Azure Intune Enterprise & Office 365

Intensivkurs INTUNE

Azure Intune Enterprise & Office 365

Device Enrollment & Configuration - Office 365 Deployment - Compliance Policy - Windows Information Protection (WIP) - Co-Management SCCM & Intune

Der Fokus dieses Intensivkurses richtet sich auf den Einsatz von Azure Intune, um Windows 10 und auch iOS Geräte mit Software wie Office 365 und anderen Applikationen zu versorgen und zu aktualisieren. Intune ist in der Lage, die Geräte mit Sicherheitsrichtlinien und Einstellungen zu konfigurieren (Device Configuration). Besonders mächtig ist die Fähigkeit, App Protected Policies mit Windows Information Protection zu konfigurieren, um Firmendaten zu schützen.

Windows 10 kann einzeln oder massenweise durch AutoPilot in Intune (Azure Join) aufgenommen (Device Enrollment) werden. Es ist nun auch möglich, neue Windows 10 Computer (ab 1809) als Azure Hybrid Join Devices in Intune aufzunehmen. Die Azure Hybrid Joined Computerobjekte werden mit Password belegt und als Blob (Binary Large Object) dem/den On-Premises Intune Connector(en) übergeben, um in Active Directory als Domain Member zu schreiben.

Umfangreiche Profil Types der Intune Device Configuration wie z.B. Endpoint Protection, Device Restrictions, Windows Defender ATP etc. ermöglichen eine feine Konfiguration von Windows 10 und iOS Geräten. Mit Device Compliance werden Policies für die "grobe" Zugangskontrolle definiert, sodass nur "gesunde" Geräte Zugriff auf die Firmenressourcen bekommen. Die App Protection Policies in Zusammenarbeitet mit WIP sorgen dafür, dass Benutzer die Firmendaten dank den konfigurierten Protected Apps nicht auf ihre Device abspeichern dürfen. Als MDM Tool ist Intune natürlich in der Lage, sensitive Daten bei Gerätverlust durch Remote Wipe, Remote Lock und weitere Aktionen zu schützen.

Mit dem Co-Management SCCM & Intune ist es möglich, On-Premises SCCM (System Center Configuration Manager) weiterhin zu betreiben und mit Azure Intune als MDM Lösung zu kombinieren. Durch das Co-Management kann das Management von SCCM auf Intune ausgelagert werden (Workloads).

Kunden, die noch nicht mit Azure Cloud arbeiten dürfen, können in diesem Kurs erfahren, was für Vorteile ein cloudbasierter Service wie INTUNE alles erreichen kann, was mit einem reinen On-Premises SCCM schwer möglich ist. Man muss blind sein, um nicht zu erkennen, dass Microsoft alles daran setzt die On-Premises Applikationen aber auch Active Directory durch Azure AD & Co. zu ersetzen. SCCM wird auch über kurz oder lang bald "deprecated" sein und durch INTUNE ersetzt werden.

Wir arbeiten live mit einem unserer Azure Tenants. Windows 10 mit Kamera sowie iPhone und iPad werden im Kurs eingesetzt.

ZIELGRUPPE
Das Seminar richtet an SCCM-Administratoren und Support-Ingenieure sowie Desktop-Administratoren von Windows 10 Clients und iOS Geräten (iPhone, iPAD).
Erfahrung mit Windows Clients, iOS sowie SCCM ist von Vorteil.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
4 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

22.10 - 25.10.2019 ausgebucht
04.11 - 07.11.2019 noch Plätze frei
10.12 - 13.12.2019 noch Plätze frei

Zur Anmeldung

PREIS
  3.750,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Azure Intune in Zusammenarbeit mit SCCM ab 1710 (Co-Management) behandelt, wobei SCCM nur ein kleiner Teil des Kurses darstellt. Über Intune können Geräte mit Windows 10, iOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt werden. Intune ist hervorragend geeignet, um andere Azure Cloud Applikationen wie Office 365 auszurollen und zu verwalten. Damit Intune genutzt werden kann, muss das Unternehmen in Azure AD einen Tenant reservieren und eine Azure AD Subscription hinterlegen. Damit Enterprise Kunden Intune und Office 365 sowie diverse Security Features nutzen können, müssen sie entweder die Microsoft 365 E3 oder noch besser Microsoft 365 E5 besitzen. Die Version Microsoft 365 Business ist nur für kleine Unternehmen gedacht.

Azure AD und On-Premises Services können in einem Hybrid-Szenario zusammen betrieben werden. Letztendlich arbeitet die Mehrheit der Enterprise Firmen im Moment immer "Hybrid", d.h. On-Premises und Azure Services werden kombiniert. In der Regel bildet eine Exchange Hybrid Umgebung mit ADFS und AADConnect die Grundlage der Zusammenarbeit zwischen On-Premises und Azure in einer Federation zwischen Active Directory und Azure AD. Ein Exchange Benutzerpostfach kann jederzeit in die Azure Cloud umgezogen werden, wobei der Zugriff auf die gemeinsamen Terminkalender möglich ist. Office 365 kann für alle Benutzer bzw. Window 10 Devices durch Intune versorgt werden. Die Zusammenarbeit zwischen den Mitarbeitern (Collaboration) lässt sich am besten durch sog. Office 365 Group realisieren, die Benutzer eines Teams und ihre gemeinsamen Ressourcen wie OneDrive for Business, Sharepoint Site, Chat, Shared Mailbox etc. enthält.
» Mehr dazu demnächst in unserem erweiterten Intensivkurs Exchange Hybrid & Teams.

Exchange Online ist ein Teil von Office 365 und somit von Microsoft 365.

Kursumgebung Exchange Hybrid + SCCM + Intune:
Im Kurs nutzen wir eine Exchange Hybrid Umgebung als Backbone, welche die On-Premises Exchange 2016/2019 Umgebung mit Azure Exchange Online (Office 365) via AAD Connect verbindet. Benutzerobjekte und Geräteobjekte werden via AAD Connect von On-Premises AD zu Azure AD synchronisiert. Die Device Write Back Option von AAD Connect ermöglicht das Zurückschreiben eines in Azure AD registrierten Geräts zurück in On-Premises AD. Die Authentication zwischen dem Kerberos basierten On-Premises AD und dem Token basierte Federation Service (Azure) wird durch ADFS (Active Directory Federation Services) geregelt. Neben ADFS gibt es auch andere Authentication Methode wie Azure AD Application Proxy mit On-Premises Proxy Connector(s). Windows 10 SCCM Clients müssen in Azure AD registriert (Joined) sein und in Intune "enrolled" und verwaltet werden. Auch iPhone und iPAD werden im Kurs praktiziert.

Device Registration:
Bevor Devices über Intune verwaltet werden können, müssen sich diese in Azure Active Directory registrieren (Device Registrastion) oder Azure Active Directory beitreten (Azure AD Join). Damit können BYOD (Bring Your Own Device) und CYOD (Choose Your Own Device) Szenarien umgesetzt werden.

Device Enrollment:
Nach der Registration in Azure AD müssen die Devices in Intune aufgenommen "enrollt" werden. Es gibt manuelle und automatische Enrollment Methoden. Das manuelle Windows Enrollment erfolgt über die Settings App von Windows 10. Für das Massenenrollment von Windows 10 Devices wird das Windows AutoPilot Enrollment genutzt.
Bevor iOS Devices von Intune verwaltet werden können, muss ein Apple MDM Push Zertifikat angefordert werden. Durch das Zertifikat kann Intune erst mit Apple kommunizieren. Die Verwaltung von iOS in Intune muss noch durch die "Enrollment Restriction" erlaubt werden.
Auf dem iOS Gerät muss vorher das Unternehmensportal aus dem Apple Store installiert werden. Ein Benutzer mit Intune Lizenz kann sich nun anmelden, um das Management Profile zu installieren und sein iPhone in Intune zu registrieren.

Device Configuration:
Von Intune verwaltete Devices können über verschiedene Profil-Typen konfiguriert werden. Je nach vorgefertigem Profil-Typ gibt es unterschiedliche Einstellungen, die durch die Configuration Service Provider (CSP) auf dem Windows 10 Device eingerichtet werden. Ein CSP entspricht einer CSE (Client Side Extension) bei den Gruppenrichtlinien. Die CSP sind nach dem Open Mobile Alliance (OMA) Standard definiert und können von anderen MDM Lösungen ebenfalls verwendet werden. Auf dem Windows 10 Client können die Gruppenrichtlinien Vorlagen auch durch die CSPs benutzt werden. Auch iOS Geräte können konfiguriert werden, um z. B. die Kamera eines iPhones zu sperren.
In dem Custom Profil-Typ können alle Einstellmöglichkeiten der CSPs konfiguriert werden.
Der Profil-Typ "Device Restriction" enthält z. B. die Einstellungen: Block Cortana, Disable Camera, Bildschirmschoner, Settings ausblenden.
Im Profil-Typ "Identity Protection" kann z. B. die Einrichtung von Windows Hello for Business für die Authentifizierung eingestellt und forciert werden.
Die Configuration mit je einem Profiltyp muss letztendlich einer Device-Gruppe oder User-Gruppe zugewiesen werden. Ähnlich zu den Group Policies muss man bis zu 8 Stunden warten bis die Configuration wirkt. Man kann die Synchronisierung zwischen Device und Intune manuell über die Settings App oder das Company Portal anstoßen. In der Setting App kann dann geprüft werden, ob die Einstellungen wirken.

Device Security:
Es gibt ein paar spezielle Profiletypen von der Device Configuration für die Gerätesicherheit.
Der Profiltyp "Endpoint Protection" enthält mehrere Kategorien, darunter "Windows Defender Firewall". Diese hat mehrere Einstellungen zu Firewall, während sich die Kategorie "Windows Encyption" um die Einstellungen für BitLocker kümmert.
Der Profiltyp "Defender ATP" (Advanced Threat Protection) verbindet Intune mit dem Windows Defender ATP, welches einen Windows 10 Client nach Sicheheitslücken durchsucht und überwacht: Health State, Antivirus Status, vulnerable Software, Threat Protection Alerts etc.
Darüber hinaus können Security Baselines wie bei Gruppenrichtlinien für Windows 10 Devices eingesetzt werden.

Device Actions:
Sowohl für Windows 10, als auch iOS und Android Devices können durch Intune verschiedene Aktionen remote durchgeführt werden. Ein Windows 10 Device kann durch Wipe auf die Default Configuration zurückgesetzt werden. Dabei können die Benutzerdaten beibehalten oder komplett gelöscht werden. Bei Retire wird das Gerät (iOS, Android, Windows 10) aus dem Intune Management entfernt. Die App Daten, alle Einstellungen durch Intune Policy, E-Mail und andere Profile (VPN, Wi-Fi) werden entfernt, aber die privaten Benutzerdaten bleiben erhalten. Wenn ein Windows 10 Device vom Management durch Intune entfernt wird (Retired), dann verbleibt es weiterhin in Azure AD.

App Deployment inkl. Office 365 Suite:
Intune kann unterschiedliche Apps (z. B. Office 365, Desktop App, Windows LoB App, Store Apps etc.) an Windows 10, iOS oder Android Devices verteilen (Available, Required) oder deinstallieren. Ähnlich wie das Software Center von SCCM können Benutzer über das "Company Portal' oder das "Company Webportal" die "Available" signierten Apps herunterladen und installieren. Pflicht-Apps werden als "Required" markiert und im Hintergrund installiert. Wir lernen im Kurs u.a. auch selbst entwickelte Apps, sog. LoB (Line-Of-Business) Apps zu verteilen.
Die Office 365 Suite für Windows 10 kann als Ganzes oder nur mit den einzelnen Apps wie z. B. Outlook und Word bereitgestellt werden. Weitere Übungen zum Thema App Deployment sind das Verteilen von Store Apps für Windows 10 und iOS. Damit ein App Deployment für iOS Devices aus dem App Store möglich ist, wird vorher ein Apple MDM Push Zertifikat benötigt. Apps aus dem Microsoft Store können dagegen ohne weiteres von einem Tenant Global Administrator (mit Azure AD Subscription) in den Business Store (private store) geladen und an Benutzer, die ein Azure AD Account besitzen, verteilt werden.

Apps können über folgende Methoden für Windows 10 Devices bereitgestellt werden:

Für Apps können automatische Updates erlaubt werden.

OS Updates/Upgrades:
Genauso wichtig wie die Konfiguration eines Clients ist das Update Management. Es ist möglich, Zeitpläne für die Installationen von Funktionsupdates oder Kumulativ Updates auf den Windows 10 Clients zu erstellen.
Nur für "supervised" iOS Devices kann ein minimaler Update Stand vorausgesetzt werden.

Device Compliance:
Mit Device Compliance kann der Zustand eines Device überwacht werden. Dafür werden Device Compliance Policies konfiguriert, die bspw. Firewall, Virenscanner, BitLocker, Versionsstand, etc. überprüfen. Bei Windows 10 wird der Zustand des Device überprüft und so entschieden ob es "Compliant" ist. Bei iOS wird der Zustand überprüft und, falls dieser abweichend ist, korrigiert. Das Ergebnis von Device Compliance kann als Bedingung für Conditional Access verwendet werden.

Conditional Access
Mithilfe von Conditional Access kann anhand bestimmter Bedingungen (Compliance, Claims, Netzwerklokation etc.) der Zugriff auf Unternehmensressourcen geregelt werden.
Dies kann für On-Premises oder Azure Ressourcen festgelegt werden.
In diesem Kurs wird anhand der Device Compliance der Zugriff auf Unternehmensressourcen gesteuert. Dabei sollte ein Gerät einen gewissen Sicherheitsstandard erfüllen, um auf Unternehmensressourcen, wie Exchange zugreifen zu dürfen.

Exchange ActiveSync Connector:
Durch Exchange ActiveSync kann mittlerweile von überall auf lokale Exchange-Postfächer zugegriffen werden. Intune bietet hier die Installation eines Exchange ActiveSync Connectors, der für den Zugriff auf On-Premises Postfächer eine Zugriffsregelung durch Conditional Access ermöglicht. Exchange Online ist standardmäßig als Ressource in Azure verfügbar und benötigt keinen ActiveSync Connector.

Company Data Protection durch WIP Protected Apps:
Sowohl Intune als auch SCCM können für MAM (Mobile Application Management) verwendet werden. Dies bietet die Möglichkeit, Unternehmensdaten auf Mobilen Geräten zu schützen. Auf einem Windows 10 Device wird WIP (Windows Information Protection) genutzt. Über das MAM Tool wird eine App Protection Policy auf die Geräte angewandt. Durch diese können Unternehmensdaten nur von Protected Apps bearbeitet werden und es werden ungewünschte Kopiervorgängen blockiert. Des Weiteren werden die Daten mit einem EFS (Encrypted File System) Zertifikat des Benutzers verschlüsselt. Es kann ein DRA (Data Recovery Agent) eingerichtet werden. Dadurch können Unternehmensdaten ohne den Private Key des EFS-Zertfikats wiederhergestellt werden.

Windows AutoPilot Enrollment:
Um sehr viele Geräte auf einmal in Intune aufnehmen zu können (Massenenrollment), wird die Windows AutoPilot Funktion genutzt. Dies kann im Self-Deploying oder User-Driven Modus durchgeführt werden. Nach dem Enrollment von Windows Clients werden auch alle adressierten Applikationen und Konfigurationen auf dem Client bereitgestellt, sodass der Windows 10 Client sofort für den Endbenutzer einsatzbereit ist.
Ab Windows 10 1809 ist es möglich über Windows AutoPilot eine Azure AD Hybrid Join durchzuführen. Die Vorraussetzung hierfür ist ein Intune Connector für Active Directory, der on-Premises eingerichtet werden muss. Somit wird im lokalen Active Directory ein vollwertiges Computer Objekt erzeugt und in Azure AD ein Device Objekt angelegt.

SCCM & Intune Co-Management:
Durch das Co-Management können SCCM (On-Premises) und Intune (Cloud) parallel betrieben werden. Die verschiedenen Abreitsbereiche (Workloads) wie z. B. Compliance oder Applikations-Deployment können entweder von SCCM oder von Intune administriert werden. Die einzelnen Bereiche können jederzeit zwischen SCCM und Intune verschoben werden. Somit kann auch eine Migration zwischen SCCM (On-Premises) und Intune (Cloud) Schritt für Schritt erfolgen.

Intune Data Warehouse:
Intune Data Warehouse
zeichnet Daten von Intune Aktivitäten auf (Mobile Device Status, User Enrolling Trend , Device Compliance Trend, Langzeitdaten etc.). Intune Data Warehouse bietet eine Schnittstelle (API), um die gesammelten Daten gezielt auszulesen. SCCM Daten sind darin nicht enthalten! Im Moment gibt es drei Möglichkeiten auf diese Daten zuzugreifen: Power BI (Microsoft Dienst), Powershell (entsprechendes Modul nicht offiziell) und über einen selbst programmierten REST-API # Client (C-Sharp). PowerBI ist ein Geschäfts-Analyse-Dienst von Microsoft, der die Daten des Intune Data Warehouse abrufen kann. Diese Daten können dann für verschiedenste Visualisierungen bzw. Berichte genutzt werden.

Client Monitoring & Log Analytics:
Intune Devices können durch die Verbindung von Intune mit OMS überwacht werden. Die gelieferten Events werden in Log Analytics gesammelt und ausgewertet, z. B. um einen weiteren Work Flow zu triggern.

» Dieser Kurs wird durch den Kurs System Center Configuration Manager ergänzt.

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit, wenn Sie eine spezielle Sprachversion wie z.B. " Französisch" wünschen. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -