In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Intune behandelt. Über Intune können Geräte mit Windows, iOS/iPadOS, MacOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Micorsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 wie auch in der E3 ist Intune Plan 1 enthalten. Zusätzlich kann Plan 2 oder die Intune Suite erworben werden für weitere Premium Funktionen.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer „Hybrid“, d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit AAD Connect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Federation zwischen Active Directory und Azure AD.  

Kursumgebung Hybrid + Intune:
Im Kurs nutzen wir eine hybride Umgebung. Das On-Premises AD mit Azure AD über Azure AD Connect verbunden wird, um Benutzer-, Gruppen- und Geräteobjekte via AAD Connect von On-Premises AD zu Azure AD zu synchronisieren. Die Authentifizierung zwischen dem auf Kerberos basierenden On-Premises AD und dem auf Token basierenden Azure AD kann durch mehrere Möglichkeiten realisiert werden. Zur Verfügung stehen hier unter anderem die Federation durch ADFS (Active Directory Federation Services) und die in diesem Kurs angewandte PTA (Pass-Through Authentication) oder PHS (Password Hash Synchronisation). 

Device Registration:
Bevor Geräte über Intune voll verwaltet werden können, sollten diese in Azure Active Directory registrieren (Azure AD Registration). Dabei gibt es folgende drei Methoden: Device Registration, Azure AD Join und Hybrid Azure AD Join. Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Geräte in Intune aufgenommen (enrolled) werden. Es gibt die manuelle und automatische Enrollment Methode. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows. Für das Massenenrollment von Windows Geräten wird Windows Autopilot genutzt.

Device Configuration:
Von Intune verwaltete Geräte können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigtem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows Gerät umgesetzt werden. Ein CSP funktioniert vergleichsweise wie eine CSE (Client Side Extension) bei den Active Directory Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows Geräten können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Eine Migration von bestehenden Gruppenrichtlinien ist bedingt möglich.

Device Security:
Die Einstellungen für die Gerätesicherheit wurde von Microsoft in den Bereich Endpoint Security ausgelagert, um alle Sicherheitseinstellungen zusammenzufassen. Unter Endpoint Security kann unter anderem die Windows Defender Firewall, BitLocker, Credential Guard konfiguriert werden. Über den Profiltyp „Endpoint Detection and Response“ (EDR) kann das Geräte in den „Microsoft Defender for Endpoint“ aufgenommen werden (onboarden), welches eine erweiterte Sicherheitsüberwachung von Geräten bietet.
Darüber hinaus können Security Baselines für Windows Geräte eingesetzt werden.

App Deployment:
Über Intune lassen sich verschieden Applikationstypen für Windows, iOS/iPadOS, MacOS & Android bereitstellen. Allgemein verfügbare Applikationstypen sind Store Apps, Line-of-Business und Web Links (Web Application). Verfügbare Bereitstellungsoptionen sind „Available“, „Required“ und „Uninstall“.
Für Windows Geräte steht zusätzlich der Win32 App Typ zur Verfügung. Mit diesem Typ lassen sich Abhängigkeiten (Dependency) und ersetzende (Supersedence) Bereitstellungen zu anderen Win32 Apps abbilden. Store Apps bei Windows werden über Microsoft Store und WinGet (Windows Package Manager) abgebildet.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Geräts ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativ Updates auf den Windows Geräte zu erstellen. Mit dem neuen Windows Feature Update kann die Version eines Windows Geräte bestimmt werden.
Mit Windows Autopacht lässt sich die Update Verwaltung an Microsoft abgebenden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Devices überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows wird der Zustand des Devices überprüft und so entschieden, ob es „Compliant“ ist. Wenn die zur Verfügung stehenden Policies nicht ausreichend sind, kann eine Custom Compliance Policy erstellt werden.
Das Ergebnis von Device Compliance kann als Bedingung für Azure AD Conditional Access verwendet werden, um den Zugriff auf Unternehmens Ressourcen einzuschränken.

Windows Autopilot Enrollment:
Die empfohlene Variante Geräte in Intune aufzunehmen ist Windows AutoPilot. Dies kann im User-Driven oder Self-Deploying Modus durchgeführt werden. Nach dem Enrollment von Windows Geräten werden auch alle adressierten Applikationen und Konfigurationen auf dem Gerät bereitgestellt, sodass die Windows Geräte für den Endbenutzer einsatzbereit und konfiguriert sind.
Es ist auch möglich über Windows Autopilot den Hybrid Azure AD Join durchzuführen. Die Voraussetzung hierfür ist ein Intune Connector für Active Directory, der im On-Premises AD eingerichtet werden muss. Im Home-Office kann dies mithilfe eines VPN Device Tunnel realisiert werden.
Es kann Windows Autopilot for pre-provisioned (früher White Glove) verwendet werden, um Windows Geräte für den Windows Autopilot vorzubereiten.

Client Monitoring & Log Analytics:
Um Audit Informationen von Intune zentral zu sammeln, um diese auszuwerten, kann ein Log Analytic Workspace (LAW) verwendet werden.
Es ist auch möglich die Intune Geräte durch die Verbindung mit Azure Monitor zu überwachen. Die gelieferten Events werden im Log Analytics Workspace gesammelt und ausgewertet, z. B. um einen Work Flow zu triggern. Für Azure Monitor bzw. Log Analytics wird eine Azure Subscription benötigt!