Im März 2023 hat Microsoft die Produktfamilie Microsoft Endpoint Manager in Microsoft Intune umbenannt.

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Azure Intune in Zusammenarbeit mit dem Configuration Manager in einer Enterprise Umgebung behandelt.

Über Intune können Geräte mit Windows 10, iOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt (Lock) werden. Die Ausstattung mit Sicherheitseinstellungen (Endpoint Security) kann ohne Probleme auf Intune Geräte verteilt werden. Mit den Compliance Policies kann zusätzlich der Zugriff (Conditional Access) auf Unternehmensressourcen gesteuert werden.

Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Microsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Lizenz Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 sind alle Lizenzen enthalten.

Die meisten Firmen besitzen bereits eine Configuration Manager Umgebung, um Windows 10 und Server zu verwalten. Mit dem Configuration Manager können hoch komplexe Anwendungen an Windows Clients verteilt werden. Auch das Update Management kann flexibel und gezielt mit dem Configuration Manager betrieben werden. Seit das Cloud Management Gateway (CMG) mit der Version 1806 eingeführt wurde, können nun auch Clients, die keinen direkten Kontakt mit dem Intranet besitzen, mit Anwendungen und Updates versorgt werden.

Da beide Produkte, Intune und der Configuration Manager, ihre Vorzüge besitzen, bietet es sich an beide Welten miteinander zu verschmelzen. Dies kann mit dem Co-Management erreicht werden. Mit dem Co-Management vom Configuration Manager können diverse Arbeitsbereiche (Workloads) in Richtung Intune ausgelagert werden. Beispielsweise kann Intune die Bereitstellung von Sicherheitsrichtlinien übernehmen, während die Verteilung von Anwendung weiterhin der Configuration Manager übernimmt. Hierbei ist es egal, wo sich der Windows 10 Client auf der Welt befindet.

Kursumgebung Hybrid + Configuration Manager + Intune:
Im Kurs nutzen wir eine hybride Umgebung als Backbone, wobei das „On-Premises“ AD mit Azure AD über Azure AD Connect bereits verbunden ist. Benutzerobjekte und Geräteobjekte werden via AAD Connect von „On-Premises“ AD zu Azure AD synchronisiert.
Der Configuration Manager ist in diesem Kurs bereits installiert und verwaltet Windows 10 Clients. Diese Windows 10 Clients sollen im Laufe des Kurses zusätzlich von Intune verwaltet werden. Um dies zu erreichen, wird eine Identität in Azure AD benötigt. Wenn ein bestehender Client aus einer „On-Premises“ Domain zusätzlich eine Azure AD Identität erhält, spricht man von Hybrid Azure AD Join.
Neue Windows 10 Clients werden im Kurs direkt in Azure AD aufgenommen. Hierbei spricht man von Azure AD Join. Dennoch sollen auch diese Clients zusätzlich vom Configuration Manager verwaltet werden.

Umstellung auf HTTPS:
Damit die Verbindung zwischen Management Point und den Clients nicht ungeschützt über HTTP läuft, sollte diese auf HTTPS umgestellt werden. Auch die anderen Site System Server, wie der Distribution- und Software Update Point, sollten auf HTTPS umgestellt werden. Die Umstellung auf HTTPS ist besonders wichtig, wenn die Cloud Features oder das BitLocker Management eingesetzt werden. Im Kurs wird das Cloud Management Gateway eingerichtet, welches die Kommunikation über HTTPS voraussetzt. Es kann zwar das Feature Enhanced HTTP (ab 1810) verwendet werden, aber hierbei werden einfach nur selbstsignierte Zertifikate erstellt. Deswegen wird in diesem Kurs die Umstellung auf HTTPS mit Zertifikaten einer Enterprise PKI praktiziert.

Configuration Manager Azure Services:
Mittlerweile ist es möglich, Benutzer und Gruppen aus Azure AD im Configuration Manager zu ermitteln (Discovery). Dadurch können Anwendungen aus dem Configuration Manager auch direkt an reine Azure AD Benutzer adressiert werden.
In Intune können Konfigurationen oder Anwendungen ausschließlich an Azure AD Gruppen adressiert werden. Azure AD Gruppen können zwar dynamisch befüllt werden, aber nicht mit der Flexibilität von Collections im Configuration Manager. Deswegen ist es jetzt möglich, den Inhalt einer bestehenden Collection im Configuration Manager in eine Azure AD Gruppe zu synchronisieren.
Auch die Verwaltung von reinen Configuration Manager Clients über das Intune Portal ist mittlerweile möglich, dabei spielt es keine Rolle, ob es sich um Client oder Server Betriebssysteme handelt.

Configuration Manager Cloud Management Gateway (CMG) (ab 1806):
In diesem Kurs wird das Cloud Management Gateway (CMG) behandelt. Das CMG ermöglicht es, in Azure einen Management Point, Software Update Point und einen Distribution Point (ab Configuration Manager 1806) zu hosten. Diese Site System Komponenten können Configuration Manager Clients, die mit dem Internet verbunden sind, verwalten und mit Content (Software Updates, Applikation und Betriebssystemen) versorgen. In Azure wird hierfür ein Service gemietet, der im Hintergrund auf max.16 VMs verteilt wird. On-Premises muss die Site System Role CMG Connection Point für die Kommunikation mit Azure eingerichtet werden. Die Konfiguration erfolgt ausschließlich im Configuration Manager (On-Premises) und wird über den CMG Connection Point an Azure weitergeleitet, um die Internet Clients, die einen Configuration Manager Agent besitzen, zu verwalten. Seit der Version 2010 kann das CMG als Virtual Machine Scale Set (VMSS) bereitgestellt werden.

Intune Zertifikats Connector:
Wenn im Configuration Manager der Management Point auf HTTPS umgestellt wurde, benötigen alle Clients ein Zertifikat mit dem Zweck „Client Authentication“. Deswegen werden alle Clients mithilfe von Gruppenrichtlinien mit einem Zertifikat versorgt (Auto Enroll). Windows Clients, die aber nur in Azure AD (Azure AD Join) aufgenommen wurden, können keine Zertifikate über Gruppenrichtlinien erhalten.
Durch den Intune Zertifikats Connector kann ein Azure AD Client, durch ein „Device Configuration Profil“ von Intune, ein Zertifikat mit dem Zweck „Client Authentication“ von unserer „On-Premises“ Enterprise PKI erhalten. Genau dieses Vorgehen wird im Kurs praktiziert.

Windows Autopilot:
Die moderne Methode Windows Clients automatisch auszurollen heißt Windows Autopilot. In diesem Kurs wird ein Windows 10 Client mit Autopilot ausgerollt und dabei mit dem Configuration Manager Agent und einem Zertifikat ausgestattet. Der Client wird automatisch in Azure AD aufgenommen und ist über Intune und den Configuration Manager verwaltbar. Über das Co-Management wird anschließend entschieden, wer welche Aufgaben übernimmt.

Application- & Software Update Deployment:
Im Kurs wird auch die Verteilung von Anwendungen und Software Updates über den Cloud Management Gateway behandelt. Dabei kann der Client entweder Azure AD Joined oder Hybrid Azure AD Joined sein.

Co-Management:
Durch das Co-Management können sich der Configuration Manager (On-Premises) und Intune (Cloud) die Aufgaben teilen. Die verschiedenen Arbeitsbereiche (Workloads), wie z. B. Compliance oder Device Configuration, können entweder vom Configuration Manager oder von Intune übernommen werden. Die einzelnen Bereiche können jederzeit zwischen dem Configuration Manager und Intune verschoben werden.