Azure Intune Enterprise & Office 365

Intensivkurs "Intune für Windows"

Intune für Windows

Device Enrollment & Configuration - Microsoft 365 App Deployment - Compliance Policies - Windows Autopilot

Der Fokus dieses Intensivkurses Intune für Windows richtet sich auf den Einsatz von Azure Intune auf Windows 10. Als Live Class Kurs (4-Tage) können wir nur Windows 10 unterrichten und müssen auf die Praxis mit iOS und Android verzichten, können aber das richtige Vogehen mit iOS besprechen. Die Verwaltung von Windows 10 und iOS Geräten wird in dem Intensiv-Präsenzkurs Intune für Enterprise (5 Tage) unterrichtet.

Bei der Verwaltung von Windows 10 Clients wird das Verteilen von Microsoft 365 Apps und anderen Applikationen praktiziert. Intune ist in der Lage, die Geräte mit Sicherheitsrichtlinien (Endpoint Security) und Einstellungen zu konfigurieren (Device Configuration). Es können auch App Protection Policies für Windows 10 und iOS genutzt werden, um Unternehmensdaten zu schützen.

Windows 10 Geräte können einzeln oder massenweise durch Windows Autopilot als Azure AD Joined oder Hybrid Azure AD Joined Devices ausgerollt werden. Zusätzlich können sie in Intune (Device Enrollment) aufgenommen werden. Um Hybrid Azure AD Joined Devices in Intune aufnehmen zu können, wird der Intune Connector für Active Directory benötigt.

Umfangreiche Profile Types der Intune Device Configuration, wie z.B. Endpoint Protection, Device Restrictions, Windows Defender for Endpoint etc. ermöglichen eine feine Konfiguration von Windows 10 und iOS Geräten. Mit der Kombination aus Intune Device Compliance und Azure AD Conditional Access kann eine Zugangskontrolle definiert werden, sodass nur "gesunde" Geräte Zugriff auf die Firmenressourcen bekommen. Mit den App Protection Policies kann festgelegt werden, woher Unternehmensdaten auf das Gerät kommen und welche Apps diese dann bearbeiten dürfen.

Mit dem Co-Management Configuration Manager & Intune ist es möglich, On-Premises Configuration Manager (früher SCCM) weiterhin zu betreiben und mit Azure Intune als MDM Lösung zu kombinieren. Durch das Co-Management kann das Management vom Config Manager auf Intune ausgelagert werden (Workloads). Mit dem neuen Feature "Cloud Attach" können Configuration Manager Clients über das Endpoint Manager Portal verwaltet werden. Für die Zusammenarbeit zwischen Intune und dem Configuration Manager empfehlen wir den Kurs Endpoint Manager Hybrid.

Kunden, die noch nicht mit der Azure Cloud arbeiten dürfen, können in diesem Kurs erfahren, welche Vorteile ein cloudbasierter Service wie INTUNE bietet, was mit einem reinen On-Premises ConfigMgr schwer möglich ist.

Wir arbeiten live und interaktiv mit einem unserer Azure Tenants.

ZIELGRUPPE
Das Seminar richtet sich an Configuration Manager Administratoren und Support-Ingenieure, sowie Desktop-Administratoren von Windows 10 Clients.
Erfahrung mit Windows Clients und dem Configuration Manager ist von Vorteil.

DAUER
4 Tage

TERMINE

Live Class - 4 Tage
16.03 - 19.03.2021 Geschlossen
06.07 - 09.07.2021 Geschlossen
15.02 - 18.02.2022 noch Plätze frei

Zur Anmeldung

PREIS
3.750,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag:   09:00 - 17:00 Uhr
An Folgetagen:   08:30 - 17:00 Uhr
Am letzten Tag:   08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Device Registration - SSO + Conditional Access
Device Registration - SSO + Conditional Access

Windows Hello für Business - Zertifikat Enrollment mit Intune und NDES
Device Registration - Hybrid Azure AD Joined in Managed Environment (PTA)

AAD Connect - Hybrid Modern Authentication - ADFS - PTA - PHS - Seamless Single Sign-On
Microsoft Azure Active Directory Connect

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Azure Intune behandelt. Über Intune können Geräte mit Windows 10, iOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt (Lock) werden. Intune ist hervorragend geeignet, um andere Azure Cloud Applikationen wie die Microsoft 365 Apps zu verteilen und zu verwalten. Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Micorsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 sind alle Lizenzen enthalten. Die Version Microsoft 365 Business ist nur für kleine Unternehmen gedacht. Seit dem 1. August 2020 ist die Verwaltung von Intune nur noch über das Endpoint Manager Admin Center möglich.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer "Hybrid", d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit AADConnect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Federation zwischen Active Directory und Azure AD. Ein Exchange Benutzerpostfach kann jederzeit in die Azure Cloud umgezogen werden, wobei der Zugriff auf die gemeinsamen Terminkalender möglich ist. Microsoft 365 Apps können für alle Benutzer bzw. Windows 10 Geräte durch Intune angeboten werden. Die Zusammenarbeit zwischen den Mitarbeitern (Collaboration) lässt sich am besten durch sog. Microsoft 365 Groups realisieren, die Benutzer eines Teams und ihre gemeinsamen Ressourcen wie OneDrive for Business, Sharepoint Sites, Chats, Shared Mailboxes, etc. enthält.
» Mehr dazu demnächst in unserem erweiterten Intensivkurs Exchange Hybrid & Teams.

