wachiwit - stock.adobe.com
Windows-10-Arbeitsplätze mit dem Endpoint Manager verwalten
Mit Endpoint Manager können Admins Windows-10-Arbeitsstationen zentral über einen Cloud-Dienst verwalten und schützen. Erfahren Sie in diesem Beitrag, wie das funktioniert.
Wenn Unternehmen ihre Windows 10-Arbeitsplätze an den Microsoft Endpoint Manager (ehemals Microsoft Intune) anbinden, können sie damit Computer zentral verwalten und schützen. Da es sich bei Microsoft Endpoint Manager um einen Cloud-Dienst handelt, können Admins auch Homeoffice-PCs und die Computer von mobilen Mitarbeitern zuverlässig mit Richtlinien konfigurieren und zentral schützen.
Sie können zudem Virenschutz und Firewall-Einstellungen auf diesem Weg zentral verwalten.
Windows 10 an Endpoint Manager anbinden
Microsoft empfiehlt, Windows 10 Workstations automatisch bei deren Bereitstellung an Microsoft Endpoint Manager anzubinden. Sobald ein Computer in Azure Active Directory angebunden ist, können Admins Richtlinien zuweisen. Mehr dazu beschreibt Microsoft auf der Seite Intune-Registrierungsmethoden für Windows-Geräte. Für die Anmeldung benötigen Sie ein Hardware-Hash, der sich über das kostenlose PowerShell-Skript Get-WindowsAutoPilotInfo auslesen.
Voraussetzung für das Anbinden von Windows 10 an Endpoint Manager ist ein passendes Abonnement von Microsoft 365, idealerweise Microsoft 365 Business Premium. Danach verwalten Sie die Einstellungen von Endpoint Manager im Endpoint Manager Admin Center. Sie können darauf auch über die URL endpoint.microsoft.com zugreifen. Die Verwaltung von Windows-10-Geräte befindet sich im Menü unter Geräte\Windows. Windows-Registrierung ist die Funktion zum Hinzufügen neuer Geräte (Abbildung 1).
Bevor Sie die infragestehende Workstation anbinden, sollten Sie prüfen, ob die Domäne in Microsoft 365, mit Sie Windows 10 verbinden wollen, auch korrekt konfiguriert ist. Diesen Test führen Sie mit der Funktion CNAME-Validierung durch.
Mit der Automatischen Registrierung können Sie herausfinden, ob das Abonnement ausreichend ist, um Geräte an Endpoint Manager anzubinden. Sobald die Automatische Registrierung abgeschlossen ist, können Sie die angebundenen Geräte konfigurieren. Dafür können Sie unter Geräte\Windows\Windows-Registrierung mit Bereitstellungsprofile neue Konfigurationsprofile anlegen. Ist der Computer in Azure Active Directory aufgenommen, wird ihm automatisch beim Aktivieren durch den Benutzer ein Set von Einstellungen zugewiesen.
Danach legen Sie Konfigurationsprofile unter Geräte/Konfigurationsprofile an.
Endpunktsicherheit konfigurieren – Virenschutz und Firewall
Am interessantesten beim Einsatz von Microsoft Endpoint Manager ist sicherlich die zentrale Konfiguration des Virenschutzes und der Firewall von angebundenen Computern. Dazu setzt Endpoint Manager auf Windows Defender, es muss also kein externer Virenschutz installiert werden. Über den Bereich Endpunktsicherheit im Hauptmenü können Sie mit der Funktion Antivirus neue Richtlinien erstellen.
Danach wählen Sie Windows 10 als Plattform und dass die Richtlinie das Profil Microsoft Defender Antivirus nutzen soll. Haben Sie die Richtlinie erstellt, startet ein Assistent, mit dem Sie zunächst den Namen festlegen, zum Beispiel Homeoffice-PC-Antivirus. Anschließend legen Sie mit den Konfigurationseinstellungen fest welche Einstellungen für die angebundenen PCs gelten sollen (Abbildung 2).
Unter Zuweisungen entscheiden Sie, für welche der an Endpoint Manager angebundenen Windows 10-Computer die Einstellungen gelten sollen.
Windows 10 Featureupdates und Updateringe steuern
Wenn Windows 10-Geräte an Microsoft Endpoint Manager angebunden sind, können Sie auch automatische Updates steuern. Dazu steht unter Geräte\Windows der Menüpunkt Windows 10-Featureupdates zur Verfügung. Hier können Sie neue Profile erstellen und angebundenen Computern zuweisen. Mit Windows 10-Updatedringe können Sie das Update-Verhalten der angebundenen Computer steuern. Hier legen Sie zum Beispiel fest, ob Treiber mit Windows-Updates installiert werden sollen, und wann der PC neu starten darf, nachdem er aktualisiert wurde.
Das Zuweisen dieser Funktionen läuft auf die gleiche Weise ab, wie bei den übrigen Profilen. Sie können mehrere Profile und Richtlinien in Endpoint Manager erstellen, die Sie wiederum unterschiedlichen Computern zuweisen. Sie können außerdem die Computer in Gruppen einteilen und die Profile auf Basis dieser Gruppen zuordnen.
Im Unterpunkt Endpunktsicherheit\Sicherheitsbaselines stehen verschiedene Richtlinien zur Verfügung, mit denen Sie Windows 10 und Microsoft Edge über Richtlinien automatisiert absichern können. Auch hier verwenden Sie Profile und Konfigurationseinstellungen. Die möglichen Einstellungen ähneln den Sicherheitsfunktionen der Gruppenrichtlinien im Active Directory.
PowerShell-Anmeldeskripte aus der Cloud ausführen
Über den Bereich Geräte\Windows steht auch der Menüpunkt PowerShell-Skripte zur Verfügung. Hier können Sie Skripte hinterlegen, die auf den angebundenen Computern ausgeführt werden, sobald sich ein Benutzer anmeldet. Die Skripte funktionieren wie Anmeldeskripte in Active Directory und werden mit den Benutzerrechten des Benutzers ausgeführt, der sich am PC anmeldet.