Anlei­tung: MDM und MAM mit Micro­soft Intune

Viele Mitar­beiter greifen mit Notebooks, Tablets oder Smart­phones auf Unter­neh­mens-Daten und Anwen­dungen zu. Firmen können all diese mobilen Endge­räte sowie die instal­lierten Apps mit der Cloud-Lösung Micro­soft Intune zentral und sicher verwalten. 

Der PC ist mittler­weile nur noch eines unter vielen Endge­räten beim vernetzten Arbeiten. Immer mehr Mitar­beiter greifen mit firmen­ei­genen oder privaten Notebooks, Tablets oder Smart­phones auf geschäft­liche Anwen­dungen, Infor­ma­tionen oder Kunden­daten zu – aktuell vor allem aus dem Homeof­fice, vor Corona auch am Flughafen, im Zug oder Hotel.

Für die IT-Abtei­lung entstehen dadurch große Heraus­for­de­rungen. Wie kann sie die Vielzahl und Vielfalt der mobilen Endge­räte und Konfi­gu­ra­tionen unter Kontrolle bringen? Ist der Zugriff berech­tigt? Wie sieht es mit dem Daten­schutz oder der Trennung privater und geschäft­li­cher Daten aus? Wie verwaltet sie die Geräte effizient und sicher? Schließ­lich geraten auch mobile Geräte immer stärker ins Faden­kreuz von Angrei­fern, da sie Funktionen für geschäfts­kri­ti­sche Prozesse bieten und mit dem Backend des Unter­neh­mens verbunden sind. Hier kommt Micro­soft Intune ins Spiel.

MDM und MAM mit Micro­soft Intune

Micro­soft Intune ist ein cloud­ba­sierter Dienst für die Verwal­tung mobiler Geräte (MDM, Mobile Device Manage­ment) und mobiler Anwen­dungen (MAM, Mobile Appli­ca­tion Manage­ment). Der Service ist fester Bestand­teil von Micro­soft 365 (Lizenzen Micro­soft 365 Business Premium + Micro­soft 365 Enter­prise E3, F5 und F1) und eine Kompo­nente von Micro­soft Enter­prise Mobility and Security (EMS). Intune ist in Azure Active Direc­tory (Azure AD) zur Verwal­tung der Identi­täten integriert sowie mit Azure Infor­ma­tion Protec­tion verbunden, um die Vertrau­lich­keit von Daten einschließ­lich der Verschlüs­se­lung zu gewähr­leisten. Die Konfi­gu­ra­tion und Bedie­nung von Intune erfolgt meist über das Micro­soft Endpoint Manager Admin Center.

Über die MDM-Funktionen von Micro­soft Intune erfolgen Inven­ta­ri­sie­rung und Asset Manage­ment. Zudem ist es möglich, zentral Sicher­heits­ein­stel­lungen und Richt­li­nien für Smart­phones oder Tablets festzu­legen, Konfi­gu­ra­tionen zu verän­dern oder Zugriffs­rechte zu definieren. Verlo­rene oder gestoh­lene Geräte lassen sich sperren oder aus der Ferne löschen. MAM regelt, auf welche Anwen­dungen die Nutzer zugreifen dürfen, und gewähr­leistet, dass die Instal­la­tion und der Zugriff auf alle Apps nur nach den Unter­neh­mens­richt­li­nien erfolgen.

Firmen können Micro­soft Intune über die Cloud für folgende Bereiche einsetzen:

• Zugriff auf Daten und Netzwerke regeln über einheit­liche Richt­li­nien zum Schutz der Unter­neh­mens­daten: Welche Benutzer dürfen was?
• Ressourcen steuern und Mindest­stan­dards für kompa­tible Geräte und Apps (Konfor­mi­täts­richt­li­nien) definieren
• Bereit­stellen und Authen­ti­fi­zieren von passenden Apps auf den Geräten
• Windows 10 bereit­stellen etwa über Windows Autopilot

MDM: Verwalten von Geräten

Mit Micro­soft Intune lassen sich sowohl unter­neh­mens­ei­gene als auch die privaten Geräte der Mitar­beiter (BYOD Bring Your Own Device) verwalten.

Firmen­ei­gene Geräte und deren Nutzer werden grund­sätz­lich in Intune regis­triert. Damit hat die IT-Abtei­lung jeder­zeit Einblick in den Geräte­be­stand, die instal­lierte Software, genutzte Lizenzen und die Zugriffe auf das Unter­neh­mens­netz­werk. Zudem kann sie in Intune für verschie­dene Platt­formen (iOS, Windows, Android) Profile mit bestimmten Regeln, Einstel­lungen und Funktionen konfi­gu­rieren, die den Richt­li­nien entspre­chen. Es ist beispiels­weise möglich, Kennwort- und PIN-Anfor­de­rungen festzu­legen, eine VPN-Verbin­dung zu erstellen oder den Viren­schutz einzu­richten. Zudem lassen sich Zerti­fi­kate per Push an Geräte übermit­teln, damit Benutzer problemlos auf Ihr WLAN zugreifen oder über ein VPN eine Verbin­dung mit Ihrem Netzwerk herstellen können. Das entspre­chende Profil wird auf das Gerät übertragen, nachdem es bei Intune regis­triert ist.

Dank Micro­soft Intune können die Mitar­beiter auch ihre persön­li­chen Geräte nutzen. Hier sorgt Intune dafür, dass die Unter­neh­mens­daten von den persön­li­chen Daten getrennt sind, oder gibt nur bestimmte Ressourcen frei, wenn sich der Nutzer mit seinem persön­li­chen Profil anmeldet. Wichtig: Persön­liche Daten sind für die IT-Abtei­lung der Organi­sa­tion nicht sichtbar. Daten, auf die der Zugriff mithilfe von Anmel­de­infor­ma­tionen der Firma erfolgt, erhalten zusätz­li­chen Sicherheitsschutz.

Wenn die Nutzer auf alle Firmen-Ressourcen zugreifen wollen, müssen sie sich mit ihrem Firmen­profil bei Intune regis­trieren. Wollen sie etwa nur auf E‑Mail oder Micro­soft Teams zugreifen, reichen App-Schutz­richt­li­nien, die mehrstu­fige Authen­ti­fi­zie­rung (Multi-Faktor-Authen­ti­ca­tion/ MFA) erfor­dern, um diese Apps zu verwenden.

MAM: Verwalten von Apps

Auch die Verwal­tung mobiler Anwen­dungen (Mobile Appli­ca­tion Manage­ment, MAM) erfolgt sowohl für unter­neh­mens­ei­gene als auch für persön­liche Geräte. Die IT-Abtei­lung kann bestimmte Richt­li­nien konfi­gu­rieren, um Anwen­dungen zu steuern. Es ist möglich, Apps so zu konfi­gu­rieren, dass sie mit bestimmten Einstel­lungen gestartet oder ausge­führt werden. So lässt sich etwa verhin­dern, dass E‑Mails an Personen außer­halb des Unter­neh­mens gesendet werden, oder es lassen sich Aktionen einschränken, die Beschäf­tigte ausführen können, etwa Kopieren und Einfügen, Speichern und Anzeigen.

Micro­soft Intune erlaubt zudem, mobile Apps bestimmten Benut­zer­gruppen, einzelnen Nutzern und Geräten hinzu­fügen und zuzuweisen, vorhan­dene Anwen­dungen zu aktua­li­sieren sowie Unter­neh­mens-Daten selektiv aus Apps zu löschen. Zudem erzeugt Intune Berichte, welche Apps wie und wie lange verwendet werden, um die Nutzung nachzu­ver­folgen und eine Übersicht zu erhalten.

Für umfas­sen­deren Schutz und mehr Sicher­heit in Windows 10, Micro­soft 365 und auch auf Micro­soft-fremden Lösungen lässt sich Intune in Kombi­na­tion mit den anderen Diensten von Micro­soft EMS nutzen. Dazu gehören beispiels­weise Azure Active Direc­tory für die Identi­täts- und Zugriffs­ver­wal­tung, Micro­soft Endpoint Confi­gu­ra­tion Manager zur Verwal­tung lokaler PCs oder Server, Azure Infor­ma­tion Protec­tion zum Schutz von Daten in der Cloud oder Micro­soft Advanced Threat Analy­tics zur Abwehr von komplexen zielge­rich­teten Cyberangriffen

Kombi­na­tion mit Windows Autopilot

In Kombi­na­tion mit Windows Autopilot bildet Intune zudem ein effizi­entes Duo für die effizi­ente und sichere Bereit­stel­lung von (mobilen) Endge­räten. Diese Aufgabe ist für die IT-Abtei­lung oft mit hohem manuellem Aufwand verbunden, um Windows-Images zu entwi­ckeln, anzupassen und später auf den Geräten zu instal­lieren. Windows Autopilot verein­facht und automa­ti­siert diesen Prozess weitge­hend, indem er Geräte remote vorkon­fi­gu­riert und einrichtet, damit Mitar­beiter direkt damit arbeiten können. Windows Autopilot lässt sich auch zum Zurück­setzen und Wieder­her­stellen von Geräten verwenden.

Wenn der IT-Admin den Client für einen Mitar­beiter vorab in der Azure Cloud regis­triert, erkennt das System beim ersten Start des Gerätes durch die Eingabe der Zugangs­daten automa­tisch, wie es über Windows Autopilot konfi­gu­riert werden soll. Nach der vorde­fi­nierten Konfi­gu­ra­tion kann der Nutzer direkt mit dem System arbeiten und hat Zugriff auf alle wichtigen Unternehmensanwendungen.

Micro­soft Intune sorgt bei dieser cloud­ba­sierten Bereit­stel­lung und Verwal­tung von Firmen­ge­räten und ‑anwen­dungen für die notwen­dige Sicher­heit durch die zentrale Durch­set­zung von einheit­li­chen Richt­li­nien – mit allen oben beschrie­benen Funktionen. Damit können Firmen den gesamten Lebens­zy­klus eines Endge­räts sicher und trans­pa­rent in der Cloud abbilden — vom ersten Setup über regel­mä­ßige Updates bis hin zum Zurück­setzen auf Werkseinstellungen.

Für weitere Auskünfte oder ein unver­bind­li­ches Gespräch stehen wir Ihnen gerne zur Verfügung.