Azure Intune Enterprise & Office 365

Intensivkurs "Intune für Windows"

Intune für Windows

Device Enrollment & Configuration - Microsoft 365 App Deployment - Compliance Policies - App Protection Policies - Co-Management Config Manager & Intune

Der Fokus dieses Intensivkurses Intune für Windows richtet sich auf den Einsatz von Azure Intune auf Windows 10. Als Live Class Kurs (4-Tage) können wir nur Windows 10 unterrichten und müssen auf die Praxis mit iOS und Android verzichten, können aber das richtige Vogehen mit iOS besprechen. Die Verwaltung von Windows 10 + iOS Geräten wird in dem Intensiv-Präsenzkurs Azure Intune Enterprise (5 Tage) unterrichtet.

Bei der Verwaltung von Windows 10 Clients wird das Verteilen von Microsoft 365 Apps und anderen Applikationen praktiziert. Intune ist in der Lage, die Geräte mit Sicherheitsrichtlinien (Endpoint Security) und Einstellungen zu konfigurieren (Device Configuration). Es können auch App Protection Policies für Windows 10 und iOS genutzt werden, um Unternehmensdaten zu schützen.

Windows 10 kann einzeln oder massenweise durch Windows Autopilot als Azure AD Joined oder Hybrid Azure AD Joined Devices und in Intune (Device Enrollment) aufgenommen werden. Ab Windows 10 1809 bietet Windows Autopilot mit dem Intune Connector für Active Directory die Möglichkeit, Hybrid Azure AD Joined Devices in Intune aufzunehmen.

Umfangreiche Profile Types der Intune Device Configuration, wie z.B. Endpoint Protection, Device Restrictions, Windows Defender for Endpoint etc. ermöglichen eine feine Konfiguration von Windows 10 und iOS Geräten. Mit der Kombination aus Intune Device Compliance und Azure AD Conditional Access kann eine Zugangskontrolle definiert werden, sodass nur "gesunde" Geräte Zugriff auf die Firmenressourcen bekommen. Mit den App Protection Policies kann festgelegt werden, woher Unternehmensdaten auf das Gerät kommen und welche Apps diese dann bearbeiten dürfen.

Mit dem Co-Management ConfigMgr & Intune ist es möglich, On-Premises Endpoint Manager Configuration Manager weiterhin zu betreiben und mit Azure Intune als MDM Lösung zu kombinieren. Durch das Co-Management kann das Management von ConfigMgr auf Intune ausgelagert werden (Workloads). Für die Zusammenarbeit zwischen Intune und dem Configuration Manager empflen wir den Kurs Microsoft Endpoint Manager Hybrid.

Kunden, die noch nicht mit der Azure Cloud arbeiten dürfen, können in diesem Kurs erfahren, welche Vorteile ein cloudbasierter Service wie INTUNE bietet, was mit einem reinen On-Premises ConfigMgr schwer möglich ist. Microsoft setzt alles daran, die On-Premises Dienste & Applikationen (auch Active Directory) durch Azure AD & Co. zu ersetzen.

Wir arbeiten live und interaktiv mit einem unserer Azure Tenants.

ZIELGRUPPE
Das Seminar richtet sich an Configuration Manager Administratoren und Support-Ingenieure, sowie Desktop-Administratoren von Windows 10 Clients.
Erfahrung mit Windows Clients und dem Configuration Manager ist von Vorteil.

DAUER
4 Tage

TERMINE

Live Class - 4 Tage
16.03 - 19.03.2021 Geschlossen
06.07 - 09.07.2021 noch Plätze frei
07.12 - 10.12.2021 noch Plätze frei

Zur Anmeldung

PREIS
3.750,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag:   09:00 - 17:00 Uhr
An Folgetagen:   08:30 - 17:00 Uhr
Am letzten Tag:   08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Device Registration - SSO + Conditional Access
Device Registration - SSO + Conditional Access

Windows Hello für Business - Zertifikat Enrollment mit Intune und NDES
Device Registration - Hybrid Azure AD Joined in Managed Environment (PTA)

AAD Connect - Hybrid Modern Authentication - ADFS - PTA - PHS - Seamless Single Sign-On
Microsoft Azure Active Directory Connect

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Azure Intune behandelt. Über Intune können Geräte mit Windows 10, iOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt (Lock) werden. Intune ist hervorragend geeignet, um andere Azure Cloud Applikationen wie die Micorosf 365 Apps zu verteilen und zu verwalten. Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Micorsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 sind alle Lizenzen enthalten. Die Version Microsoft 365 Business ist nur für kleine Unternehmen gedacht. Seit dem 1. August 2020 ist die Verwaltung von Intune nur noch über das Endpoint Manager Admin Center möglich.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer "Hybrid", d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit AADConnect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Federation zwischen Active Directory und Azure AD. Ein Exchange Benutzerpostfach kann jederzeit in die Azure Cloud umgezogen werden, wobei der Zugriff auf die gemeinsamen Terminkalender möglich ist. Microsoft 365 Apps können für alle Benutzer bzw. Windows 10 Geräte durch Intune angeboten werden. Die Zusammenarbeit zwischen den Mitarbeitern (Collaboration) lässt sich am besten durch sog. Microsoft 365 Groups realisieren, die Benutzer eines Teams und ihre gemeinsamen Ressourcen wie OneDrive for Business, Sharepoint Sites, Chats, Shared Mailboxes, etc. enthält.
» Mehr dazu demnächst in unserem erweiterten Intensivkurs Exchange Hybrid & Teams.

Kursumgebung Hybrid + Intune:
Im Kurs nutzen wir eine hybride Umgebung als Backbone, wobei das On-Premises AD mit Azure AD über Azure AD Connect verbunden wird. Benutzerobjekte und Geräteobjekte werden via AAD Connect von On-Premises AD zu Azure AD synchronisiert. Die Device Write Back Option von AAD Connect ermöglicht das Zurückschreiben eines in Azure AD registrierten Geräts in das On-Premises AD. Die Authentifizierung zwischen dem auf Kerberos basierenden On-Premises AD und dem auf Token basierenden Azure AD kann durch mehrere Möglichkeiten realisiert werden. Zur Verfügung stehen hier unter anderem die Federation durch ADFS (Active Directory Federation Services) und die in diesem Kurs angewandte PTA (Pass-Through Authentication). Windows 10 Clients müssen in Azure AD registriert sein und in Intune "enrolled" werden, um verwaltet werden zu können.

Device Registration:
Bevor Geräte über Intune voll verwaltet werden können, müssen sich diese in Azure Active Directory registrieren (Azure AD Registration). Dabei gibt es folgende drei Methoden: Device Registration (BYOD), Azure AD Join (CYOD) und Hybrid Azure AD Join. Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Geräte in Intune aufgenommen "enrolled" werden. Es gibt die manuelle und automatische Enrollment Methode. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows 10. Für das Massenenrollment von Windows 10 Devices wird das Windows Autopilot Enrollment genutzt. Da es sich bei diesem Kurs um eine Live Class Schulung handelt, ist es leider nicht möglich iOS oder Android Geräte in Intune aufzunehmen.

Device Actions:
Sowohl für Windows 10, als auch iOS und Android Devices können durch Intune verschiedene Aktionen remote durchgeführt werden. Ein Device (iOS, Android, Windows 10) kann durch Wipe auf die Default Configuration zurückgesetzt werden. Dabei können die Benutzerdaten beibehalten oder komplett gelöscht werden. Bei Retire wird das Gerät (iOS, Android, Windows 10) aus dem Intune Management entfernt. Die App Daten, alle Einstellungen durch Intune Policy, E-Mail und andere Profile (VPN, Wi-Fi) werden entfernt, aber die privaten Benutzerdaten bleiben erhalten. Wenn ein Windows 10 Device vom Management durch Intune entfernt wird (Retired), dann verbleibt es weiterhin in Azure AD.

Device Configuration:
Von Intune verwaltete Geräte können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigtem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows 10 Device eingerichtet werden. Ein CSP entspricht einer CSE (Client Side Extension) bei den Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows 10 Client können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Auch iOS Geräte können konfiguriert werden, um z. B. die Kamera eines iPhones zu sperren, dies gilt auch für Android Geräte.
In dem Custom Profil-Typ können alle Einstellmöglichkeiten der CSPs konfiguriert werden.
Der Profil-Typ "Device Restriction" enthält z. B. die Einstellungen: Block Cortana, Disable Camera, Bildschirmschoner, Settings ausblenden.
Im Profil-Typ "Identity Protection" kann z. B. die Einrichtung von Windows Hello for Business für die Authentifizierung eingestellt und forciert werden.
Die Configuration mit je einem Profiltyp muss letztendlich einer Device-Gruppe oder User-Gruppe zugewiesen werden. Ähnlich zu den Group Policies kann es bis zu 8 Stunden dauern bis die Configuration wirkt. Man kann die Synchronisierung zwischen Device und Intune manuell über die Settings App oder das Company Portal anstoßen. In der Setting App kann dann geprüft werden, ob die Einstellungen wirken.