Kursumgebung Hybrid + Intune:
Im Kurs nutzen wir eine hybride Umgebung als Backbone, wobei das On-Premises AD mit Azure AD über Azure AD Connect verbunden wird. Benutzerobjekte und Geräteobjekte werden via AAD Connect von On-Premises AD zu Azure AD synchronisiert. Die Device Write Back Option von AAD Connect ermöglicht das Zurückschreiben eines in Azure AD registrierten Geräts in das On-Premises AD. Die Authentifizierung zwischen dem auf Kerberos basierenden On-Premises AD und dem auf Token basierenden Azure AD kann durch mehrere Möglichkeiten realisiert werden. Zur Verfügung stehen hier unter anderem die Federation durch ADFS (Active Directory Federation Services) und die in diesem Kurs angewandte PTA (Pass-Through Authentication). Windows 10 Clients müssen in Azure AD registriert sein und in Intune "enrolled" werden, um verwaltet werden zu können.

Device Registration:
Bevor Geräte über Intune voll verwaltet werden können, müssen sich diese in Azure Active Directory registrieren (Azure AD Registration). Dabei gibt es folgende drei Methoden: Device Registration (BYOD), Azure AD Join (CYOD) und Hybrid Azure AD Join. Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Geräte in Intune aufgenommen (enrolled) werden. Es gibt die manuelle und automatische Enrollment Methode. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows 10. Für das Massenenrollment von Windows 10 Devices wird Windows Autopilot genutzt. Da es sich bei diesem Kurs um eine Live Class Schulung handelt, ist es leider nicht möglich iOS oder Android Geräte in Intune aufzunehmen.

Device Configuration:
Von Intune verwaltete Geräte können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigtem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows 10 Device eingerichtet werden. Ein CSP entspricht einer CSE (Client Side Extension) bei den Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows 10 Client können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Auch iOS Geräte können konfiguriert werden, um z. B. die Kamera eines iPhones zu sperren, dies gilt auch für Android Geräte.

Device Security:
Die Einstellungen für die Gerätesicherheit wurde von Microsoft in das neue Portal (Endpoint Manager Admin Center) unter Endpoint Security ausgelagert, um alle Sicherheitseinstellungen zusammen zufassen.
Unter Endpoint Security kann unter anderem die "Windows Defender Firewall" konfiguriert werden. Diese beinhaltet mehrere Einstellungen zur Windows Firewall, während sich die Kategorie "Windows Encryption" um die Einstellungen für BitLocker kümmert.
Der Profiltyp "Windows Defender for Endpoint" (Advanced Threat Protection) kann den Windows Client in Windows Defender for Endpoint onboarden (aufnehmen), welches einen Windows 10 Client nach Sicherheitslücken durchsucht und überwacht: Health State, Antivirus Status, vulnerable Software, Threat Protection Alerts etc.
Darüber hinaus können Security Baselines für Windows 10 Devices eingesetzt werden.

App Deployment inkl. Microsoft 365 Apps:
Intune kann unterschiedliche Apps (z. B. Microsoft 365 Apps, Desktop App, Windows LoB App, Store Apps etc.) an Windows 10, iOS oder Android Devices verteilen (Available, Required) oder deinstallieren. Ähnlich wie das Software Center vom Configuration Manager können Benutzer über das "Company Portal' oder das "Company Webportal" die "Available" signierten Apps herunterladen und installieren. Pflicht-Apps werden als "Required" markiert und im Hintergrund installiert. Wir lernen im Kurs u.a. auch selbst entwickelte Apps, sog. LoB (Line-Of-Business) Apps zu verteilen.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Clients ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativ Updates auf den Windows 10 Clients zu erstellen. Mit dem neuen Windows 10 Feature Update kann die Version eines Windows 10 Clients bestimmt werden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Devices überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows 10 wird der Zustand des Devices überprüft und so entschieden, ob es "Compliant" ist. Das Ergebnis von Device Compliance kann als Bedingung für Conditional Access verwendet werden.

Conditional Access:
Mithilfe von Conditional Access kann anhand bestimmter Bedingungen (Compliance, Claims, Netzwerklokation etc.) der Zugriff auf Unternehmensressourcen geregelt werden.
Dies kann über Azure AD Enterprise Applications oder über von einem Azure AD Application Proxy publizierte On-Premises Applikationen festgelegt werden.
In diesem Kurs wird anhand der Device Compliance der Zugriff auf Unternehmensressourcen gesteuert. Dabei sollte ein Gerät einen gewissen Sicherheitsstandard erfüllen, um auf Unternehmensressourcen, wie z.B. Exchange Online, zugreifen zu dürfen.

Windows Autopilot Enrollment:
Um sehr viele Geräte auf einmal in Intune aufnehmen zu können (Massenenrollment), wird die Windows Autopilot Funktion genutzt. Dies kann im Self-Deploying oder User-Driven Modus durchgeführt werden. Nach dem Enrollment von Windows Clients werden auch alle adressierten Applikationen und Konfigurationen auf dem Client bereitgestellt, sodass der Windows 10 Client sofort für den Endbenutzer einsatzbereit ist.
Ab Windows 10 1809 ist es möglich über Windows Autopilot den Hybrid Azure AD Join durchzuführen. Die Voraussetzung hierfür ist ein Intune Connector für Active Directory, der im On-Premises AD eingerichtet werden muss.
Ab Windows 10 1903 kann der White Glove Modus verwendet werden um Windows 10 Clients für Windows Autopilot vorzubereiten.

Client Monitoring & Log Analytics:
Intune Devices können durch die Verbindung von Intune mit Azure Monitor überwacht werden. Die gelieferten Events werden in Log Analytics gesammelt und ausgewertet, z. B. um einen weiteren Workflow zu triggern. Für Azure Monitor bzw. Log Analytics wird eine Azure Subscription benötigt!

» Dieser Kurs wird durch die Kurse Endpoint Configuration Manager & Microsoft Endpoint Manager Hybrid ergänzt.

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -