PCs, Smartphones und Tablets bestens im Griff

Für IT-Profis gehört das Client-Management und damit die Verwaltung der Endgeräte zu den Grunddisziplinen ihres Jobs. Eingesetzt werden dafür vielfältige Programme, für die Softwareverteilung, die Inventarisierung bis hin zum kompletten Lifecycle-Management. Voraussetzung dafür ist eine entsprechende IT-Infrastruktur – die aufgebaut, verwaltet und gepflegt sein will.

Neben den kostenintensiven und aufwendigen On-Pre­mise-Installationen auf eigener Hardware bietet sich gerade für kleinere Firmen an, über eine cloudgestützte Lösung nachzudenken. Außer dem Vorteil, dass dann das Internet einen Teil der Infrastruktur zur Verfügung stellt, sind solche Verwaltungslösungen sehr flexibel: Die Systeme lassen sich per Browser von überall kontrollieren und verwalten. Auch Mitarbeiter mit mobilen Endgeräten wie Smartphones und Tablets lassen sich gut in eine solche Lösung integrieren und betreuen.

Microsoft stellt eine solche Lösung unter dem Namen Microsoft Intune bereit. Bis Oktober 2014 hieß sie Windows Intune, nicht zu verwechseln mit dem Apple-Dienst iTunes. Ähnlich waren die Marketingexperten aus Redmond zuvor bereits bei der Cloud-Plattform Microsoft Azure verfahren, die bis April 2014 den Namen Windows Azure getragen hatte. Damit wollte man wohl deutlich machen, dass sich die Funktionen der Microsoft-Cloud-Programme nicht auf die Windows-Plattform beschränken. Microsoft positioniert sicher nicht zuletzt deswegen Intune auch als Verwaltungssoftware für das Client-Management aus der Cloud, die speziell für BYOD-Techniken geeignet ist.

Dana Behncke, Produktmanager Enterprise Mobility Suite bei Microsoft, meint dazu „Cloud und Bring Your Own Device (BYOD) halten so oder so Einzug in die Betriebe. Es ist aber erschreckend, wie hoch dabei die Nutzung von Cloud-Diensten ohne die Kontrolle durch die IT ist.“ Außerdem dürften die Möglichkeiten von Intune wie Selfservice durch den Nutzer oder ein Rechtemanagement, das über die Office-Anwendungen hinausgeht, nicht unterschätzt werden.

IT-Verantwortliche und Adminis­tratoren, die diesen Anforderungen ohne umfangreiche eigene IT-Infrastruktur genügen wollen oder müssen, sollten deshalb unbedingt Cloud-Lösungen wie Intune in Erwägung ziehen.

Ein großer Vorteil von Microsoft Intune liegt darin, dass sich mit den Diensten und Programmen nicht nur Windows-Clients einschließlich Windows 8/8.1 und RT innerhalb einer Active-Directory-Domäne oder einer Arbeitsgruppe verwalten lassen, sondern Admins auch Zugriff auf Mobilgeräte unter Windows Phone 8/8.1, iOS und Android erhalten.

Dabei stellt die Lösung unter anderem das Management der Updates und Patches und mit Microsoft Intune Endpoint Protection eine integrierte Antivirenlösung zur Verfügung. Hinzu kommen die Unterstützung bei der Inventarisierung, beim Reporting und  der Verteilung von Software sowie die Überwachung der eingesetzten Lizenzen. Außerdem hilft Intune dem Administrator, den Einsatz und Betrieb der Geräte sowie die Software via Richtlinien zu verwalten.

Es gibt die Möglichkeit, Intune kostenlos zu testen. So lässt sich herausfinden, ob Intune als Verwaltungslösung für die eigenen IT-Landschaft geeignet ist. Auf der Microsoft-Intune-Webseite kann man ein kostenloses Testabonnement abschließen. Es gilt ohne Einschränkungen mit allen Funktionen für einen Zeitraum von 30 Tagen.

Microsoft hebt sich dabei positiv von anderen Anbietern solcher Cloud-Angebote ab, da bei diesem Test keinerlei Kreditkarten- oder andere Zahlungsdaten verlangt werden. Nur wer Intune nach den 30 Tagen weiternutzen will, muss diese angeben, kann dann aber auch seine bereits eingepflegten Geräte und Daten weiterhin verwalten.

---

Ein Vorteil von Intune besteht Microsoft zufolge darin, dass Anwender zum Starten lediglich eine Internetverbindung und einen Browser benötigen. Allerdings zeigte sich beim Testen alsbald, dass man bei Verwendung des Cloud-Dienstes auf den Internet Explorer als Browser setzen sollte. Bei Intune haben die Entwickler nämlich stark Gebrauch von der hauseigenen Technik Silverlight gemacht.

Das führt dazu, dass andere Browser wie Google Chrome und Mozilla Firefox mitunter nicht alle Menüs korrekt darstellen können – trotz Silverlight-Plug-in und aktueller Browserver­sionen.

Der Internet Explorer 11, der auf Windows-8.1- und Windows-7-Systemen standardmäßig installiert ist, bereitet keinerlei Probleme.

Die Inbetriebnahme von Intune ist schnell erledigt und sehr gut erläutert. Wer sich beim Intune-Dienst anmeldet, muss zunächst einen Unternehmens-Account angelegen. Auch eine Anmeldung mit einem bestehenden Microsoft-Konto ist möglich.

Standardmäßig wird der Domänen-Name „.onmicrosoft.com“ als Endung vergeben, ergänzt durch eine selbst zu wählende Domäne – also beispielsweise „Testinstallation.onmicrosoft.com“. Eigene bestehende Domänen können Administratoren später hinzufügen. 25 Benutzerlizenzen, die während der 30-Tage-Testphase ebenfalls ohne Einschränkung genutzt werden können, gehören zur Teststellung dazu.

Im ersten Schritt sollte der Administrator die Nutzer und  die Gruppen anlegen, wobei für jeden Nutzer eine der 25 Testlizenzen vergeben wird. Damit mobile Endgeräte verwaltet werden können, stellt Intune eine Infrastruktur bereit, die den Zugriff auf Smartphones und Tablet ermöglicht.

Mit „Autorität für die Verwaltung mobiler Systeme“ legt der Systembetreuer fest, welche der drei zur Verfügung gestellten Verwaltungsmöglichkeiten er verwenden möchte: Zur Auswahl stehen dabei die Autoritäten „Exchange Server mit Active Sync“, „System Center 2012 Configuration Manager (mit SP1)“ sowie „Windows Intune“.

Microsoft weist ausdrücklich darauf hin, dass diese Verwaltungsautorität für mobile Geräte nicht mehr geändert werden kann, sobald die Konfiguration festgelegt wurde. Zur Verwaltung der mobilen Geräte sollte man hier „Windows Intune“ wählen.

Je nachdem, welche mobilen Clients in der Firma verwaltet werden sollen, muss der Administrator auch bei einer reinen Testinstallation weitere Ressourcen installieren, um diese Geräte korrekt einzubinden.

Wer Smartphones unter Windows Phone 8/8.1 verwalten möchte, kann für diesen Zweck ein spezielles Support-Tool von Microsoft einsetzen, mit dessen Hilfe er die Geräte in die Cloud-Verwaltung bringen und das Bereitstellen und Verteilen von Apps ausprobieren kann.

Für iOS-Geräte (Version 6.0 und höher) muss die IT ein Apple-Push-Notification- Service-Zertifikat (APNS-Zertifikat) direkt von Apple beziehen, das sich dann über die Administrator-Konsole von Intune hoch­laden lässt.

Sollen Android-Geräte verwaltet werden, muss der Anwender die App mit der Bezeichnung Microsoft Unternehmens­portal aus dem Google Play Store herunterladen. Diese richtet auf dem Gerät die App Company Portal als Geräte-Adminis­trator ein. Dadurch stehen dem Geräteverwalter über das Intune-Portal dann Möglichkeiten wie das Löschen der Daten oder das komplette Zurücksetzen des Smartphones oder Tablets aus der Konsole heraus zur Verfügung.

Wer auch seine Windows-Systeme mit den Versionen 8/8.1 sowie mit Windows 7 und Windows RT verwalten möchte, muss dazu eine Client-Komponente auf den Zielsystemen installieren. Diese besteht aus einem ZIP-Archiv, das eine  ausführbare Installationsdatei und eine Zertifikatdatei enthält. Diese kann sowohl manuell als auch auf den üblichen Verteilungswegen mittels Richtlinien oder als integraler Bestandteil eines System-Images auf die Client-Systeme gebracht werden.

Mit ihr lassen sich sowohl physikalische als auch virtuelle Systeme unter Windows 8.1 und 7 einbinden und verwalten – lediglich das Pre-Release von Windows 10 wird noch nicht nicht korrekt unterstützt. Es erscheint in der Konsole als „unbekanntes Betriebssystem“.

Bedienung und Einsatz der Webkonsole von Intune erwiesen sich beim Testen als größtenteils selbsterklärend, sodass man sich problemlos zurechtfinden sollte. Gerade für kleinere Unternehmen, die bisher noch keine Lösung zu Verwaltung und Betreuung ihre Client-Systeme einsetzen, ist Intune eine mögliche Lösung. Sie ist schnell einsatzbereit und erfordert zudem keine weitere Investition in Hard- und Software.

Administratoren können damit zusätzlich Richtlinien erstellen und durchsetzen, die bei der Verbindung mit den Ressourcen des eigenen Netzwerks in Kraft treten.

Auch Softwarepakete für die Desktop-Systeme und Apps können per Intune verteilt werden. Dabei ist es auch möglich, einen Link auf einen bestimmten App-Store zu setzen, damit die Nutzer dessen  Software auf ihren Mobilgeräten installieren und verwenden können.

Ein großer Vorteil von Intune besteht darin, dass damit die vorhandenen Firmen-PCs und die mobilen Geräte verwaltet werden können. Die Cloud-Lösung reicht sicher nicht in jeder Hinsicht an die umfangreichen speziellen MDM-Lösungen anderer Hersteller wie Airwatch oder Zenworks heran. Alle grundsätzlichen Möglichkeiten und Merkmale für den Betrieb mobiler Endgeräte stehen aber bereit und können mit Android- und Windows-Phone-Geräten sehr gut zusammenarbeiten.

Eine Verwaltung von Client-Systemen unter Windows ist derzeit nur möglich, wenn Intune zusammen mit einer lokalen Installation der Software Systemcenter Configuration Manager 12 eingesetzt wird. Ein solcher On-Premise-Gebrauch dieser Software ist in der Lizenz von Microsoft Intune enthalten. Allerdings erfordert sie verglichen mit Intune umfangreichere IT-Kenntnisse und eine gewisse Einarbeitungszeit. In der Kombination Intune plus Systemcenter Configuration Manager können dann auch MAC-OS-X-Server verwaltet werden.

Die Intune-Lösung einschließlich des On-Premise-Gebrauchs von Configuration Manager 2012 R2 und Endpoint Security kostet 4,90 Euro pro Nutzer und Monat.

Zusammen mit der sogenannten Software Assurance, die zugleich die Upgrades und zukünftigen Versionen für die verwendeten Windows-Enterprise-Systeme und die Rechte zum Erwerb des Microsoft Desktop Optimization Packs (MDOP) beinhaltet, kostet das Paket pro Monat und Nutzer 9 Euro.