Azure Intune Enterprise & Office 365

Intensivkurs INTUNE - Level 4/5

Azure Intune Enterprise

Device Enrollment & Configuration - Office 365 Deployment - Compliance Policy - App Protection Policies - Co-Management SCCM & Intune

Der Fokus dieses Intensivkurses richtet sich auf den Einsatz von Azure Intune, um Windows 10 und iOS Geräte mit Software wie Office 365 und anderen Applikationen zu versorgen und diese zu aktualisieren. Intune ist in der Lage, die Geräte mit Sicherheitsrichtlinien und Einstellungen zu konfigurieren (Device Configuration). Es können auch App Protection Policies für Windows 10 und iOS genutzt werden um Unternehmensdaten zu schützen.

Windows 10 kann einzeln oder massenweise durch Windows Autopilot in Azure AD (Azure AD Joined oder Hybrid Azure AD Joined) und Intune (Device Enrollment) aufgenommen werden. Ab Windows 10 1809 bietet Windows Autopilot mit dem Intune Connector für Active Directory die Möglichkeit Hybrid Azure AD Joined Devices in Intune aufzunehmen.

Umfangreiche Profil Types der Intune Device Configuration wie z.B. Endpoint Protection, Device Restrictions, Windows Defender ATP etc. ermöglichen eine feine Konfiguration von Windows 10 und iOS Geräten. Mit der Kombination aus Intune Device Compliance und Azure AD Conditional Access kann eine Zugangskontrolle definiert werden, sodass nur "gesunde" Geräte Zugriff auf die Firmenressourcen bekommen. Mit den App Protection Policies kann festgelegt werden woher Unternehmensdaten auf das Gerät kommen und welche Apps diese dann bearbeiten dürfen.

Mit dem Co-Management SCCM & Intune ist es möglich, On-Premises SCCM (System Center Configuration Manager) weiterhin zu betreiben und mit Azure Intune als MDM Lösung zu kombinieren. Durch das Co-Management kann das Management von SCCM auf Intune ausgelagert werden (Workloads).

Kunden, die noch nicht mit der Azure Cloud arbeiten dürfen, können in diesem Kurs erfahren, welche Vorteile ein cloudbasierter Service wie INTUNE bietet, was mit einem reinen On-Premises SCCM schwer möglich ist. Microsoft setzt alles daran die On-Premises Dienste & Applikationen (auch Active Directory) durch Azure AD & Co. zu ersetzen. SCCM wird auch über kurz oder lang "deprecated" sein und durch INTUNE ersetzt werden.

Wir arbeiten live mit einem unserer Azure Tenants. Im Kurs werden Windows 10 Clients und supervised iPads genutzt.

ZIELGRUPPE
Das Seminar richtet sich an SCCM-Administratoren und Support-Ingenieure sowie Desktop-Administratoren von Windows 10 Clients und iOS Geräten (iPhone, iPad).
Erfahrung mit Windows Clients, iOS sowie SCCM ist von Vorteil.

NIVEAU
Level 4-5 — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

22.10 - 25.10.2019 ausgebucht
20.01 - 24.01.2020 noch Plätze frei
23.03 - 27.03.2020 noch Plätze frei
25.05 - 29.05.2020 noch Plätze frei
13.07 - 17.07.2020 noch Plätze frei

Zur Anmeldung

PREIS
4.250,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Device Registration - SSO + Conditional Access
Device Registration - SSO + Conditional Access

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Azure Intune in Zusammenarbeit mit SCCM ab 1710 (Co-Management) behandelt, wobei SCCM nur einen sehr kleinen Teil des Kurses darstellt. Über Intune können Geräte mit Windows 10, iOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt (Lock) werden. Intune ist hervorragend geeignet, um andere Azure Cloud Applikationen wie die Office 365 Suite zu verteilen und zu verwalten. Damit Intune genutzt werden kann, muss das Unternehmen einen Azure AD Tenant reservieren und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Office 365 sowie diverse Security Features nutzen wollen, bietet sich die Microsoft 365 E3 oder noch besser Microsoft 365 E5 an. In der Microsoft 365 E5 sind alle Lizenzen enthalten. Die Version Microsoft 365 Business ist nur für kleine Unternehmen gedacht.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer "Hybrid", d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit AADConnect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Federation zwischen Active Directory und Azure AD. Ein Exchange Benutzerpostfach kann jederzeit in die Azure Cloud umgezogen werden, wobei der Zugriff auf die gemeinsamen Terminkalender möglich ist. Office 365 kann für alle Benutzer bzw. Windows 10 Devices durch Intune angeboten werden. Die Zusammenarbeit zwischen den Mitarbeitern (Collaboration) lässt sich am besten durch sog. Office 365 Groups realisieren, die Benutzer eines Teams und ihre gemeinsamen Ressourcen wie OneDrive for Business, Sharepoint Sites, Chats, Shared Mailboxes, etc. enthält.
» Mehr dazu demnächst in unserem erweiterten Intensivkurs Exchange Hybrid & Teams.

Exchange Online ist ein Teil von Office 365 und somit von Microsoft 365.

Kursumgebung Hybrid + SCCM + Intune:
Im Kurs nutzen wir eine hybride Umgebung als Backbone, wobei das On-Premises AD mit Azure AD über Azure AD Connect verbunden wird. Benutzerobjekte und Geräteobjekte werden via AAD Connect von On-Premises AD zu Azure AD synchronisiert. Die Device Write Back Option von AAD Connect ermöglicht das Zurückschreiben eines in Azure AD registrierten Geräts zurück in On-Premises AD. Die Authentifizierung zwischen dem auf Kerberos basierenden On-Premises AD und dem auf Token basierenden Azure AD kann durch mehrere Möglichkeiten realisiert werden. Zur Verfügung stehen hier unter anderem die Federation durch ADFS (Active Directory Federation Services) und die in diesem Kurs angewandte PTA (Pass-Through Authentication). Windows 10 Clients müssen in Azure AD registriert sein und in Intune "enrolled" werden, um verwaltet werden zu können. Auch die Verwaltung von iPads wird im Kurs praktiziert.

Device Registration:
Bevor Devices über Intune verwaltet werden können, müssen sich diese in Azure Active Directory registrieren (Azure AD Registration). Dabei gibt es die drei Methoden: Device Registration (BYOD), Azure AD Join (CYOD) und Hybrid Azure AD Join. Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Geräte in Intune aufgenommen "enrolled" werden. Es gibt die manuelle und automatische Enrollment Methode. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows 10. Für das Massenenrollment von Windows 10 Devices wird das Windows Autopilot Enrollment genutzt.
Bevor iOS Devices von Intune verwaltet werden können, muss ein Apple MDM Push Zertifikat angefordert werden. Durch das Zertifikat kann Intune erst mit Apple Geräten kommunizieren. Die Verwaltung von iOS in Intune muss noch durch die "Enrollment Restriction" erlaubt werden.
Auf dem iOS Gerät kann das manuelle Enrollment über die Unternehmensportal App aus dem App Store durchgeführt werden. Automatisiert kann dies über den Apple Business Manager (ehemals Device Enrollment Program) gemacht weden. Dabei müssen die Geräte den Status "Supervised" haben und über ein Token in Intune hinzugefügt werden. Dadurch können die Geräte automatisch bei der Ersteinrichtung in das Intune MDM überführt werden.

Device Actions:
Sowohl für Windows 10, als auch iOS und Android Devices können durch Intune verschiedene Aktionen remote durchgeführt werden. Ein Device (iOS, Android, Windows 10) kann durch Wipe auf die Default Configuration zurückgesetzt werden. Dabei können die Benutzerdaten beibehalten oder komplett gelöscht werden. Bei Retire wird das Gerät (iOS, Android, Windows 10) aus dem Intune Management entfernt. Die App Daten, alle Einstellungen durch Intune Policy, E-Mail und andere Profile (VPN, Wi-Fi) werden entfernt, aber die privaten Benutzerdaten bleiben erhalten. Wenn ein Windows 10 Device vom Management durch Intune entfernt wird (Retired), dann verbleibt es weiterhin in Azure AD.

Device Configuration:
Von Intune verwaltete Devices können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows 10 Device eingerichtet werden. Ein CSP entspricht einer CSE (Client Side Extension) bei den Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows 10 Client können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Auch iOS Geräte können konfiguriert werden, um z. B. die Kamera eines iPhones zu sperren.
In dem Custom Profil-Typ können alle Einstellmöglichkeiten der CSPs konfiguriert werden.
Der Profil-Typ "Device Restriction" enthält z. B. die Einstellungen: Block Cortana, Disable Camera, Bildschirmschoner, Settings ausblenden.
Im Profil-Typ "Identity Protection" kann z. B. die Einrichtung von Windows Hello for Business für die Authentifizierung eingestellt und forciert werden.
Die Configuration mit je einem Profiltyp muss letztendlich einer Device-Gruppe oder User-Gruppe zugewiesen werden. Ähnlich zu den Group Policies kann es bis zu 8 Stunden dauern bis die Configuration wirkt. Man kann die Synchronisierung zwischen Device und Intune manuell über die Settings App oder das Company Portal anstoßen. In der Setting App kann dann geprüft werden, ob die Einstellungen wirken.

Device Security:
Es gibt ein paar spezielle Profiletypen von der Device Configuration für die Gerätesicherheit.
Der Profiltyp "Endpoint Protection" enthält mehrere Kategorien, darunter "Windows Defender Firewall". Diese beinhaltet mehrere Einstellungen zur Windows Defender Firewall, während sich die Kategorie "Windows Encyption" um die Einstellungen für BitLocker kümmert.
Der Profiltyp "Windows Defender ATP" (Advanced Threat Protection) kann den Windows Client in Windows Defender ATP onboarden (aufnehmen), welches einen Windows 10 Client nach Sicheheitslücken durchsucht und überwacht: Health State, Antivirus Status, vulnerable Software, Threat Protection Alerts etc.
Darüber hinaus können Security Baselines wie bei Gruppenrichtlinien für Windows 10 Devices eingesetzt werden.

App Deployment inkl. Office 365 Suite:
Intune kann unterschiedliche Apps (z. B. Office 365, Desktop App, Windows LoB App, Store Apps etc.) an Windows 10, iOS oder Android Devices verteilen (Available, Required) oder deinstallieren. Ähnlich wie das Software Center von SCCM können Benutzer über das "Company Portal' oder das "Company Webportal" die "Available" signierten Apps herunterladen und installieren. Pflicht-Apps werden als "Required" markiert und im Hintergrund installiert. Wir lernen im Kurs u.a. auch selbst entwickelte Apps, sog. LoB (Line-Of-Business) Apps zu verteilen.
Die Office 365 Suite für Windows 10 kann als Ganzes oder nur mit den einzelnen Apps wie z. B. Outlook und Word bereitgestellt werden. Weitere Übungen zum Thema App Deployment sind das Verteilen von Store Apps für Windows 10 und iOS. Damit ein App Deployment für iOS Devices aus dem App Store möglich ist, wird vorher ein Apple MDM Push Zertifikat benötigt. Apps aus dem Microsoft Store können dagegen ohne weiteres von einem Tenant Global Administrator in den Business Store (private store) geladen und an Benutzer, die ein Azure AD Account besitzen, verteilt werden.

Apps können über folgende Methoden für Windows 10 Geräte bereitgestellt werden:

Für Apps können automatische Updates erlaubt werden.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Clients ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativ Updates auf den Windows 10 Clients zu erstellen.
Nur für "supervised" iOS Devices kann ein minimaler Update Stand vorausgesetzt werden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Device überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows 10 wird der Zustand des Device überprüft und so entschieden ob es "Compliant" ist. Bei iOS wird der Zustand überprüft und, falls dieser abweichend ist, korrigiert. Das Ergebnis von Device Compliance kann als Bedingung für Conditional Access verwendet werden.

Conditional Access
Mithilfe von Conditional Access kann anhand bestimmter Bedingungen (Compliance, Claims, Netzwerklokation etc.) der Zugriff auf Unternehmensressourcen geregelt werden.
Dies kann Azure AD Enterprise Applications oder über Azure AD Application Proxy publizierte On-Premises Applikationen festgelegt werden.
In diesem Kurs wird anhand der Device Compliance der Zugriff auf Unternehmensressourcen gesteuert. Dabei sollte ein Gerät einen gewissen Sicherheitsstandard erfüllen, um auf Unternehmensressourcen, wie Exchange Online zugreifen zu dürfen.

