1 Implementierung moderner Gerätedienste
Prüfungsanforderungen von Microsoft:
• Planen des Gerätemanagements
• Geräte-Compliance verwalten
• Planung für Apps
• Planen der Windows 10 Masseninstallation
• Ausrollen von Geräten
Quelle: Microsoft
1.1 Einführung
In einem Unternehmen ist es absolute Voraussetzung, dass alle benutzten Geräte sicher sind und nicht kompromittiert werden können.
Aus diesem Grund sollten Sie alle Möglichkeiten kennen, eine sichere Basis für Ihr Unternehmen zu schaffen.
1.2 Planen des Gerätemanagements
Wichtige Bestandteile von Microsoft 365 sind MDM, Mobile Device Management und MAM, Mobile Application Management.
Bleiben wir zunächst bei MDM.
Mit MDM können Sie bestimmen, wie die Geräte Ihres Unternehmens, einschließlich Mobiltelefone, Tablets und Laptops, genutzt werden.
Hierbei ist das Registrieren der zu verwaltenden Geräte in Microsoft 365 die Grundvoraussetzung.
Auch die Planung der zentralen Verwaltung von Anwendungen ist wichtig und kann ebenfalls mithilfe von Microsoft 365 erledigt werden.
1.2.1 MDM Planung
Die Vielfalt an benutzten Geräten ist enorm, angefangen bei den verschiedenen Betriebssystemen, wie
• Windows
• iOS
• Android
• macOS
bis hin zur Unterscheidung, ob ein Gerät
• Eigentum der Firma oder
• persönliches Eigentum des Benutzers
ist.
Das hat den Vorteil, dass Sie den Benutzern auch mit ihren eigenen Geräten eine bestimmte Zugriffstiefe auf die Firmenressourcen gewähren können, ohne diese Geräte zu sehr einzuschränken.
1.2.2 Automatisches Registrieren von Windowsgeräten
Innerhalb von Microsoft 365 steht Ihnen ein Tool für die Geräteverwaltung zur Verfügung: Microsoft Intune, auch „Endpoint Management“ genannt.
Microsoft Intune können Sie sehr leicht über das Microsoft 365 Admin Center erreichen, wenn Sie Azure Active Directory in der Premium-Variante benutzen.
Wählen Sie dafür „Endpoint Management“.
Die Konsole für die Geräteverwaltung öffnet sich.
Im Idealfall muss der Benutzer nicht viel tun, um seine Geräte bei Microsoft Intune zu registrieren.
Um den Benutzern zu gestatten, Geräte zu registrieren, müssen Sie in folgende Konsole wechseln:
• Geräte
• Geräte registrieren
• Windows-Registrierung
• Automatische Registrierung
Der obere Bereich ist der MDM Bereich (Mobile Device Management).
Sie können festlegen, dass „Keine Geräte“, „Einige“ oder „Alle Geräte“ von Microsoft Intune verwaltet werden.
Wenn Sie „Einige“ wählen, müssen Sie noch Gruppen angeben.
Abbildung 1.2: MAM Konfiguration
Sie sollten wissen, dass dieser Bereich für unternehmenseigene Geräte Vorrang hat, falls sowohl MDM als auch MAM konfiguriert ist.
Für BYOD-Geräte (Bring your own Device) dagegen haben die MAM-Einstellungen Vorrang, wenn sowohl MDM als auch MAM konfiguriert ist.
Diese Einstellungen gelten allerdings nur für Windows 10 Geräte.
1.2.3 Berechtigungen für die Geräteregistrierung (Geräteregistrierungsmanager)
Um Geräte bei Microsoft 365 registrieren zu können, müssen die Benutzer noch zusätzlich die entsprechenden Berechtigungen erhalten.
Wenn eine oder mehrere Personen sehr viele Geräte in Microsoft 365 registrieren sollen, besteht die Möglichkeit, diesen Personen die Berechtigung „Device Enrollment Manager, DEM, Geräteregistrierungsmanager“ zuzuweisen.
Mit dieser Berechtigung können Sie bis zu 1.000 Geräte registrieren.
Dies wird dann der Fall sein, wenn jemand mehrere Geräte registrieren muss, bevor sie den zukünftigen Benutzern übergeben werden.
Bevor Sie einem Konto die Berechtigung „DEM“ zuweisen können, muss dieses Konto natürlich eine Microsoft 365-Lizenz haben.
Dafür öffnen Sie das Microsoft 365 Admin Center, navigieren zu „Benutzer“ und wählen den entsprechenden Benutzer aus.
Klicken Sie auf „Lizenzen“ und überprüfen Sie, ob der Benutzer eine Lizenz für Microsoft 365 hat. Sollte das nicht der Fall sein, klicken Sie auf „Zuweisen“ und geben Sie ihm eine Lizenz.
Nun können Sie einen DEM hinzufügen.
Dazu öffnen Sie die Microsoft Intune-Konsole (Endpoint-Management), wählen
• Geräte
• Geräte registrieren
• Geräteregistrierungs-Manager
• Hinzufügen
Hier fügen Sie nun den gewünschten Benutzer hinzu.
Abbildung 1.4: Benutzer wird hinzugefügt
1.2.4 Einschränkungen für die Benutzer
Auch wenn ein Benutzer kein Device Enrollment Manager ist, kann er natürlich trotzdem Geräte registrieren.
Wie es auch in einer On-Premise Domäne geregelt ist, so ist es auch in Microsoft Intune, auch der normale Benutzer hat das Recht, eine bestimmte Anzahl an Geräten zu registrieren. Bei einer Domäne ist dies der Beitritt zur Domäne, in Microsoft Intune ist es im Endeffekt genauso.
Wichtig ist, dass Sie als Microsoft Intune Administrator die Möglichkeit haben, Registrierungsbeschränkungen zu definieren, also die Möglichkeit der Benutzer einzuschränken, Geräte zu registrieren.
Sie können folgende Einschränkungen definieren:
• Maximale Anzahl der registrierten Geräte
• Geräteplattformen (Windows, iOS etc.)
• Einschränken von privaten Geräten
Um diese Einschränkungen zu definieren, erstellen Sie eine Registrierungsbeschränkungsrichtlinie, die Sie dann einer Gruppe zuweisen können.
Öffnen Sie dafür
• Geräte
• Geräte registrieren
• Registrierungsbeschränkungen
Abbildung 1.5: Registrierungsbeschränkungen
Sie sehen, es existiert bereits eine Standardrichtlinie für die Gerätetypbeschränkung und eine Standardrichtlinie für das Gerätelimit.
Diese Richtlinien sind bereits an „alle Benutzer“ zugewiesen und erlauben allen Benutzern alle Geräte zu registrieren, mit dem Limit von 5 Geräten.
Wenn Sie neue Beschränkungen erstellen möchten, klicken Sie auf „Einschränkung erstellen“.
Wählen Sie, ob Sie eine „Gerätelimiteinschränkung“ oder eine „Gerätetypeinschränkung“ definieren wollen und geben Sie der Richtlinie einen Namen.
Wenn Sie „Gerätelimiteinschränkung“ wählen, definieren Sie die maximale Anzahl der Geräte, die hinzugefügt werden dürfen.
Wenn Sie dagegen „Gerätetypeinschränkung“ wählen, können Sie zunächst die Plattformen wählen.
Abbildung 1.6: Plattformen
Alle gebräuchlichen Plattformen sind hier aufgelistet.
Sie sehen, hier wird zwischen „Android“ und „Android Arbeitsprofil“ unterschieden.
Ein „Android Arbeitsprofil“ ist eine vom Administrator eingerichtete Teilung auf einem Android Gerät.
Mit ihm werden geschäftliche Daten verwaltet, ohne die privaten Daten zu betreffen.
Im letzten Schritt weisen Sie die Richtlinie noch einer Gruppe zu.
Prioritäten
Nachdem die Richtlinie zugewiesen ist, sehen Sie, dass ihr eine Priorität zugewiesen wurde.
Diese Prioritäten kommen dann zum Tragen, wenn ein Benutzer in mehreren Gruppen ist.
Für ihn gilt dann immer die Einschränkung mit der höchsten Priorität.
Wenn Sie mehrere Richtlinien haben, können Sie die Priorität ändern, indem Sie mit der Maus in der Liste auf die Beschränkung zeigen. Es erscheint dann vor der Zahl ein Symbol mit drei Punkten.
An diesem Symbol können Sie die Richtlinien „greifen“ und an eine andere Stelle ziehen. Damit können Sie die Prioritäten nach Ihren Wünschen anpassen.
1.2.5 Anmelden von Android-Geräten
Android...