Intune for Windows

Intune for Windows

Device Enrollment & Configuration – Microsoft 365 Apps – Compliance Policy – Windows Autopilot

  • 4 Tage
  • Live Class
  • min. 3 – max. 10 Teilnehmer
  • 3.790,– € zzgl. MwSt.

Zielgruppe:
Das Seminar richtet sich an Administratoren, Support-Ingenieure sowie Desktop-Administratoren von Windows 10/11 Clients, iOS/iPadOS Geräten & Android Geräten.

Voraussetzungen:
Erfahrung mit Client Managementsysteme ist von Vorteil.

Zertifikat:
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

Kursdokumentation:
Die digitale Kursdokumentation erhalten die Teilnehmer einen Werktag vor Kursbeginn. Diese ist im Kurspreis inbegriffen. Auf Wunsch kann gegen einen Aufpreis von 300,– € zzgl. MwSt. zusätzlich eine Printversion dazugebucht werden.

Schulungszeiten:
Tag 1: 09:00–17:00 Uhr / Tag 2–3: 08:30–17:00 Uhr / Tag 4: 08:30–13:00 Uhr

Intune Intensivkurs im Detail

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Intune behandelt. Über Intune können Geräte mit WindowsiOS/iPadOS, MacOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Micorsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 wie auch in der E3 ist Intune Plan 1 enthalten. Zusätzlich kann Plan 2 oder die Intune Suite erworben werden für weitere Premium Funktionen.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer „Hybrid“, d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit AAD Connect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Federation zwischen Active Directory und Azure AD.  

Kursumgebung Hybrid + Intune:
Im Kurs nutzen wir eine hybride Umgebung. Das On-Premises AD mit Azure AD über Azure AD Connect verbunden wird, um Benutzer-, Gruppen- und Geräteobjekte via AAD Connect von On-Premises AD zu Azure AD zu synchronisieren. Die Authentifizierung zwischen dem auf Kerberos basierenden On-Premises AD und dem auf Token basierenden Azure AD kann durch mehrere Möglichkeiten realisiert werden. Zur Verfügung stehen hier unter anderem die Federation durch ADFS (Active Directory Federation Services) und die in diesem Kurs angewandte PTA (Pass-Through Authentication) oder PHS (Password Hash Synchronisation). 

Device Registration:
Bevor Geräte über Intune voll verwaltet werden können, sollten diese in Azure Active Directory registrieren (Azure AD Registration). Dabei gibt es folgende drei Methoden: Device Registration, Azure AD Join und Hybrid Azure AD Join. Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Geräte in Intune aufgenommen (enrolled) werden. Es gibt die manuelle und automatische Enrollment Methode. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows. Für das Massenenrollment von Windows Geräten wird Windows Autopilot genutzt.

Device Configuration:
Von Intune verwaltete Geräte können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigtem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows Gerät umgesetzt werden. Ein CSP funktioniert vergleichsweise wie eine CSE (Client Side Extension) bei den Active Directory Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows Geräten können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Eine Migration von bestehenden Gruppenrichtlinien ist bedingt möglich.

Device Security:
Die Einstellungen für die Gerätesicherheit wurde von Microsoft in den Bereich Endpoint Security ausgelagert, um alle Sicherheitseinstellungen zusammenzufassen. Unter Endpoint Security kann unter anderem die Windows Defender Firewall, BitLocker, Credential Guard konfiguriert werden. Über den Profiltyp „Endpoint Detection and Response“ (EDR) kann das Geräte in den „Microsoft Defender for Endpoint“ aufgenommen werden (onboarden), welches eine erweiterte Sicherheitsüberwachung von Geräten bietet.
Darüber hinaus können Security Baselines für Windows Geräte eingesetzt werden.

App Deployment:
Über Intune lassen sich verschieden Applikationstypen für Windows, iOS/iPadOS, MacOS & Android bereitstellen. Allgemein verfügbare Applikationstypen sind Store Apps, Line-of-Business und Web Links (Web Application). Verfügbare Bereitstellungsoptionen sind „Available“, „Required“ und „Uninstall“.
Für Windows Geräte steht zusätzlich der Win32 App Typ zur Verfügung. Mit diesem Typ lassen sich Abhängigkeiten (Dependency) und ersetzende (Supersedence) Bereitstellungen zu anderen Win32 Apps abbilden. Store Apps bei Windows werden über Microsoft Store und WinGet (Windows Package Manager) abgebildet.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Geräts ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativ Updates auf den Windows Geräte zu erstellen. Mit dem neuen Windows Feature Update kann die Version eines Windows Geräte bestimmt werden.
Mit Windows Autopacht lässt sich die Update Verwaltung an Microsoft abgebenden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Devices überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows wird der Zustand des Devices überprüft und so entschieden, ob es „Compliant“ ist. Wenn die zur Verfügung stehenden Policies nicht ausreichend sind, kann eine Custom Compliance Policy erstellt werden.
Das Ergebnis von Device Compliance kann als Bedingung für Azure AD Conditional Access verwendet werden, um den Zugriff auf Unternehmens Ressourcen einzuschränken.

Windows Autopilot Enrollment:
Die empfohlene Variante Geräte in Intune aufzunehmen ist Windows AutoPilot. Dies kann im User-Driven oder Self-Deploying Modus durchgeführt werden. Nach dem Enrollment von Windows Geräten werden auch alle adressierten Applikationen und Konfigurationen auf dem Gerät bereitgestellt, sodass die Windows Geräte für den Endbenutzer einsatzbereit und konfiguriert sind.
Es ist auch möglich über Windows Autopilot den Hybrid Azure AD Join durchzuführen. Die Voraussetzung hierfür ist ein Intune Connector für Active Directory, der im On-Premises AD eingerichtet werden muss. Im Home-Office kann dies mithilfe eines VPN Device Tunnel realisiert werden.
Es kann Windows Autopilot for pre-provisioned (früher White Glove) verwendet werden, um Windows Geräte für den Windows Autopilot vorzubereiten.

Client Monitoring & Log Analytics:
Um Audit Informationen von Intune zentral zu sammeln, um diese auszuwerten, kann ein Log Analytic Workspace (LAW) verwendet werden.
Es ist auch möglich die Intune Geräte durch die Verbindung mit Azure Monitor zu überwachen. Die gelieferten Events werden im Log Analytics Workspace gesammelt und ausgewertet, z. B. um einen Work Flow zu triggern. Für Azure Monitor bzw. Log Analytics wird eine Azure Subscription benötigt!

Azure – AAD-Connect / Hybrid Authentication

  • AAD Connect
  • Synchronization Service Manager
  • Pass-Through Authentication (PTA)
  • Password Hash Synchronization (PHS)
  • Active Directory Federation Services (ADFS)

Azure AD Registration

  • Azure AD Registered (BYOD)
  • Azure AD Joined (CYOD)
  • Hybrid Azure AD Joined

Intune – Device Enrollment

  • Manuelles Enrollment
  • Windows Automatic Enrollment
  • Enrollment device platfrom restrictions
  • Intune Device Actions

Intune – Device Configuration (1)

  • Platform & Profiltypen
  • Richtlininen für Geräte und Benutzer
  • Configuration Service Provider (CSP) vs Group Policy
  • Zuweisungs Filter
  • Group Policy analytics

Intune – Device Configuration (2) Endpoint Security 

  • Antivirus – Windows Defener
  • Disk encryption – BitLocker
  • Account protection – Credential Guard
  • Attack surface reduction (ASR)
  • Tamper protection

Intune – Microsoft Defender for Endpoint

  • Integration in Intune
  • Onboarding von Clients mit Intune
  • MDM Compliance Policy

Intune – Updates

  • Windows Update Ring
  • Verwalten von Update Terminen
  • Feature updates for Windows
  • Quality updates for Windows

Intune – Client Apps

  • Windows Apps (Store for Business)
  • Windows Package Manager (WinGet)
  • *.msi Deployment
  • *.exe Deployment (intunewin)
  • Dependency & Supersedence
  • Deploymenttype: Available, Required, Uninstall

Intune – Microsoft 365 Apps Deployment

  • Office Customization Portal
  • Microsoft 365 App Suite auf Windows
  • Erstellen von Office Policies

Intune – Device Compliance & Conditional Access

  • Compliance Policy Windows
  • Conditional Access auf Microsoft 365 Services (Teams, Exchange Online, usw…)

Intune – Windows Autopilot

  • Automatisches Windows Enrollment
  • Einrichten des Intune Connectors für Active Directory
  • Self- & User-Driven-Deployment (Azure AD Join & Hybrid Azure AD Join)
  • Aufbau eines VPN Device Tunnels während dem Windows Autopilot Prozess
  • Windows Autopilot White Glove Deployment (Pre-Provisioning)

Intune Log Analytics

  • Intune Diagnostics Connection zu Log Analytics
  • Analysieren von Audit Logs
  • Analysieren von Operational Logs (z. B. New Enrollment und Compliance)
  • Device Health
  • Windows Update Solution

Unsere Kursform

Mit Microsoft TEAMS bieten wir hochwertige interaktive Online Kurse an, deren Qualität Präsenzkursen in nichts nachsteht.

Trainer:
Ein bis zwei Trainer plus ein TEAMS-Organisator

Zugangsdaten:
Die Zugangsdaten erhalten Sie Donnerstag bzw. Freitag in der Woche vor Kursbeginn.


Hardwarevoraussetzungen

Zwingend notwendig:

  • 2x Bildschirme (1x für TEAMS und 1x für Übungen) 
  • Stabile Internetverbindung – am besten LAN
  • Um an unseren LiveClass (online) Schulungen teilnehmen zu können, muss Ihrerseits der Zugriff über unser Remote Desktop Gateway (RDP over HTTPS) gewährleistet sein.

Empfehlenswert:

  • Webcam
  • Dritter Bildschirm oder iPAD für die PDF-Dokumentation
  • Headset

Termine

21.05.2024 – 24.05.2024
Online-Live-Class
geschlossen
 
 
 
 
19.12.2023 – 22.12.2023
Online-Live-Class
geschlossen
 
 
 
 
Nach oben scrollen