Getty Images
Intune-Verwaltungserweiterung mit PowerShell-Skripts nutzen
Intune und PowerShell haben einzigartige Verwaltungsaktionen, die sie durchführen, aber mit der Intune-Verwaltungserweiterung können sie kommunizieren und effizienter arbeiten.
Microsoft Intune ist die Cloud-Plattform für die Endgeräteverwaltung, die Microsoft für Endpunkte in Unternehmen bereitstellt. Sie bietet Funktionen zur Steuerung aller Aspekte des Windows-Betriebssystems und zur Installation von Anwendungen auf diesen Geräten.
Mit der Microsoft-Intune-Verwaltungserweiterung erweitern IT-Teams die grundlegende Intune-Verwaltung, um ein komplizierteres Anwendungsmanagement und andere Anpassungen zu ermöglichen.
Was ist die Intune-Verwaltungserweiterung?
Die Intune-Verwaltungserweiterung ist – wie der Name bereits andeutet – eine Erweiterung, die mehr Funktionalität für die Windows-Geräteverwaltung bietet. Sie erweitert die bestehenden Verwaltungsfunktionen, die in Windows verfügbar sind, und konzentriert sich hauptsächlich auf die Bereitstellung von mehr Funktionen für die Anwendungsinstallation und Anpassungsoptionen, letztere durch die Unterstützung von PowerShell-Skripten über Microsoft Intune.
Darüber hinaus gibt es mittlerweile auch Funktionen für die App-Inventarisierung und grundsätzlich jedes PowerShell-Skript, das innerhalb von Microsoft Intune verwendet wird. Dazu gehören die Funktionen für proaktive Abhilfemaßnahmen und die Erkennungsfunktion von Win32-Windows-Apps.
Welche Voraussetzungen müssen erfüllt sein, um die Intune-Verwaltungserweiterung zu nutzen?
Wenn man sich die Voraussetzungen für die Intune-Verwaltungserweiterung ansieht, kommt man schnell zu dem Schluss, dass sie auf fast allen verwalteten Geräten installiert ist. Es ist jedoch gut, mit den Voraussetzungen vertraut sein, die auf dem Windows-Gerät vorhanden sein müssen:
- Auf dem Gerät muss Windows 10 Version 1607 oder höher ausgeführt werden. Und bei Geräten, die mit der Massenregistrierung angemeldet werden, muss es sich um Windows 10 Version 1709 oder höher handeln. Das gilt auch für jede Version von Windows 11.
- Das Gerät ist mit Azure Active Directory hybrid verbunden oder bei Azure AD registriert.
- Das Gerät ist in Microsoft Intune registriert.
- Die Systemuhr des Geräts ist auf dem neuesten Stand.
Die IT-Abteilung kann die Intune-Verwaltungserweiterung in Kombination mit Co-Verwaltung verwenden. In diesem Fall ist es wichtig, dass der Apps-Workload auf Pilot Intune oder Intune eingestellt ist.
Wie funktioniert die Intune-Verwaltungserweiterung?
Aus technischer Sicht wird die Intune-Verwaltungserweiterung automatisch als Windows-Dienst installiert. Dieser Dienst hat den Anzeigenamen Microsoft Intune Management Extension und den Dienstnamen IntuneManagementExtension. Dieser Dienst wird automatisch mit einem verzögerten Start gestartet und die IT-Abteilung kann ihn wie jeden anderen Windows-Dienst verwalten.
Der Installationsort des Intune-Verwaltungserweiterungsdienstes ist C:\Program File (x86)\Microsoft Intune Management Extension. Dieser Speicherort enthält alle erforderlichen Quelldateien für den Dienst, einschließlich der Konfigurationsdateien. Die ausführbare Datei, die für den Dienst verwendet wird, ist ebenfalls an diesem Speicherort verfügbar und heißt Microsoft.Management.Services.IntuneWindowsAgent.exe. Darüber hinaus werden auch Daten und Konfigurationen in der Registrierung (Registry) des Windows-Geräts gespeichert, die unter HKLM\SOFTWARE\Microsoft\IntuneManagementExtension zu finden sind. Dieser Speicherort enthält viele Informationen über die Konfiguration der Intune-Verwaltungserweiterung, gesammelte Inventare und Statusberichte über alle von der Intune-Verwaltungserweiterung durchgeführten Aktionen.
