeiten verfügbar.

Device Security:
Die Einstellungen für die Gerätesicherheit wurde von Microsoft in den Bereich Endpoint Security ausgelagert, um alle Sicherheitseinstellungen zusammenzufassen. Unter Endpoint Security kann unter anderem die Windows Defender Firewall, BitLocker, Credential Guard konfiguriert werden. Über den Profiltyp „Endpoint Detection and Response“ (EDR) kann das Geräte in den „Microsoft Defender for Endpoint“ aufgenommen werden (onboarden), welches eine erweiterte Sicherheitsüberwachung von Geräten bietet.
Darüber hinaus können Security Baselines für Windows Geräte eingesetzt werden.

App Deployment:
Über Intune lassen sich verschieden Applikationstypen für Windows, iOS/iPadOS, MacOS & Android bereitstellen. Allgemein verfügbare Applikationstypen sind Store Apps, Line-of-Business und Web Links (Web Application). Verfügbare Bereitstellungsoptionen sind „Available“, „Required“ und „Uninstall“.
Für Windows Geräte steht zusätzlich der Win32 App Typ zur Verfügung. Mit diesem Typ lassen sich Abhängigkeiten (Dependency) und ersetzende (Supersedence) Bereitstellungen zu anderen Win32 Apps abbilden. Store Apps bei Windows werden über Microsoft Store und WinGet (Windows Package Manager) abgebildet. Bei iOS/iPadOS lassen sich Applikationen über den Apple Business Manager (VPP) erwerben und mit Intune synchronisieren. Über Intune können die Applikationen anschließend bereitgestellt werden.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Geräts ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativ Updates auf den Windows Geräte zu erstellen. Mit dem neuen Windows Feature Update kann die Version eines Windows Geräte bestimmt werden.
Mit Windows Autopacht lässt sich die Update Verwaltung an Microsoft abgebenden.
Wenn die iOS/iPadOS Geräte über das ADE enrolled wurden, können Updaterichtlinien verwendet werden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Devices überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows wird der Zustand des Devices überprüft und so entschieden, ob es „Compliant“ ist. Wenn die zur Verfügung stehenden Policies nicht ausreichend sind, kann eine Custom Compliance Policy erstellt werden.
Bei iOS/iPadOS wird der Zustand überprüft und, falls dieser abweichend ist, korrigiert. Das Ergebnis von Device Compliance kann als Bedingung für Azure AD Conditional Access verwendet werden, um den Zugriff auf Unternehmens Ressourcen einzuschränken.

Windows Autopilot Enrollment:
Die empfohlene Variante Geräte in Intune aufzunehmen ist Windows AutoPilot. Dies kann im User-Driven oder Self-Deploying Modus durchgeführt werden. Nach dem Enrollment von Windows Geräten werden auch alle adressierten Applikationen und Konfigurationen auf dem Gerät bereitgestellt, sodass die Windows Geräte für den Endbenutzer einsatzbereit und konfiguriert sind.
Es ist auch möglich über Windows Autopilot den Hybrid Azure AD Join durchzuführen. Die Voraussetzung hierfür ist ein Intune Connector für Active Directory, der im On-Premises AD eingerichtet werden muss. Im Home-Office kann dies mithilfe eines VPN Device Tunnel realisiert werden.
Es kann Windows Autopilot for pre-provisioned (früher White Glove) verwendet werden, um Windows Geräte für den Windows Autopilot vorzubereiten.

Client Monitoring & Log Analytics:
Um Audit Informationen von Intune zentral zu sammeln, um diese auszuwerten, kann ein Log Analytic Workspace (LAW) verwendet werden.
Es ist auch möglich die Intune Geräte durch die Verbindung mit Azure Monitor zu überwachen. Die gelieferten Events werden im Log Analytics Workspace gesammelt und ausgewertet, z. B. um einen Work Flow zu triggern. Für Azure Monitor bzw. Log Analytics wird eine Azure Subscription benötigt!

Azure – AAD-Connect / Hybrid Authentication

  • AAD Connect
  • Synchronization Service Manager
  • Pass-Through Authentication (PTA)
  • Password Hash Synchronization (PHS)
  • Active Directory Federation Services (ADFS)

Azure AD Registration

  • Azure AD Registered (BYOD)
  • Azure AD Joined (CYOD)
  • Hybrid Azure AD Joined (CYOD)

Intune – Device Enrollment

  • Manuelles Enrollment (iOS/iPadOS, Windows)
  • Windows Automatic Enrollment (Windows)
  • iOS/iPadOS Automatic Device Enrollment (Apple Business Manager )
  • Android Enrollement (Corporate-owned fully managed User Devices)
  • Enrollment device platfrom restrictions
  • Intune Device Actions

Intune – Device Configuration (1)

  • Platform & Profiltypen
  • Richtlininen für Geräte und Benutzer (iOS/iPadOS, Windows & Android)
  • Configuration Service Provider (CSP) vs Group Policy
  • Zuweisungs Filter
  • Group Policy analytics

Intune – Device Configuration (2) Endpoint Security 

  • Antivirus – Windows Defener
  • Disk encryption – BitLocker
  • Account protection – Credential Guard
  • Attack surface reduction (ASR)
  • Tamper protection

Intune – Microsoft Defender for Endpoint

  • Integration in Intune
  • Onboarding von Clients mit Intune
  • MDM Compliance Policy

Intune – Updates

  • Windows 10 Update Ring
  • Verwalten von Update Terminen
  • Feature updates for Windows
  • Quality updates for Windows
  • iOS/iPadOS Updates

Intune – Client Apps

  • Windows Apps (Store for Business)
  • Windows Package Manager (WinGet)
  • *.msi Deployment
  • *.exe Deployment (intunewin)
  • Dependency & Supersedence
  • iOS/iPadOS App Deployment (Apple Business Manager / VPP)
  • Deploymenttype: Available, Required, Uninstall
  • Android Google Play store

Intune – Microsoft 365 Apps Deployment

  • Office Customization Portal
  • Microsoft 365 App Suite auf Windows
  • Microsoft 365 Apps Deployment auf iOS/iPadOS
  • Erstellen von Office Policies

Intune – Device Compliance & Conditional Access

  • Compliance Policy Windows
  • Custom Compliance Policy Windows
  • Compliance Policy iOS/iPadOS
  • Compliance Policy Android
  • Conditional Access auf Microsoft 365 Services (Teams, Exchange Online, usw…)

Intune – Windows Autopilot

  • Automatisches Windows Enrollment
  • Einrichten des Intune Connectors für Active Directory
  • Self- & User-Driven-Deployment (Azure AD Join & Hybrid Azure AD Join)
  • Aufbau eines VPN Device Tunnels während dem Windows Autopilot Prozess
  • Windows Autopilot White Glove Deployment (Pre-Provisioning)

Intune Log Analytics

  • Intune Diagnostics Connection zu Log Analytics
  • Analysieren von Audit Logs
  • Analysieren von Operational Logs (z. B. New Enrollment und Compliance)
  • Device Health
  • Windows Update Solution

Unsere Kursform

Teilnehmer an den Präsenzkursen erwartet ein vollausgestatteter, moderner Arbeitsplatz inklusive eigener Hardware und selbstverständlich WLAN. Die zentrale Lage in Böblingen ermöglicht eine entspannte Anreise mit dem Auto, Bus, der Bahn oder dem Flugzeug (Flughafen Stuttgart).


Parken:
Sie können kostenlos unsere 10 Parkplätze im Telekom-Gelände direkt bei uns nutzen. Beim Empfang im 4. OG erhalten Sie von uns einen Parkschein für die gesamte Kursdauer.

Mittagessen & Pausenverpflegung:
Im Preis ist das Mittagessen 18,– €/Tag enthalten. Dabei können Sie zwischen vier tollen Restaurants wählen. Darüber hinaus stehen Ihnen Kalt- und Warmgetränke sowie frisches Obst und Gebäck über die gesamte Kursdauer hin zur Verfügung.

Termine

07.10.2024 – 11.10.2024
Präsenzkurs
4.290,– € zzgl. MwSt.
 
 
 
 
26.08.2024 – 30.08.2024
Präsenzkurs
4.290,– € zzgl. MwSt.
 
 
 
 
10.06.2024 – 14.06.2024
Präsenzkurs
geschlossen
 
 
 
 
13.05.2024 – 17.05.2024
Präsenzkurs
geschlossen
 
 
 
 
Nach oben scrollen