Tierney - stock.adobe.com
Windows-Systeme zentral mit Intune verwalten
Mit Microsoft Intune können Unternehmen zentral alle Windows-Computer konfigurieren, absichern und Software verteilen, nachdem sie an die Cloud angebunden sind.
Unternehmen, die Microsoft Intune gebucht haben, zum Beispiel über Microsoft 365 Business Premium, können zentral die Computer und auch andere Geräte verwalten. Neben der Möglichkeit des Remote-Supports unterstützt Microsoft Intune auch die Installation von Software, das Definieren von Richtlinien, die Anpassung von Malware-Schutz und Firewalls und vieles mehr. Es lohnt sich also, wenn Unternehmen ihre Geräte an den Cloud-Dienst anbinden. Dazu stehen verschiedene Möglichkeiten zur Verfügung.
Microsoft Intune ermöglicht auch die Anbindung von Geräten, die den Anwendern gehören mitbringen (Bring Your Own Device). Binden sich Benutzer an Intune an, profitieren sie vom Schutz durch Intune und können auch Software des Unternehmens nutzen.
Erste Schritte zur Verwaltung von Endgeräten mit Microsoft
Admins erreichen die Verwaltungsoberfläche von Intune über intune.microsoft.com. Bei Geräte\Alle Geräte sind die bereits verbundenen Computer zu sehen. Computer, die hier angebunden sind, können mit Richtlinien versorgt, zentral konfiguriert und verwaltet werden. Auch Remote-Support und -Steuerung sind möglich. Anwender können ihr Gerät selbst anbinden, zum Beispiel um Software abzurufen. Dazu muss lediglich aus dem Microsoft App Store die App Unternehmensportal installiert werden. Die Anmeldung erfolgt mit dem jeweiligen Konto bei Azure AD/Entra ID.
Sobald ein Nutzer auf seinem Computer die App installiert und sich angemeldet hat, sieht er die ihm zugewiesenen Anwendungen. Die Anbindung an Intune führen Anwender problemlos über den Einrichtungsassistenten der Unternehmensportal-App durch. Sobald sich der Nutzer angemeldet hat, registriert die Unternehmensportal-App den Computer im Abonnement, sodass er im Intune-Portal bei Geräte\Alle Geräte zu sehen ist. Die erste Anbindung dauert allerdings einige Minuten, sodass sich der Zugriff auf die jeweiligen Anwendungen verzögert. Die erfolgreiche Verbindung ist im Anschluss im Fenster zu sehen.
Nach der erfolgreichen Anmeldung kann der Benutzer über Apps die Anwendungen abrufen, die ihm zugewiesen sind. Auch das kann durchaus einige Minuten, teilweise Stunden dauern, bis alle Apps erscheinen. Über Einstellungen erfolgt mit Synchronisieren eine erneute Synchronisierung mit Intune.
BitLocker und Intune
Wenn ein Gerät an Intune registriert ist, lassen sich auch BitLocker-Schlüssel in Azure speichern und mit Intune verwalten. Damit ein Benutzer den Wiederherstellungsschlüssel verwenden kann, muss er diesen nicht mehr selbst verwalten und speichern, sondern die Daten liegen in Azure AD/Entra ID und kann über Intune verwaltet werden. Der Schlüssel ist bei Wiederherstellungsschlüssel in den Details des Gerätes bei Geräte\Alle Geräte im Intune-Portal zu sehen.
Geräte im Intune-Portal verwalten
Sobald ein Gerät registriert ist, lassen sich Aktionen durchführen, wie das zentrale Einstellen der Malware-Richtlinien, die Verwaltung von Benutzern mit Microsoft Intune und die Steuerung von Windows-Firewall und -Defender. Dazu kommt die Unterstützung von Conditional Access mit Azure. Nach der Anmeldung an Azure AD/Entra ID ist der Computer nach der Registrierung im Intune-Portal bei Geräte\Alle Geräte zu finden. Durch einen Klick auf dem Gerät zeigt das Intune-Portal an, welche Einstellungsmöglichkeiten es gibt.
Über Verwaltete Apps, App-Konfigurationen und Ermittelte Apps lassen sich zum Beispiel die bereits installierten Apps anzeigen sowie die Apps verwalten, auf die ein Anwender Zugriff über seinen PC hat, wenn er ihn an Intune angebunden hat. Durch das Anklicken einer App sehen Sie, wann die App installiert wurde und wann sich ein Gerät das letzte Mal registriert hat. Bis hier alle Daten zu sehen sind, kann es einige Zeit dauern, weil Client und Intune erst alle Daten auslesen müssen. Die verschiedenen Apps der Umgebung sind im Hauptmenü bei Apps zu finden.
Intune- und Azure-AD/Entra-ID-Registrierung in der Befehlszeile anzeigen
Ob ein Client mit Azure AD/Entra ID und Intune verbunden ist, kann mit dsregcmd/status überprüft werden. Hier zeigt der Befehl übersichtlich an, ob der PC mit Azure AD/Entra ID verbunden ist. Bei Tentant Details ist wiederum nach einiger Zeit sichtbar, ob sich der PC optimal bei Intune registriert hat. Hier sind die Werte bei MdmUrl, MdmTourUrl und MdmComplianceUrl wichtig. Sind diese URLs gepflegt, ist davon auszugehen, dass das Gerät optimal mit Intune kommuniziert. Auch hier kann es wieder einige Stunden dauern.
Wichtige Informationen lassen sich auch im Intune-Portal mit Berichten auslesen. Diese sind direkt über den Menüpunkt Berichte zu finden. Bei Gerätekompatibilität zeigt das Intune-Portal an, welche Geräte sich an Intune richtig angebunden haben.
Computer mit Autopilot an Intune anbinden
Mit Autopilot können vorkonfigurierte Rechner automatisch an Intune und Azure AD/Entra ID angebunden werden. PCs mit Windows 10/11 werden mit Autopilot automatisiert Out-of-the-Box installiert. Dazu müssen Anwender sich nur mit ihrem Konto bei Azure AD/Entra ID anmelden, den Rest erledigt Autopilot. Microsoft geht auf die Möglichkeit in der Dokumentation zu Microsoft Windows Autopilot ein.