Device Security:
Die Einstellungen für die Gerätesicherheit wurde von Microsoft in das neue Portal (Endpoint Manager Admin Center) unter Endpoint Security ausgelagert, um alle Sicherheitseinstellungen zusammen zufassen.
Unter Endpoint Security kann unter anderem die "Windows Defender Firewall" konfiguriert werden. Diese beinhaltet mehrere Einstellungen zur Windows Defender Firewall, während sich die Kategorie "Windows Encyption" um die Einstellungen für BitLocker kümmert.
Der Profiltyp "Windows Defender for Endpoint" (Advanced Threat Protection) kann den Windows Client in Windows Defender for Endpoint onboarden (aufnehmen), welches einen Windows 10 Client nach Sicheheitslücken durchsucht und überwacht: Health State, Antivirus Status, vulnerable Software, Threat Protection Alerts etc.
Darüber hinaus können Security Baselines wie bei Gruppenrichtlinien für Windows 10 Devices eingesetzt werden.

App Deployment inkl. Microsoft 365 Apps:
Intune kann unterschiedliche Apps (z. B. Microsoft 365 Apps, Desktop App, Windows LoB App, Store Apps etc.) an Windows 10, iOS oder Android Devices verteilen (Available, Required) oder deinstallieren. Ähnlich wie das Software Center vom Configuration Manager können Benutzer über das "Company Portal' oder das "Company Webportal" die "Available" signierten Apps herunterladen und installieren. Pflicht-Apps werden als "Required" markiert und im Hintergrund installiert. Wir lernen im Kurs u.a. auch selbst entwickelte Apps, sog. LoB (Line-Of-Business) Apps zu verteilen.
Die Microsoft 365 Apps für Windows 10 kann als Ganzes oder nur mit den einzelnen Apps wie z. B. Outlook und Word bereitgestellt werden. Weitere Übungen zum Thema App Deployment sind das Verteilen von Store Apps für Windows 10.

Apps können über folgende Methoden für Windows 10 Geräte bereitgestellt werden:

Für Apps können automatische Updates erlaubt werden.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Clients ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativ Updates auf den Windows 10 Clients zu erstellen. Mit dem neuen Windows 10 Feature Update kann die Version eines Windows 10 Clients bestimmt werden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Device überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows 10 wird der Zustand des Device überprüft und so entschieden ob es "Compliant" ist. Das Ergebnis von Device Compliance kann als Bedingung für Conditional Access verwendet werden.

Conditional Access:
Mithilfe von Conditional Access kann anhand bestimmter Bedingungen (Compliance, Claims, Netzwerklokation etc.) der Zugriff auf Unternehmensressourcen geregelt werden.
Dies kann Azure AD Enterprise Applications oder über Azure AD Application Proxy publizierte On-Premises Applikationen festgelegt werden.
In diesem Kurs wird anhand der Device Compliance der Zugriff auf Unternehmensressourcen gesteuert. Dabei sollte ein Gerät einen gewissen Sicherheitsstandard erfüllen, um auf Unternehmensressourcen, wie Exchange Online zugreifen zu dürfen.

Windows AutoPilot Enrollment:
Um sehr viele Geräte auf einmal in Intune aufnehmen zu können (Massenenrollment), wird die Windows Autopilot Funktion genutzt. Dies kann im Self-Deploying oder User-Driven Modus durchgeführt werden. Nach dem Enrollment von Windows Clients werden auch alle adressierten Applikationen und Konfigurationen auf dem Client bereitgestellt, sodass der Windows 10 Client sofort für den Endbenutzer einsatzbereit ist.
Ab Windows 10 1809 ist es möglich über Windows Autopilot den Hybrid Azure AD Join durchzuführen. Die Vorraussetzung hierfür ist ein Intune Connector für Active Directory, der im On-Premises AD eingerichtet werden muss. Somit wird im lokalen Active Directory ein vollwertiges Computer Objekt erzeugt und in Azure AD ein Device Objekt angelegt.
Ab Windows 10 1903 kann der White Glove Modus verwendet werden um Windows 10 Clients für Windows Autopilot vorzubereiten.

Client Monitoring & Log Analytics:
Intune Devices können durch die Verbindung von Intune mit Azure Monitor überwacht werden. Die gelieferten Events werden in Log Analytics gesammelt und ausgewertet, z. B. um einen weiteren Workflow zu triggern. Für Azure Monitor bzw. Log Analytics wird eine Azure Subcription benötigt!

» Dieser Kurs wird durch die Kurse Endpoint Configuration Manager & Microsoft Endpoint Manager Hybrid ergänzt.

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -