Microsoft Intune im Praxistest
Geräte-Management auf Wolkenart
Um alle Client-Systeme mitsamt der mobilen Endgeräte wie Smartphones und Tablets im Griff zu behalten, müssen IT-Verantwortliche eine lokale Infrastruktur aufbauen und verwalten. Als Alternative zu diesem kosten- und arbeitsintensiven Ansatz bietet sich eine Lösung aus der Cloud an, wie Microsoft sie mit Intune bereitstellt.
Die Microsoft-Lösung Intune hat in Bezug auf ihren Namen eine wechselhafte Geschichte hinter sich: Wurde Windows Intune, wie die Lösung zunächst hieß, häufig mit dem bekannten Apple-Dienst Itunes verwechselt, so hat die Software im Oktober 2014 einen weiteren Namenswechsel erfahren und aus "Windows Intune" wurde "Microsoft Intune": Wie schon zuvor bei der Cloud-Plattform Azure wollen die Marketingstrategen aus Redmond damit wohl deutlich machen, dass sich die hauseigenen Cloud-Angebote eben nicht nur auf Windows-Systeme beschränken.
Microsofts positioniert diese Verwaltungssoftware für das Client-Management aus der Cloud speziell unter dem BYOD-Aspekt (Bring Your Own Device). So können Administratoren mit dieser Lösung neben Windows-Systemen einschließlich Windows 8/8.1 und RT innerhalb einen Active-Directory-Domäne oder einer Arbeitsgruppe auch Mobilgeräte unter Windows Phone 8/8.1, Apple IOS und Android betreuen. Neben dem Management der Updates und Patches bietet die Lösung unter anderem eine integrierte Antivirenlösung (Microsoft Intune Endpoint Protection), Unterstützung bei der Inventarisierung, Reporting, Softwareverteilung, die Überwachung der Lizenzen sowie eine Steuerung via Richtlinien.
Wer ausprobieren möchte, ob Intune als Verwaltungslösung für seine IT-Landschaft geeignet ist, kann auf Microsofts Website ein kostenloses Testabonnement abschließen. Dieses gilt für 30 Tage und stellt alle Funktionen bereit. Sehr gut hat es uns gefallen, dass Microsoft im Gegensatz zu anderen Herstellern nicht schon bei der Teststellung die Angabe von Kreditkartendaten zur Zahlung verlangt. Wer die Lösung nach den 30 Tagen weiter nutzen will, kann diese Daten dann erst angeben und seine bisher eingepflegten Geräte und Daten nahtlos übernehmen.
Erste Schritte mit Intune
Der Anbieter betont zudem, dass Anwender zum Start nur eine Internet-Verbindung und einen Browser benötigen. So sind wir dann auch nur mit diesen beiden Ressourcen ausgerüstet an den Test herangegangen. Administratoren sollten jedoch beim Einsatz der Web-Konsole auf den Internet Explorer als Browser setzen, da andere Browser wie Google Chrome oder Mozillas Firefox in unseren Tests trotz Einsatzes des jeweils aktuellen Version manchmal nicht alle Menüs korrekt darstellten. Bei unseren Tests kann dann hauptsächlich der Internet Explorer 11 auf Windows-8.1-Enterprise-Systemen zum Einsatz.
Grundsätzlich ist die Inbetriebnahme von Intune schnell erledigt: Wer bereits ein Microsoft-Konto besitzt, kann sich gleich damit anmelden. Meldet der Administrator sich beim Intune-Dienst an, so muss er zunächst einen sogenannten Unternehmens-Account angelegen. Dabei wird standardmäßig der Domänen-Namen ".onmicrosoft.com" als Endung gewählt, ergänzt durch die selbst zu wählende Domäne, also beispielsweise "redgemeinschaft.onmicrosoft.com". Die IT-Verantwortlichen können dann später auch eigene andere Domänen hinzufügen. Wer bereits eine Cloud-Lösung von Microsoft wie Office 365 verwendet, bekommt von Microsoft bei der Anmeldung den Rat, die gleiche ID auch für Intune zu verwenden. Zum Umfang des Testangebots gehören 25 Benutzerlizenzen, die sich während der 30 Testtage nutzen lassen.
In den nächsten Schritten kann der Administrator Nutzer und Gruppen anlegen. Für jeden Nutzer, den er in der Testinstallation anlegt, kommt eine der 25 Testlizenzen zum Einsatz. Um mobile Geräte mit Intune verwalten zu können, muss die Lösung eine entsprechende Infrastruktur bereitstellen, die diesen Zugriff ermöglicht. Diese Dienstinfrastruktur wird in Intune durch mehrere Konfigurationsmöglichkeiten unterstützt. Welche der Möglichkeiten der Administrator für seine mobilen Geräte auswählt, gibt er in der sogenannten "Autorität für die Verwaltung mobiler Systeme" an. Dabei stehen ihm die Autoritäten "Exchange Server mit Active Sync", "System Center 2012 Configuration Manager (mit SP1)" sowie "Windows Intune" zur Auswahl.
Nutzer und Geräte hinzufügen
Es ist wichtig, dass sich Administratoren genau überlegen, welchen dieser Wege sie wählen, denn Microsoft weist ausdrücklich darauf hin, dass sich diese Verwaltungsautorität für mobile Geräte nicht mehr ändern lässt, sobald die Konfiguration einmal festgelegt ist. Wir haben für unseren Testlauf die in Windows Intune integrierte Möglichkeit zur Verwaltung mobiler Geräte verwendet.
Je nach Gerätetyp der mobilen Clients braucht der Administrator auch bei einer reinen Testinstallation noch weitere Ressourcen, um seine Geräte einzubinden. Will er beispielsweise Smartphones unter Windows Phone 8/8.1 verwalten, so bieten der Hersteller speziell für solche Testszenarien ein Support-Tool an, mit dessen Hilfe der Systembetreuer die Geräte in die Cloud-Verwaltung bringen und die App-Bereitstellung wie auch Verteilung testen kann.
Für iOS-Geräte (Version 6.0 und höher) muss er ein APN-Zertifikat (Apple Push Notification Service) direkt von Apple beziehen, das er über die Administratorenkonsole von Intune hochladen kann. Für Android-Geräte ist es nötig, aus dem Google Play Store die App mit der Bezeichnung "Microsoft Unternehmensportal" (auch unter "Windows Intune" zu finden) herunterzuladen und zu verwenden. Diese richtet die App "Company Portal" als Geräteadministrator ein, was Möglichkeiten wie das Löschen der Daten oder das komplette Zurücksetzen des Smartphones oder Tablets aus der Intune-Konsole heraus bietet.
Für Windows-PCs unter 8/8.1 wie auch Windows 7 und RT sind keine weiteren Vorausetzungen zu erfüllen. Die Client-Komponente, die initial aus einer ZIP-Datei mit einer ausführbaren Installationsdatei und einer Zertifikatsdatei besteht, kann der Adminstrator manuell oder auch auf den üblichen Verteilungswegen mittels Richtlinien oder als integraler Bestandteil eines System-Images auf die Endgeräte bringen.
Benutzer, die diese Software auf ihrem System selbst installieren, müssen dazu auf dem Rechner die Zugriffsrechte eines Administrators besitzen. Für jede dieser "Selbstregistrierungen" ist ebenfalls eine Intune-Lizenz erforderlich. Im Test gelang es problemlos, physische wie auch virtuelle Systeme unter Windows 8.1 und 7 einzubinden und zu verwalten; nur mit dem Pre-Release von Windows 10 kam die Software verständlicherweise noch nicht zurecht. Trotzdem war das System danach auf jedem Fall in der Konsole mit "unbekanntem Betriebssystem" aufgeführt.
Der Administrator kann mit Intune außerdem Richtlinien erstellen und durchsetzen, die bei der Verbindung mit den Ressourcen des eigenen Netzwerks in Kraft treten. So kann er beispielsweise festlegen, dass die Kameras der verwalteten mobilen Geräten nicht verwendbar sind. Softwarepakte für die Desktop-Systeme und Apps kann er ebenfalls mittels Intune verteilen, wobei es auch möglich ist, dabei einen Link auf einen spezifischen App-Store einzusetzen.
Software, die er auf PCs verteilen will, muss dabei unter anderem als MSI- oder EXE-Paket vorliegen, das einen "Unattended Install"-Vorgang ermöglicht. Diese Software wird dazu in die Cloud geladen, wozu unter Intune standardmäßig 20 GByte bereitstehen. Unternehmen, die mehr Speicherplatz dafür benötigen, können diesen gegen Bezahlung aufstocken.
Neben den Reporting-Möglichkeiten, die eine Inventarisierung der Hard- und Software samt Ausdruck in Form von HTML- oder CSV-Dateien ermöglicht, sollte als weiteres Feature die Synchronisationsmöglichkeit mit einer lokalen Domäne Erwähnung finden, die durch ein Synchronisationswerkzeug erleichtert wird. Für Administratoren, die lieber mit Skripten arbeiten, stehen Powershell-Module aus Azure zur Verwaltung der Nutzer und Gruppen bereit.
Insgesamt hat Microsoft Intune bei unserem kurzen Testlauf einen sehr guten Eindruck hinterlassen: Die Inbetriebnahme ging schnell und ohne Probleme vonstatten, und die Windows-Geräte standen erwartungsgemäß ebenso schnell zur Verwaltung unter der Web-Oberfläche bereit. Verwundert hat es uns, dass es weitaus leichter war, vorhandene Android-Geräte mit in das System aufzunehmen, als dies bei Windows Phone oder IOS der Fall war. Der Grund dafür ist aber vor allen Dingen in den unterschiedlichen Sicherheitsmechanismen der mobilen Betriebssysteme zu finden. Der starke Einsatz von Microsofts eigener Silverlight-Technik, der die Verwendung des Internet Explorers als Zugang zur Web-Oberfläche fast schon zwingend macht, hat hingegen nicht so gut gefallen - andere Browser bieten mindestens ebenso komfortable Oberflächen.
Lösung mit vielen Möglichkeiten
Insgesamt sind aber Bedienung und Einsatz der Web-Konsole von Intune zumeist selbsterklärend, auch weniger erfahrene Administratoren sollten sich problemlos zurechtfinden. Gerade für kleinere Unternehmen, die bisher keine Lösung zu Verwaltung und Betreuung ihre Clients einsetzten, ist Intune eine Lösung, die nicht nur schnell zum Einsatz kommen kann, sondern auch keine weitere Investition in Hard- und Software erfordert. Es ist ein weiterer Vorteil, dass man auch die mobilen Systeme mit der Lösung verwalten kann, selbst wenn sie nicht in allen Aspekten an die umfangreichen MDM-Lösungen (Mobile-Device-Management) anderer Hersteller heranreicht. Eine Verwaltung von Client-Systemen unter Mac OS X ist zurzeit mit Intune nur möglich, wenn die Lösung zusammen mit einer lokalen Installation des System Center Configuration Managers 12 zum Einsatz kommt. Der On-Premise-Gebrauch dieser Software ist Teil der Lizenz von Microsoft Intune.
In dieser Kombination lassen sich auch Windows-Server verwalten, was mit der reinen Cloud-Lösung Intune nicht möglich ist. Wer also ein kleines Netzwerk mit einem Servern oder mehreren Servern sowie Windows-Clients ohne eine lokale Verwaltungssoftware betreuen will, sollte eher ein Blick auf Lösungen wie das von uns in der Novemberausgabe der LANline getestete Werkzeug Syspectr von O&O Software werfen. Allerdings kann man mit dieser Lösung wiederum keine Clients unter Mobile-Betriebssystemen wie Android, IOS und Windows Phone managen.
Microsoft Intune wird auf Basis der betreuten Nutzer pro Monat lizenziert. Dabei kann der Administrator für jeden Nutzer bis zu fünf Endgeräte betreuen. Zum Zeitpunkt unseres Tests gelten folgende Preise: Die reine Intune-Lösung (einschließlich des On-Premise-Gebrauchs des System Centers Configuration Managers 2012 R2 und der Endpoint Security) kostet 4,90 Euro pro Nutzer und Monat. Wollen IT-Verantwortliche die Lösung zusammen mit der sogenannte Software Assurance erwerben, die zugleich die Upgrades und zukünftigen Versionen für die verwendeten Windows-Enterprise-Systeme und die Rechte zum Erwerb des Microsoft Desktop Optimization Packs (MDOP) beinhaltet, dann sind pro Monat und Nutzer neun Euro fällig. Auf Microsofts Website findet sich allerdings der ausdrückliche Hinweis, dass diese Preise sich noch ändern könnten.
Der Autor auf LANline.de: BÄR
Der Autor auf LANline.de: Frank-Michael Schlede
Info: MicrosoftWeb: www.microsoft.com/de-de/server-cloud/products/microsoft-intune/
Lesen Sie mehr zum Thema