Company Data Protection durch App Protection Policies:
Sowohl Intune als auch SCCM können für MAM (Mobile Application Management) verwendet werden. Dies bietet die Möglichkeit, Unternehmensdaten auf Mobilen Geräten zu schützen. Auf einem Windows 10 Device wird WIP (Windows Information Protection) genutzt. Über das MAM Tool wird eine App Protection Policy auf die Geräte angewandt. Durch diese wird die Bearbeitung von Unternehmensdaten nur durch Protected Apps erlaubt. Außerdem können ungewünschte Kopiervorgängen blockiert werden. Des Weiteren werden die Daten mit einem EFS (Encrypted File System) Zertifikat des Benutzers verschlüsselt. Es kann ein DRA (Data Recovery Agent) eingerichtet werden. Dadurch können Unternehmensdaten ohne den Private Key des EFS-Zertfikats wiederhergestellt werden.
App Protection Policies sind auch für iOS und Android Geräte verfügbar.

Windows AutoPilot Enrollment:
Um sehr viele Geräte auf einmal in Intune aufnehmen zu können (Massenenrollment), wird die Windows Autopilot Funktion genutzt. Dies kann im Self-Deploying oder User-Driven Modus durchgeführt werden. Nach dem Enrollment von Windows Clients werden auch alle adressierten Applikationen und Konfigurationen auf dem Client bereitgestellt, sodass der Windows 10 Client sofort für den Endbenutzer einsatzbereit ist.
Ab Windows 10 1809 ist es möglich über Windows Autopilot den Hybrid Azure AD Join durchzuführen. Die Vorraussetzung hierfür ist ein Intune Connector für Active Directory, der im On-Premises AD eingerichtet werden muss. Somit wird im lokalen Active Directory ein vollwertiges Computer Objekt erzeugt und in Azure AD ein Device Objekt angelegt.
Ab Windows 10 1903 kann der White Glove Modus verwendet werden um Windows 10 Clients für Windows Autopilot vorzubereiten.

SCCM & Intune Co-Management:
Durch das Co-Management können SCCM (On-Premises) und Intune (Cloud) parallel betrieben werden. Die verschiedenen Abreitsbereiche (Workloads) wie z. B. Compliance oder Applikations-Deployment können entweder von SCCM oder Intune übernommen werden. Die einzelnen Bereiche können jederzeit zwischen SCCM und Intune verschoben werden. Somit kann auch eine Migration zwischen SCCM (On-Premises) und Intune (Cloud) Schritt für Schritt erfolgen.

Intune Data Warehouse:
Intune Data Warehouse
zeichnet Daten von Intune Aktivitäten auf (Mobile Device Status, User Enrolling Trend , Device Compliance Trend, Langzeitdaten etc.). Intune Data Warehouse bietet eine Schnittstelle (API), um die gesammelten Daten gezielt auszulesen. SCCM Daten sind darin nicht enthalten! Im Moment gibt es drei Möglichkeiten auf diese Daten zuzugreifen: Power BI (Microsoft Dienst), Powershell (entsprechendes Modul nicht offiziell) und über einen selbst programmierten REST-API # Client (C-Sharp). PowerBI ist ein Geschäfts-Analyse-Dienst von Microsoft, der die Daten des Intune Data Warehouse abrufen kann. Diese Daten können dann für verschiedenste Visualisierungen bzw. Berichte genutzt werden.

Client Monitoring & Log Analytics:
Intune Devices können durch die Verbindung von Intune mit Azure Monitor überwacht werden. Die gelieferten Events werden in Log Analytics gesammelt und ausgewertet, z. B. um einen weiteren Work Flow zu triggern. Für Azure Monitor bzw. Log Analytics wird eine Azure Subcription benötigt!

» Dieser Kurs wird durch den Kurs System Center Configuration Manager ergänzt.

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit, wenn Sie eine spezielle Sprachversion wie z.B. " Französisch" wünschen. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -