Azure Intune Enterprise & Office 365

Intensivkurs "Intune für Windows"

Intune für Windows

Device Enrollment & Configuration - Microsoft 365 App Deployment - Compliance Policies - App Protection Policies - Co-Management Config Manager & Intune

Der Fokus dieses Intensivkurses Intune für Windows richtet sich auf den Einsatz von Azure Intune auf Windows 10. Als Live Class Kurs (4-Tage) können wir nur Windows 10 unterrichten und müssen auf die Praxis mit iOS und Android verzichten, können aber das richtige Vogehen mit iOS besprechen. Die Verwaltung von Windows 10 + iOS Geräten wird in dem  Intensiv-Präsenzkurs Azure Intune Enterprise (5 Tage) unterrichtet.

Bei der Verwaltung von Windows 10 Clients wird das Verteilen von Microsoft 365 Apps und anderen Applikationen praktiziert. Intune ist in der Lage, die Geräte mit Sicherheitsrichtlinien (Endpoint Security) und Einstellungen zu konfigurieren (Device Configuration). Es können auch App Protection Policies für Windows 10 und iOS genutzt werden, um Unternehmensdaten zu schützen.

Windows 10 kann einzeln oder massenweise durch Windows Autopilot als Azure AD Joined oder Hybrid Azure AD Joined Devices und in Intune (Device Enrollment) aufgenommen werden. Ab Windows 10 1809 bietet Windows Autopilot mit dem Intune Connector für Active Directory die Möglichkeit, Hybrid Azure AD Joined Devices in Intune aufzunehmen.

Umfangreiche Profile Types der Intune Device Configuration, wie z.B. Endpoint Protection, Device Restrictions, Windows Defender ATP etc. ermöglichen eine feine Konfiguration von Windows 10 und iOS Geräten. Mit der Kombination aus Intune Device Compliance und Azure AD Conditional Access kann eine Zugangskontrolle definiert werden, sodass nur "gesunde" Geräte Zugriff auf die Firmenressourcen bekommen. Mit den App Protection Policies kann festgelegt werden, woher Unternehmensdaten auf das Gerät kommen und welche Apps diese dann bearbeiten dürfen.

Mit dem Co-Management ConfigMgr & Intune ist es möglich, On-Premises Endpoint Manager Configuration Manager weiterhin zu betreiben und mit Azure Intune als MDM Lösung zu kombinieren. Durch das Co-Management kann das Management von ConfigMgr auf Intune ausgelagert werden (Workloads).

Kunden, die noch nicht mit der Azure Cloud arbeiten dürfen, können in diesem Kurs erfahren, welche Vorteile ein cloudbasierter Service wie INTUNE bietet, was mit einem reinen On-Premises ConfigMgr schwer möglich ist. Microsoft setzt alles daran, die On-Premises Dienste & Applikationen (auch Active Directory) durch Azure AD & Co. zu ersetzen.

Wir arbeiten live und interaktiv mit einem unserer Azure Tenants.

ZIELGRUPPE
Das Seminar richtet sich an Configuration Manager Administratoren und Support-Ingenieure, sowie Desktop-Administratoren von Windows 10 Clients.
Erfahrung mit Windows Clients und dem Configuration Manager ist von Vorteil.

DAUER
4 Tage

TERMINE

Termine auf Anfrage!

PREIS
3.450,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

LIVE CLASS - SCHULUNGSZEITEN
von 09:00 - 17:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Device Registration - SSO + Conditional Access
Device Registration - SSO + Conditional Access

Windows Hello für Business - Zertifikat Enrollment mit Intune und NDES
Device Registration - Hybrid Azure AD Joined in Managed Environment (PTA)

AAD Connect - Hybrid Modern Authentication - ADFS - PTA - PHS - Seamless Single Sign-On
Microsoft Azure Active Directory Connect

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Azure Intune in Zusammenarbeit mit dem ConfigMgr (Co-Management) behandelt, wobei ConfigMgr nur einen kleinen Teil des Kurses darstellt. Über Intune können Geräte mit Windows 10, aber auch iOS und Android, zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt (Lock) werden. Intune ist hervorragend geeignet, um andere Azure Cloud Applikationen, wie die Microsoft 365 Apps zu verteilen und zu verwalten. Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant reservieren und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Office 365, sowie diverse Security Features, nutzen wollen, bietet sich die Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 sind alle Lizenzen enthalten. Die Version Microsoft 365 Business ist nur für kleine Unternehmen gedacht.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer "Hybrid", d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit AADConnect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Föderation zwischen Active Directory und Azure AD. Ein Exchange Benutzerpostfach kann jederzeit in die Azure Cloud umgezogen werden, wobei der Zugriff auf die gemeinsamen Terminkalender möglich ist. Microsoft 365 Apps können für alle Benutzer bzw. Windows 10 Devices durch Intune angeboten werden. Die Zusammenarbeit zwischen den Mitarbeitern (Collaboration) lässt sich am besten durch sog. Office 365 Groups realisieren, die Benutzer eines Teams und ihre gemeinsamen Ressourcen wie OneDrive for Business, Sharepoint Sites, Chats, Shared Mailboxes, etc. enthält.
» Mehr dazu erfahren Sie in unserem Intensivkurs Exchange Hybrid

Exchange Online ist ein Teil von Office 365 und somit von Microsoft 365.

Kursumgebung Hybrid + Config Manager + Intune:
Im Kurs nutzen wir eine hybride Umgebung als Backbone, wobei das On-Premises AD mit Azure AD über Azure AD Connect verbunden wird. Benutzerobjekte und Geräteobjekte werden via AAD Connect von On-Premises AD zu Azure AD synchronisiert. Die Device Write Back Option von AAD Connect ermöglicht das Zurückschreiben eines in Azure AD registrierten Geräts zurück in das On-Premises AD. Die Authentifizierung zwischen dem auf Kerberos basierenden On-Premises AD und dem auf Token basierenden Azure AD kann durch mehrere Möglichkeiten realisiert werden:
- Federated Authentication  mit ADFS
- Cloud Authentication mit PTA (Pass-Through Authentication) + sSSO (seamless Single Sign-On)
- Cloud Authentication mit PHS (Password Hash Synchronization) + sSSO

Device Registration:
Bevor Devices über Intune verwaltet werden können, müssen sich diese in Azure Active Directory registrieren (Azure AD Registration). Dabei gibt es folgende drei Methoden: Device Registration (BYOD), Azure AD Join (CYOD) und Hybrid Azure AD Join. Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Geräte in Intune aufgenommen "enrolled" werden. Es gibt die manuelle und automatische Enrollment Methode. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows 10. Für das Massenenrollment von Windows 10 Devices wird das Windows Autopilot Enrollment genutzt.

Device Actions:
Sowohl für Windows 10, als auch für iOS und Android Devices können durch Intune verschiedene Aktionen remote durchgeführt werden. Ein Device (iOS, Android, Windows 10) kann durch Wipe auf die Default Configuration zurückgesetzt werden. Dabei können die Benutzerdaten beibehalten oder komplett gelöscht werden. Bei Retire wird das Gerät (iOS, Android, Windows 10) aus dem Intune Management entfernt. Die App Daten, alle Einstellungen durch Intune Policy, E-Mail und andere Profile (VPN, Wi-Fi) werden entfernt, aber die privaten Benutzerdaten bleiben erhalten. Wenn ein Windows 10 Device vom Management durch Intune entfernt wird (Retired), dann verbleibt es weiterhin in Azure AD.

Device Configuration:
Von Intune verwaltete Devices können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows 10 Device eingerichtet werden. Ein CSP entspricht einer CSE (Client Side Extension) bei den Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows 10 Client können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Auch iOS Geräte können konfiguriert werden, um z. B. die Kamera eines iPhones zu sperren.
In dem Custom Profile-Type können alle Einstellmöglichkeiten der CSPs konfiguriert werden.
Der Profil-Typ "Device Restriction" enthält z. B. Einstellungen: Block Cortana, Disable Camera, Bildschirmschoner, Settings ausblenden.
Im Profil-Typ "Identity Protection" kann z. B. die Einrichtung von Windows Hello for Business für die Authentifizierung eingestellt und forciert werden.
Die Konfiguration mit je einem Profiltyp muss letztendlich einer Device-Gruppe oder User-Gruppe zugewiesen werden. Ähnlich zu den Group Policies kann es bis zu 8 Stunden dauern bis die Konfiguration wirkt. Man kann die Synchronisierung zwischen Device und Intune manuell über die Settings App oder das Company Portal anstoßen. In der Setting App kann dann geprüft werden, ob die Einstellungen wirken.

Endpoint Security:
Es gibt ein paar spezielle Profiltypen von der Device Configuration für die Gerätesicherheit.
Der Profiltyp "Endpoint Protection" enthält mehrere Kategorien, darunter "Windows Defender Firewall". Diese beinhaltet mehrere Einstellungen zur Windows Defender Firewall, während sich die Kategorie "Windows Encryption" um die Einstellungen für BitLocker kümmert.
Der Profiltyp "Windows Defender ATP" (Advanced Threat Protection) kann den Windows Client in Windows Defender ATP onboarden (aufnehmen), welches einen Windows 10 Client nach Sicheheitslücken durchsucht und überwacht: Health State, Antivirus State, vulnerable Software, Threat Protection Alerts etc.
Darüber hinaus können Security Baselines, wie bei Gruppenrichtlinien, für Windows 10 Devices eingesetzt werden.

App Deployment inkl. Microsft 365 Apps:
Intune kann unterschiedliche Apps (z. B. Microsoft 365 Apps, Desktop Apps, Windows LoB Apps, Store Apps etc.) an Windows 10, iOS oder Android Devices verteilen (Available, Required) oder deinstallieren. Ähnlich wie das Software Center vom ConfigMgr können Benutzer über das "Company Portal" oder das "Company Webportal" die als "Available" verteilten Apps herunterladen und installieren. Pflicht-Apps werden als "Required" markiert und im Hintergrund installiert. Wir lernen im Kurs u.a. auch selbst entwickelte Apps, sog. LoB (Line-Of-Business) Apps zu verteilen.
Die Microsoft 365 Apps für Windows 10 können als Ganzes oder nur mit den einzelnen Apps, wie z. B. Outlook und Word, bereitgestellt werden. Weitere Übungen zum Thema App Deployment beinhalten das Verteilen von Store Apps für Windows 10. Damit ein App Deployment für iOS Devices aus dem App Store möglich ist, wird vorher ein Apple MDM Push Zertifikat benötigt. Apps aus dem Microsoft Store können dagegen ohne weiteres von einem Tenant Global Administrator in den Business Store (Private Store) geladen und an Benutzer, die ein Azure AD Account besitzen, verteilt werden.

Apps für Windows 10 Geräte können über folgende Methoden bereitgestellt werden:

Für Apps können automatische Updates erlaubt werden.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Clients ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativen Updates auf den Windows 10 Clients zu erstellen.
Nur für "supervised" iOS Devices kann ein minimaler Update Stand vorausgesetzt werden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Gerätes überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows 10 wird der Zustand des Gerätes überprüft und so entschieden, ob es "Compliant" ist. Bei iOS wird der Zustand überprüft und, falls dieser abweichend ist, korrigiert. Das Ergebnis von Device Compliance kann als Bedingung für Conditional Access verwendet werden.

Conditional Access:
Mithilfe von Conditional Access kann anhand bestimmter Bedingungen (Compliance, Claims, Netzwerklokation etc.) der Zugriff auf Unternehmensressourcen geregelt werden. Diese Zugriffskontrolle kann für Azure AD Enterprise Applications oder über Azure AD Application Proxy publizierte On-Premises Applikationen festgelegt werden.
In diesem Kurs wird anhand der Device Compliance der Zugriff auf Unternehmensressourcen gesteuert. Dabei sollte ein Gerät einen gewissen Sicherheitsstandard erfüllen, um auf Unternehmensressourcen, wie z.B. Exchange Online, zugreifen zu dürfen.

Company Data Protection durch App Protection Policies:
Sowohl Intune als auch der Configuration Manager können für MAM (Mobile Application Management) verwendet werden. Dies bietet die Möglichkeit, Unternehmensdaten auf mobilen Geräten zu schützen. Auf einem Windows 10 Device wird WIP (Windows Information Protection) genutzt. Durch diese wird die Bearbeitung von Unternehmensdaten nur durch Protected Apps erlaubt. Außerdem können ungewünschte Kopiervorgänge blockiert werden, um so das versehentliche Veröffentlichen von Unternehmensdaten (Data Leak) zu verhindern. Des Weiteren werden die Daten mit einem EFS (Encrypted File System) Zertifikat des Benutzers verschlüsselt. Es sollte daher ein DRA (Data Recovery Agent) eingerichtet werden, um im Notfall die Unternehmensdaten auch ohne den Private Key des EFS-Zertfikats wiederherstellen zu können. App Protection Policies sind auch für iOS und Android Geräte verfügbar.

Windows AutoPilot Enrollment:
Um sehr viele Geräte auf einmal in Intune aufnehmen zu können (Massenenrollment), wird die Windows Autopilot Funktion genutzt. Dies kann im Self-Deploying oder im User-Driven Modus durchgeführt werden. Nach dem Enrollment von Windows Clients werden auch alle adressierten Applikationen und Konfigurationen auf dem Client bereitgestellt, sodass der Windows 10 Client sofort für den Endbenutzer einsatzbereit ist.
Ab Windows 10 1809 ist es möglich, über Windows Autopilot den Hybrid Azure AD Join durchzuführen. Die Vorraussetzung hierfür ist ein Intune Connector für Active Directory, der im On-Premises AD eingerichtet werden muss. Somit wird im lokalen Active Directory und in Azure AD ein Computerobjekt erzeugt.
Ab Windows 10 1903 kann der White Glove Modus verwendet werden, um Windows 10 Clients für Windows Autopilot vorzubereiten.

Windows Defender ATP:
Microsoft Defender Advanced Threat Protection (ATP) ist Teil der Endpoint Security Solution. Sie bildet eine der fünf Säulen von Microsoft Threat Protection.
- Microsoft Identity Protection
- MIcrosoft Threat Protection         > ATP
- Microsoft Information Protection

Bei Microsoft Defender ATP handelt es sich nicht um einen Virenschutz, sondern um eine Überwachungslösung für Bedrohungen. Windows Clients werden mit Windows Defender ATP überwacht um bedroliches verhalten zu erkennen und um sofot Maßnahmen einzuleiten. Im Kurs wird die Verwendung und Funktionsweise von Windows Defender ATP mit der Kombination von Intune unterrichtet.

Configuration Manager & Intune Co-Management:
Durch das Co-Management können ConfigMgr (On-Premises) und Intune (Cloud) parallel betrieben werden. Die verschiedenen Abreitsbereiche (Workloads), wie z. B. Compliance oder Applikations-Deployment, können entweder vom ConfigMgr oder von Intune übernommen werden. Die einzelnen Bereiche können jederzeit zwischen dem Configuration Manager und Intune verschoben werden. Somit kann auch eine Migration zwischen dem Configuration Manager (On-Premises) und Intune (Cloud) Schritt für Schritt erfolgen.

Client Monitoring & Log Analytics:
Intune Devices können durch die Verbindung von Intune mit Azure Monitor überwacht werden. Die gelieferten Events werden in Log Analytics gesammelt und ausgewertet, um z. B. einen weiteren Workflow zu triggern. Für Azure Monitor bzw. Log Analytics wird eine Azure Subcription benötigt.

» Dieser Kurs wird durch den Kurs Endpoint Configuration Manager ergänzt.

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -