Client Management in Unternehmen

Microsoft hat bereits in der Vergangenheit über den System Center Configuration Manager (SCCM) eine eigene Lösung herausgebracht, mit der Clients und Server verwaltet, Software paketiert, gepatcht und Systemupdates durchgeführt werden konnten. Bereits vor einigen Jahren wurden Elemente des klassischen SCCM cloudifiziert und unter dem Begriff Microsoft Endpoint Manager den Microsoft 365-Abonnements hinzugefügt. Microsoft verfolgt mit diesem Produkt eine eigene Strategie, was das Deployment und die Verwaltung von Endgeräten angeht. 
 

Der Endpoint Manager ist ein Element von Intune und kann als Add-on für Clients oder dedizierte Benutzer erworben werden. Ansonsten ist es ein Element, das über M365 Business Premium, M365 Enterprise Plan 3 und 5 sowie über die Frontline-Worker-Pläne bezogen werden kann. Es ist ebenfalls über die M365 Enterprise Mobility and Security Suite erhältlich, im Kontext des Client Managements jedoch mit leichten Funktionseinschränkungen. 
 

Alle Windows-Clients ab dem Betriebssystem Windows 10 können über den Endpoint Manager verwaltet werden. Neben dem nativen Betriebssystem von Microsoft können auch macOS- und Linux-Geräte über die Cloud verwaltet werden. Bei der Verwaltung über den Endpoint Manager kann ausgewählt werden, ob Clients rein in der Cloud angelegt oder hybrid verwaltet werden sollen. Das bedeutet, dass sie rein Azure-Joined sind, wenn sie nur in Entra-ID aufgenommen werden, oder Hybrid-Joined sind, wenn das Gerät zusätzlich über das lokale Active Directory verwaltet werden soll. Die ausschließliche Integration in Entra-ID ist das vom Hersteller empfohlene Szenario; jedoch können alle Funktionalitäten mit leichten Modifikationen auch über eine hybride Verwaltung abgebildet werden.

Der Endpoint Manager ist ein Element von Intune und kann als Add-on für Clients oder dedizierte Benutzer erworben werden. Ansonsten ist es ein Element, das über M365 Business Premium, M365 Enterprise Plan 3 und 5 sowie über die Frontline-Worker-Pläne bezogen werden kann. Es ist ebenfalls über die M365 Enterprise Mobility and Security Suite erhältlich, im Kontext des Client Managements jedoch mit leichten Funktionseinschränkungen. 
 

Bei einem Deployment über den Endpoint Manager ist eine Verteilung eines Images, wie man von anderen Lösungsanbietern kennt, nicht vorgesehen. Microsoft propagiert seit 2019 die Funktion des Zero Touch Deployments über das Tool Autopilot. Die Funktion lässt sich an einem simplen Beispiel verdeutlichen: Ein Unternehmen bestellt neue Notebooks bei einem favorisierten Anbieter. Die Geräte müssen an unterschiedliche Standorte in Europa geliefert werden. Da der Endpoint Manager bereits genutzt wird, erbittet das Unternehmen die Bereitstellung der sogenannten Hash-ID der Clients. Der Distributor stellt für die georderten Pakete eine CSV-Datei bereit, die den individuellen 4K-Hash-Wert der neuen Geräte beinhaltet. Die Administration des Unternehmens lädt diese Datei in den Endpoint Manager und weist die Clients den in Entra-ID angelegten Nutzern zu. Nun werden die Geräte an die jeweiligen Standorte versendet. Die Mitarbeiter vor Ort erhalten ein Paket, öffnen das Notebook und verbinden sich mit dem Internet. In dem Moment, in dem der Client erstmalig Konnektivität mit dem Internet aufweist, meldet sich der Client bei Microsoft. Microsoft prüft, ob der Client mit seiner Hash-ID bereits in einem Tenant vorhanden ist und verweist den Client an die korrekte Adresse.

Nun startet der Client seine Installationsroutine. Der Nutzer bekommt die Meldung, dass das Autopilot-Deployment gestartet wurde. Durch die Hinterlegung eines Konfigurationsprofils im Endpoint Manager beginnt der Client nun, das vorhandene Windows-Betriebssystem nach den Vorgaben des Unternehmens anzupassen. Die Xbox-App, die Minispiele und die Standort-Telemetrie werden deaktiviert. Ist das Betriebssystem angepasst, erfolgt im zweiten Schritt die Bereitstellung der benötigten Applikationen.

Applikationen können über den Endpoint Manager in Form von MSI-Paketen bereitgestellt und dezentral verteilt werden. Das gilt nicht nur für die Softwareprodukte von Microsoft; auch Drittanbieter können paketiert und verteilt werden. Die Installation der Applikationen erfolgt in zwei Phasen. Initial wird dem Nutzer die Software bereitgestellt, die benötigt wird, um schnell produktiv arbeiten zu können. Hierbei handelt es sich häufig um Outlook, Teams und den Office 365-Client. Weitere Software, die für die spezifischen Tätigkeiten benötigt wird, erfolgt in einem zweiten Schritt.

Um den Deploymentprozess schlank zu halten, wird empfohlen, initial nur ausgewählte und relevante Applikationen auf dem Client bereitzustellen. Für weitere freigegebene Softwareprodukte kann der Anwender das lokal bereitgestellte Unternehmensportal öffnen und sich dort weitere Apps herunterladen und installieren. Der Zugriff auf den Microsoft Marketplace wird bei der Erstinstallation unterbunden, sodass nur autorisierte Produkte bereitgestellt werden können.

Sind die Geräte vollständig und funktional eingerichtet worden, kann der Mitarbeiter seine Arbeit aufnehmen. An diesem Punkt beginnen die Routinetätigkeiten der Administration, das Patch- und Updatemanagement. Der Vorteil bei der Verwendung des Endpoint Managers besteht darin, dass Clients nicht mit dem Unternehmensnetzwerk verbunden sein müssen, um die neuesten Versionen für Software und Betriebssystem zu erhalten. Solange der Client über das Internet mit dem Microsoft Tenant verbunden ist, können Updates eingespielt werden. Für das Patchmanagement wird ebenfalls keine neue Lösung benötigt. Microsoft hat dem Endpoint Manager die WinGet-Funktionalität hinzugefügt, ein Softwareverzeichnis, in dem die neuesten Versionen von Microsoft, aber auch von gängigen Drittanbietern bereitgestellt werden. Wird viel eigene Software eingesetzt, so kann die neueste Version ebenfalls paketiert und in WinGet eingefügt werden. Alternativ muss über den Endpoint Manager das bestehende Produkt gelöscht und die neuere Version installiert werden. Die Verteilung der Updates erfolgt in Update-Ringen; neue Betriebssystemversionen können verzögert werden, um keine technischen Komplikationen zu provozieren, und es kann zeitlich bestimmt werden, wann das Betriebssystem sich aktualisieren soll.

Der Endpoint Manager stellt nicht nur eine Entlastung für Administratoren und Endanwender dar, sondern bildet auch ein Element der Zero Trust Architektur von Microsoft. Durch die Einbindung in Entra-ID kann über das Sicherheitselement Bedingter Zugriff (Conditional Access) bestimmt werden, dass nur von über Intune verwalteten Endgeräten, die einen unternehmensindividuellen Compliance-Status aufweisen, auf die Unternehmensumgebung zugegriffen werden darf. So kann verhindert werden, dass, wenn ein Nutzer seinen Anmeldenamen und Passwort durch beispielsweise eine Phishing-Attacke verliert, von einem nicht verwalteten Endgerät auf dessen Account zugegriffen werden kann. Durch den Endpoint Manager können auch gestohlene und verlorene Geräte gesperrt und zurückgesetzt werden, damit kein nachträglicher Missbrauch der bereitgestellten Daten erfolgen kann.

Das Ziel der intellecom GmbH besteht nicht darin, vorhandene und funktionale Client-Management-Systeme durch Intune zu ersetzen. Wo etwas funktioniert und verwaltet werden kann, besteht der Ansatz darin, Lösungen miteinander zu verbinden, um die Verwaltung und den Deploymentprozess zu verbessern. Wird eine Drittanbieterlösung mit Elementen des Endpoint Managers verbunden, spricht man von Co-Management. Ein gängiges Szenario ist beispielsweise, dass über die Funktion Autopilot das Betriebssystem provisioniert wird, dann als einziges Software-Paket ein Agent für das führende Client-Management-System installiert und darüber die Verteilung und das Patchmanagement abgebildet wird. Somit können bestehende Laufzeiten des vorhandenen Systems genutzt werden und gleichzeitig auch der Endpoint Manager, der in den meisten M365-Abonnements enthalten ist, zielführend mit eingebunden werden.