Sobald der Dienst in Betrieb ist, führt er eine Standardsynchronisierung mit Microsoft Intune durch, um festzustellen, ob neue Richtlinien verfügbar sind. Diese Richtlinien umfassen alles, was die Intune-Verwaltungserweiterung erfordert, einschließlich PowerShell-Skripte und Win32-Windows-Anwendungsbereitstellungen. Die Standardkonfiguration für diese Synchronisierung ist einmal alle 60 Minuten.
Um sicherzustellen, dass die Intune-Verwaltungserweiterung intakt ist und ihre Aktivitäten ausführen kann, ist auf dem Gerät eine geplante Aufgabe konfiguriert. Diese Aufgabe befindet sich in der Taskplaner-Bibliothek unter Microsoft > Intune und führt die ClientHealtEval.exe aus, die im Installationsverzeichnis verfügbar ist. Wenn diese Ausgabe ausgeführt wird, überprüft sie einige grundlegende Konfigurationen rund um die Intune-Verwaltungserweiterung, um deren Zustand zu überprüfen. Dazu gehören alle Arten von Überprüfungen des Status des Dienstes, einschließlich seiner Verfügbarkeit, des Starttyps, der Speichernutzung und mehr.
Im Grunde protokolliert Windows jede Aktion der Intune-Verwaltungserweiterung und der zugehörigen Dienste in verschiedenen Protokolldateien. Früher gab es nur einige wenige Protokolldateien, die alle Informationen enthielten, aber heutzutage – mit der Einführung von mehr und mehr Funktionen – werden diese Informationen in vielen verschiedenen Protokolldateien gespeichert. Diese Protokolldateien sind unter C:\ProgramData\Microsoft\IntuneManagementExtension\Logs verfügbar.
Welche Funktionen bietet die Intune-Verwaltungserweiterung?
Microsoft hat die Intune-Verwaltungserweiterung eingeführt, um einige grundlegende Funktionen für die Ausführung von PowerShell-Skripten bereitzustellen. Zum Glück für IT-Administratoren hat Microsoft diese Funktionalitäten jedoch schnell erweitert. Heute enthält die Intune-Verwaltungserweiterung die folgenden Funktionen:
- PowerShell-Skripte: Die Intune-Verwaltungserweiterung ermöglicht grundsätzlich jede Form der Ausführung von PowerShell-Skripten auf verwalteten Geräten. Dazu gehören PowerShell-Skripte, die in proaktiven Abhilfemaßnahmen und benutzerdefinierten Richtlinien zur Gerätekonformität verwendet werden, die PowerShell-Skriptfunktionalität selbst und sogar PowerShell-Skripte, die in den Erkennungsmethoden von Win32-Windows-Anwendungen verwendet werden. Damit bietet die Intune-Verwaltungserweiterung dem IT-Administrator ein hohes Maß an Flexibilität, Anpassungs- und Verwaltungsmöglichkeiten für die verwalteten Geräte.
- App-Bereitstellungen: Die Intune-Verwaltungserweiterung ermöglicht auch die Installation von erweiterten Anwendungstypen über Microsoft Intune. Dazu gehören folgende wichtige Anwendungstypen für Windows-Geräte:
- Win32-Windows-Anwendungen: Dieser Anwendungstyp umfasst Installationsdateien einer Anwendung – oder alles andere, was ein IT-Administrator auf die Geräte bringen möchte – die durch das Microsoft Win32 Content Prep Tool in das .intunewin-Dateiformat verpackt werden. Die Intune-Verwaltungserweiterung enthält Technologie, um diese Datei auf das Gerät zu bringen, die Dateien zu extrahieren und die konfigurierten Aktionen durchzuführen.
- Microsoft-Store-Anwendungen: Dieser Anwendungstyp enthält eine ähnliche Intelligenz wie winget, ist aber direkt in Microsoft Intune integriert. Das ermöglicht dem IT-Administrator die Installation von Apps, die über den Microsoft Store verfügbar sind. Die Intune-Verwaltungserweiterung kann diese Installationsfunktionen auf das Gerät bringen und Unterstützung für die Installation von Apps aus dem Microsoft Store bieten. Für diesen Anwendungstyp ist der Microsoft Store for Business nicht mehr erforderlich, da dieser eingestellt wird.
- App-Bestände: Wenn die Intune-Verwaltungserweiterung auf einem verwalteten Gerät installiert ist, bietet sie auch ein Add-on für den Anwendungsbestand. In diesem Fall führt die Intune-Verwaltungserweiterung die Inventarisierung der installierten Win32-Anwendungen durch, die auf dem Gerät installiert sind. Dazu gehören alle Anwendungen, die über Microsoft Software Installer (MSI) installiert werden, und sie liefert Informationen über das Installationsdatum, den Namen und die Versionsnummer. Dieses Inventar wird alle 24 Stunden nach der Geräteanmeldung aktualisiert und es umfasst auch alle MSI-Anwendungen, die nicht über Microsoft Intune installiert werden.
So nutzen Sie die Intune-Verwaltungserweiterung
Der IT-Administrator muss keine spezielle zusätzliche Aktion durchführen, um die Intune-Verwaltungserweiterung zu installieren. Das liegt daran, dass die Intune-Verwaltungserweiterung automatisch installiert wird, wenn eine der Funktionen zugewiesen wird, die auf der Intune-Verwaltungserweiterung beruhen. Wenn also ein PowerShell-Skript, eine Problembehebung, eine Win32-Windows-App, eine Microsoft-Store-App oder eine benutzerdefinierte Compliance-Richtlinie dem Benutzer oder dem Windows-Gerät zugewiesen wird, wird die Intune-Verwaltungserweiterung automatisch auf diesem Gerät installiert.
Das macht sie zu einer gerätespezifischen Installation und bedeutet auch, dass die Intune-Verwaltungserweiterung nicht auf jedem Windows-Gerät standardmäßig verfügbar ist. Der zusätzliche Bestand an Win32-Anwendungen ist nur für Windows-Geräte verfügbar, die eine dieser Zuweisungen haben. Ohne eine dieser Zuweisungen ist das Inventar dieses Endpunkts nicht verfügbar.
Was Sie wissen sollten, bevor Sie die Intune-Verwaltungserweiterung verwenden
Wenn Sie sich die Intune-Verwaltungserweiterung ansehen, sollten Sie folgende Punkte wissen, bevor Sie mit PowerShell-Skripten und Win32-Anwendungen beginnen:
- Vergessen Sie niemals die Leistungsfähigkeit von PowerShell-Skripten, wenn sie im Systemkontext oder im Benutzerkontext ausgeführt werden, wenn der Benutzer über Administratorrechte verfügt.
- Fügen Sie niemals sensible Informationen in PowerShell-Skripte ein, da die Skripte lokal auf dem Gerät verfügbar sind.
- Benutzer müssen nicht auf dem Gerät angemeldet sein, um Win32-Anwendungen zu installieren oder PowerShell-Skripte auszuführen.
- PowerShell-Skripte werden vor der Installation von Win32-Anwendungen ausgeführt.
- PowerShell-Skripte haben eine Standardzeitüberschreitung von 30 Minuten und die Standardzeitüberschreitung für Win32-Anwendungen beträgt 60 Minuten. Letzteres ist jetzt konfigurierbar.
- Die Unterstützung für in Azure AD registrierte Geräte ist begrenzt.
Diese Punkte gelten grundsätzlich für alle Funktionen der Intune-Verwaltungserweiterung, werden aber speziell für PowerShell-Skripte und Win32-Apps hervorgehoben, da diese Funktionen am häufigsten verwendet werden.