Einführung in die Microsoft Intune Suite

1. Was ist die Intune Suite?

Die angemessene Verwaltung von Endpoints ist sehr komplex und erfordert traditionell viele verschiedene Tools mit einer "Zahnrad"-Integration - was meistens mehr schlecht als recht funktioniert. Die Intune Suite vereinfacht Endpoint Management & Security durch einen modernen integrierten Ansatz. Sie verbessert die Sicherheit und reduziert Kosten sowie Komplexität durch die Konsolidierung mehrerer Tools.

‍

Das Ergebnis ist reduzierte Komplexität und bessere Performance für Admins und eine bessere Erfahrung für Endbenutzer.

‍

Die Microsoft Intune Suite besteht aus diesen 6 Bestandteilen:

‍

1. Endpoint Privilege Management: Erhöhte Zugriffsrechte nach Bedarf bzw. Anforderung
   ‍
2. Enterprise App Management: Erkennung, Paketierung, Bereitstellung und Patching von Windows-Anwendungen
   ‍
3. Advanced Analytics: Vorhersagen, welche Endpoints, Anwendungen und Nutzer Probleme haben werden
   ‍
4. Cloud PKI: Veröffentlichen und Verteilen von Zertifikaten aus Intune ohne komplexe PKI
   ‍
5. Tunnel for MAM: Sicherer Zugriff auf Anwendungen von nicht verwalteten mobilen Geräten
   ‍
6. Remote Help: Sichere, remote Helpdesk-End User Verbindung

‍

Wir haben uns alle 6 Bestandteile für Euch angeschaut, den Mehrwert bewertet und geben erste Hinweise zur Implementierung.

‍

‍

{{cta-box-alt="/dev/components"}}

‍

‍

2. Mehrwerte der Intune Suite

Der Mehrwert der Intune Suite für Eure Endpoint Strategie ist vierfach.

‍

‍

‍

‍

1. Erhöhte Sicherheit durch Benutzerrechte als Standardeinstellung, Verteilung von Zertifikaten an alle Geräte und automatische Patches für 3rd Party Apps.
   ‍
2. Reduzierte Komplexität durch vereinfachte IT- und Securityprozesse und die Konsolidierung von Tools.
   ‍
3. Verbesserte Nutzererfahrung durch Vorhersage, welche Endpoints und Benutzer Aufmerksamkeit benötigen, proaktives Handeln, bevor der End User beeinträchtigt wird, und das Benutzen von Remote Help, um Downtime zu reduzieren.
   ‍
4. Reduzierte Kosten durch Konsolidierung mehrerer Tools von Drittanbietern, Zeitersparnis für Systemadministratoren und höhere Effizienz für Help Desk Mitarbeiter.

‍

Jetzt schauen wir uns die 6 Bestandteile der Intune Suite und wie der Mehrwert konkret erreicht wird.

‍

3. Endpoint Privilege Management

Was ist Endpoint Privilege Management?

Endpoint Privilege Management (EPM) ermöglicht, die Zugriffsrechte von Benutzern je nach Bedarf anzuheben, sodass das Least Privilege Prinzip im Rahmen von Zero Trust umgesetzt wird.

‍

Die vollständige Kontrolle über einen Endpoint zu erlangen, ist das Traumszenario von Cyberkriminellen. Durch die Erzwingung des Zugriffs mit Least Privilege reduziert EPM die Durchschlagskraft eines Angriffs, da alle Benutzer mit Standardrechten versehen sind. Zudem sorgen die Standardberechtigungen für eine geringere Wahrscheinlichkeit von Sicherheitsverletzungen, erhöht aber Reibungsverluste, da bestimmte Aufgaben wie die Installation von Peripheriegeräten, Anwendungen oder die Ausführung von Windows Diagnosen eingeschränkt sind. Das frustriert die Benutzer, beeinträchtigt die Produktivität und erhöht die Supportkosten.

‍

EPM löst diese Herausforderung durch einfaches Hinzufügen oder Entfernen von Regeln, Aktivierung auf Tenant-Ebene und automatische, vom Benutzer selbst oder vom Support genehmigte Erhöhung der Rechte. EPM rationalisiert IT-Arbeitsabläufe bei gleichzeitiger Verbesserung der Sicherheit und Bereitstellung einer modernen Benutzeroberfläche.

‍

Wie verbessert Endpoint Privilege Management Eure Endpoint Strategie?

Die Durchsetzung von Least Privilege werden die lokalen Administratorkonten signifikant reduziert. Dies erhöht nicht nur die Sicherheit, sondern ermöglicht es Unternehmen auch, die Produktivität aufrechtzuerhalten, indem sie bei Bedarf eine kontrollierte Erhöhung der Berechtigungen zulassen.

‍

Durch die Überwachung von Berechtigungserweiterungen bietet EPM den IT-Administratoren umfassende Transparenz und Kontrolle und gewährleistet so einen proaktiven Ansatz für das Sicherheitsmanagement.

‍

‍

Wie funktioniert Endpoint Privilege Management?

Durch den Einsatz verschiedener Regeltypen könnt Ihr Sicherheit, Benutzerfreundlichkeit und Vertrauen entsprechend den spezifischen Anforderungen effektiv balancieren. Systemadministratoren können EPM im Reporting Modus nutzen, um zu sehen, was passiert, bevor es in der Produktion eingesetzt wird. Regeln können dann mit untergeordneten Prozessen, Zuweisungsfiltern und basierend auf Entra ID-Gruppen definiert werden.

‍

1. Die Berechtigungserweiterung kann durch zwei Aktionen ausgelöst werden.
   ‍
   1. EPM identifiziert einen Prozess
      ‍
   2. Benutzer können "Run Elevated" wählen, um die Berechtigungserweiterung auszulösen.
      ‍
2. Es stehen drei Arten der Berechtigungserweiterung zur Verfügung: Automatisch, vom Benutzer bestätigt und vom Support genehmigt.
   ‍
   1. Automatisch ermöglicht genehmigten Anwendungen eine automatische Erhöhung der Benutzerrechte, um reibungslos zu funktionieren.
      ‍
   2. Benutzer-bestätigt erfordert als zusätzliche Sicherheitsmaßnahme eine Bestätigung des Benutzers vor der Erhöhung.
      ‍
   3. Support-bestätigt benötigt die Genehmigung durch den Support für eine zeitbasierte Erhöhung.

‍

Umfang und Zeitplan

EPM ist für Windows 10 ab 21H2 und für Windows 11 ab 21H2 verfügbar. EPM für macOS soll zeitnah verfügbar werden.

‍

‍

4. Enterprise App Management

Was ist Enterprise App Management?

Enterprise App Management ist ein App Katalog der die Bereitstellung von Windows Anwendungen über Intune vereinfacht und automatisiert und ist Microsofts Antwort auf führende Tools wie Patch My PC und Robopack. Diese Tools folgen alle der gleichen Rationalen: Softwarepaketierung ist zeitaufwendig und komplex. Mit der Einführung eines App Katalogs können Admins eine Reihe von vorgefertigten Anwendungen nutzen. Bei Enterprise App Management sind dies sowohl eigene, als auch 3rd Party Applikationen.

‍

Wie verbessert Enterprise App Management Eure Endpoint Strategie?

Enterprise Application Management reduziert den Aufwand für die Paketierung, Bereitstellung und Verwaltung von Microsoft- und Drittanbieteranwendungen. Die Automatisierung des Patch Managements für Standardapplikationen ist ein unverzichtbarer Bestandteil jeder Endpoint Management Strategie. Vulnerabilities werden schneller geschlossen und Features schneller bereitgestellt.

‍

Aus unserer Sicht sind die Lösungen von Patch My PC und Robopack momentan noch wesentlich besser als Enterprise App Management. Mehr dazu unter "Umfang und Zeitplan".

‍

Wie funktioniert Enterprise App Management?

Der Enterprise App Catalog enthält Win32-Anwendungen, die von Microsoft vorbereitet und gehostet werden. Microsoft wrappt die Installationsdateien (EXE oder MSI) dieser Anwendungen, um die App als Win32-App in Microsoft Intune hinzuzufügen.

‍

Beim Hinzufügen einer App aus dem Enterprise App Catalog zu Intune sind die Installions-, Deinstallationsbefehle, Return Codes und Detection Rules vorkonfiguriert. Systemadministratoren können diese aber auch nach Bedarf anpassen. Da es sich um WIn32-Apps handelt, funktioniert die Verteilung über die Intune Management Extension, wo dann die Zuweisungen und Supersedence eingestellt werden können.

‍

Anwendungen im Katalog sind so konfiguriert, dass sie sich, wenn möglich, automatisch über die Herstellerroutine aktualisieren. Um Kompatibilitätsprobleme zu vermeiden, empfehlen wir nie automatische Updates, sondern einen strukturierten Roll-Out in mehreren Ringen. Für Applikationen, die nicht automatisch geupdatet werden hat Microsoft bereits neue Features zur Update Notifikation und geführtem Update Prozess angekündigt.

‍

Umfang und Zeitplan

Microsoft plant jeden Monat etwa 100 neue Anwendungen zum Enterprise App Katalog hinzuzufügen und priorisiert diese basierend auf Telemetriedaten aus Intune Tenants sowie Anfragen von Kunden und Partnern. Zum Zeitpunkt dieses Blogposts sind ca. 450 Anwendungen im Katalog verfügbar, wobei für einige Applikationen diverse Versionen bereitstehen, was die echte Zahl an unterschiedlichen Anwendungen noch einmal reduziert.

‍

Aus heutiger Sicht rechtfertigt der Preis deshalb nicht die Leistung und wir empfehlen dieses Produkt als einzigen Bestandteil der Intune Suite nicht. Lösungen wie Patch My PC oder Robopack bieten hier wesentlich mehr Umfang (App-Katalog und Funktionen) für kleineres Geld und im Fall von Patch My PC jahrelange Erfahrung im automatisierten Patchen von 3rd Party Applikationen.

‍

Wir sind gespannt, wie sich Enterprise App Management weiterentwickelt.

‍

‍

5. Cloud PKI

Was ist Cloud PKI?

Die Microsoft Cloud PKI optimiert die Verwaltung von Zertifizierungsstellen und den Lebenszyklus von Zertifikaten. Sie ist ein cloudbasierter Dienst, der die Verwaltung des Zertifikatlebenszyklus für von Intune verwaltete Geräte vereinfacht und automatisiert. Es stellt eine dedizierte Public Key-Infrastruktur (PKI) für Eure Organisation bereit, ohne dass lokale Server, Connectors oder Hardware erforderlich sind. Es übernimmt die Ausstellung, Verlängerung und Sperrung von Zertifikaten für alle von Intune unterstützten Plattformen.

‍

Wie verbessert Cloud PKI Eure Endpoint Strategie?

Cloud PKI ermöglicht es Unternehmen, ihre Cloud-Zertifikate zusammen mit ihren Endpunkten zu verwalten und erleichtert somit die Migration von lokal zu Cloud. Dieser Übergang strafft nicht nur die Prozesse und senkt die Verwaltungskosten, sondern vereinfacht auch die Bereitstellung und Verwaltung von Zertifikaten drastisch. Alles in Allem erhöht dies die Sicherheit und senkt die Komplexität, die mit herkömmlichen PKI-Lösungen On-Premise verbunden sind. Cloud PKI ermöglicht Unternehmen die Bereitstellung von Zertifikaten innerhalb von Minuten im Vergleich zu Wochen oder Monaten der Planung, Koordination, Beschaffung und Bereitstellung.

‍

Wie funktioniert Cloud PKI?

Die Bereitstellung von Microsoft Cloud PKI in der Intune Suite umfasst zwei Modelle: Greenfield und Brownfield, die wir unten kurz beschrieben haben. Außerdem zeigen wir Euch die grundlegende Architektur der Cloud PKI.

‍

Greenfield

Nutzung bzw. Erstellung einer neuen Certificate Authority (CA) in Intune:

‍
‍

• Wenn das Zertifikat einer ausstellende CA bei einer vertrauenden Partei nicht vorhanden ist, kann sie es automatisch  über die Zertifikatsermittlung, die so genannte Certificate Chaining Engine (CCE), abrufen und installieren.
  ‍
• Dieser Prozess, der dem Herunterladen von CRLs ähnelt, stellt die Einrichtung einer Vertrauenskette durch das Abrufen von fehlenden übergeordnete Zertifikate.
  ‍
• Es ist wichtig, die Cloud-PKI-Zertifikat-Vertrauenskette, bestehend aus Root- und ausstellenden, an alle vertrauenden Parteien zu verteilen, um eine umfassende Abdeckung und Vertrauen in der Infrastruktur.

‍

Brownfield

Nutzung der vorhandenen Certificate Authority und Verwendung von Intune zur Ausstellung von Zertifikaten

‍

• Wenn eine Bring-your-own-CA-Bereitstellung initiiert wird, müssen die von Intune verwalteten Geräte bereits über bestimmte CA-Zertifikate verfügen.
  ‍
• Dazu gehört die Vertrauenskette der CA, welche Root- und ausstellende CA-Zertifikate umfasst.
  ‍
• Bei der Cloud PKI , die eine private Stammzertifizierungsstelle verwendet, sollte die vertrauenswürdige Kette privater CA Zertifikaten, bestehend aus der Stammzertifizierungsstelle und der ausstellenden CA, bereits in der vorhandenen Infrastruktur eingesetzt werden.

‍

Architektur der Cloud PKI

Die Architektur einer PKI bleibt grundsätzlich gleich, aber Elemente, die vorher eine On-Premise Infrastruktur brauchten, werden als as a Service bereitgestellt.

‍

Umfang und Zeitplan

Die Cloud-PKI-Lösung ist bereits ziemlich ausgereift und Microsoft stellt jeden Monat Tausende von neuen
Zertifizierungsstellen und zehntausende von Zertifikaten pro Monat aus.

‍

‍

6. Tunnel for MAM

Was ist Tunnel for MAM?

Tunnel for MAM, bzw. auf deutsch Tunnel für mobile Anwedungsverwaltung, erweitert die Funktionalität des Microsoft Tunnel VPN-Gateway auf Android- und iOS Geräte, die nicht Entra ID registered sind. Diese Erweiterung ermöglicht Nutzern den sicheren Zugriff auf Anwendungen oder Daten von nicht verwalteten, persönlichen Geräten. So können Mitarbeiter ihre persönlichen Geräte sowohl für die Arbeit als auch für berufliche und private Zwecke nutzen, ohne die Kontrolle der Verwaltung aufzugeben.

‍

Wie verbessert Tunnel for MAM Eure Endpoint Strategie?

Tunnel for MAM ist Teil von Zero-Trust und bietet sicheren Netzwerkzugang von einem nicht verwalteten mobilen Gerät. Dies erleichtert die Einführung von Bring-your-own-device (BYOD) Richtlinien und unterstützt moderne Arbeitsweisen, ohne die Datensicherheit zu gefährden.

‍

‍

Wie funktioniert Tunnel for MAM?

‍

1. Tenant konfigurieren und Tunnel for MAM aktivieren
   ‍
2. Apps konfigurieren und App Config Policy ausrollen
   ‍
   1. Systemadministratoren können Richtlinien zur Anwendungskonfiguration für Microsoft Edge und Microsoft Defender einrichten.
      ‍
   2. Für Microsoft Edge sollte eine App-Konfigurationsrichtlinie so konfiguriert werden, dass ein Identitätswechsel unterstützt wird, so dass eine automatische Verbindung zum VPN-Tunnel hergestellt wird, wenn man sich anmeldet oder zu einem Microsoft-Arbeits- oder Schulkonto wechselt und die Verbindung getrennt wird, wenn man zu einem persönlichen Konto wechselt.
      ‍
   3. Für Microsoft Defender ist eine App-Konfigurations Richtlinie erforderlich, um ihn für die Verwendung als Tunnel-Client-App auf dem Gerät zu konfigurieren.
3. App Protection Policy ausrollen

‍

Umfang und Zeitplan

MAM Tunnel ist sowohl für iOS als auch für Android verfügbar. Für Android muss auf dem Endpoint die Unternehmensportal-App, Microsoft Edge und die Defender for Endpoint-App installiert sein. Für iOS ist keine Unternehmensportal- oder Defender-App erforderlich.

‍

‍

7. Advanced Analytics

Was ist Advanced Analytics?

Advanced Analytics bietet eine signifikante Erweiterung der aktuellen Endpoint Analytics Fähigkeiten in Intune, für bessere Berichterstattung, tiefere Einblicke und proaktives Endpoint Management. Mittels Kusto Query Language können Administratoren proaktiv Probleme erkennen und beheben, Troubleshooting vereinfachen und damit die End User Experience verbessern.

‍

Wie verbessert Advanced Analystics Eure Endpoint Strategie?

Das Tool bietet tiefere Einblicke und proaktive Verwaltungsfunktionen für IT Teams, sodass Administratoren nicht mehr nur reaktiv auf Probleme reagieren sondern Probleme entschärfen, bevor sie auftreten. Bekommt nahezu in Echtzeit Ereignis- und Signalflags, die mit anomalem Verhalten korrelieren. Darüber hinaus trägt die Integration mit Entra/Conditional Access/Device Compliance dazu bei, Vertrauen aufzubauen und Phishing-Angriffe abzuschwächen.
Spannend: Microsoft setzt Copilot in seiner gesamten Produktpalette ein, sodass in Advanced Analytics noch einiges an Potenzial ist, um IT Team das Leben leichter zu machen.

‍

Wie funktioniert Advanced Analytics?

Advanced Analytics besteht insbesondere aus den folgenden 5 Features:

‍

1. Custom Devices Scope: Mit Scope Tags können Analysen, Erkenntnisse und Empfehlungen auf bestimmte Untergruppen von Geräten fokussiert werden. Ihr könnt Euch z.B. ausschließlich auf von Euch verwaltete Geräte oder Geräte einer bestimmten Business Unit, oder Geräte, die sich in einer bestimmten geografischen Region befinden, beschränken.
   ‍
2. Anomalien: Überwachung des Zustands der Endpoints auf User Experience und Produktivitätseinbußen nach Konfigurationsänderungen.
   ‍
3. Enhanced Device Timeline: Detailliertere Ereignisse und geringere Datenlatenz zur Verbesserung der Troubleshooting Fähigkeiten.
   ‍
4. Device Query: Ermöglicht es Systemadministratoren, nahezu in Echtzeit den Zustand und die Konfiguration von Endpoints abzufragen.
   ‍
5. Battery Health: Verschafft Einblick in Probleme mit der Akku-Leistung und Energieverbrauch, die sich auf die User Experience auswirken.

‍

Umfang und Zeitplan

Die Geräte müssen in Intune registriert oder gemeinsam mit MECM verwaltet werden und in Endpoint Analytics sichtbar sein. Es kann bis zu 48 Stunden nach dem Lizenzerwerb dauern, bis die Advanced Analytics-Funktionen im Tenant zu sehen sind.

‍

‍

8. Remote Help

Was ist Remote Help?

Remote-Help ist die native Funktion der Intune Suite, für den Remote End User Support. Sie bietet Helpdesk Mitarbeitern eine sichere Plattform, um sich mit den Anwendern zu verbinden und Probleme effizient zu lösen. Stand-alone ist dies keine revolutionäre Lösung und lässt noch einige Features führender RMM Lösungen vermissen, aber integriert erstmalig die Remote-Help Fähigkeit in die Microsoft Endpoint Management und Zero Trust Umgebung.

‍

Wie verbessert Remote Help Eure Endpoint Strategie?

Remote Help erhöht die Sicherheit des Helpdesk Prozesses durch sicheren Remote Zugriff entlang des Zero-Trust-Modells. Unter anderem gewährleistet die rollenbasierte Zugriffkontrolle (RBAC), dass Administratoren konfigurieren können, wer wem mit welchen Berechtigungen End User supporten darf. Weitere Security Features sind z.B.:

‍

• Warnungen zur Compliance der Geräte, um Helfer zu warnen, wenn das Gerät des Benutzers nicht compliant ist und infiziert sein könnte.
  ‍
• Sitzungsberichte, aus denen hervorgeht, wer wem, wann und auf welchem Gerät geholfen hat.
  ‍
• Aufbau von Vertrauen zwischen Helpdesk und End User, bevor Verbindungen hergestellt werden, indem Azure AD-Profilbild, Unternehmen, Name, Titel und verifizierte Domäne gegenseitig angezeigt werden.

‍

Der Sicherheitsaspekt von Intune Remote Help und die nahtlose Integration in die Microsoft (Security) Infrastruktur sind also sehr vielversprechend, um den User Support als Sicherheitsrisiko zu minimieren und unerlaubte Remote Deivce Control zu unterbinden. Leider sind einige grundlegende Fähigkeiten von RMM Tools nicht vorhanden, weswegen wir momentan vom Einsatz von Remote Help als alleiniges Helpdesk Tool abraten. Wir hoffen, dass Microsoft hier noch einiges weiterentwickeln wird, denn die Idee ist gut und der Bedarf sicher vorhanden. Mehr dazu unter "Umfang und Zeitplan".

‍

Wie funktioniert Remote Help?

1. Remote Help im Tenant aktivieren: Remote-Help ist eine tenant-weite Einstellung und muss aktiviert werden, bevor User authentifiziert und unterstützt werden können.
   ‍
2. Endpoints konfigurieren bzw. onboarden: Benutzer können sowohl auf Geräten, die in Intune enrolled sind, als auch nicht enrolled sind, unterstützt werden, aber sie müssen mindestens in Entra ID registriert sein.
   ‍
3. RBAC Permissions erteilen: Der Helpdesk Mitarbeiter und der End User müssen beide im selben Microsoft-Tenant angemeldet sein. Remote Help verwendet die rollenbasierte Zugriffskontrolle (RBAC) von Intune, um die Zugriffsebene festzulegen, die einem Helpdesk Mitarbeiter erlaubt ist. Durch RBAC bestimmt der Administrator, welche Helpdeskmitarbeiter auf welcher Ebene Support leisten können, z. B. mit höheren Berechtigungen usw.

‍

Umfang und Zeitplan

Remote Help ist verfügbar für Windows 10, Windows 11 (auch auf ARM 64), Windows 365, Android Enterprise Dedicated (Samsung & Zebra) und macOS 12, 13 und 14. Remote-Help ist (noch) nicht für iOS- oder iPadOS-Endpoints verfügbar. Außerdem ist Unattended Control bisher ausschließlich für Android Endpoints möglich, was in der Community kritisch gesehen wird.

‍

Auch bei weiteren Standard Features von stand-alone RMM Tools, wie dem unkomplizierten Ausführen von Skripten, Ablegen einer Datei, Durchsuchen von Registry und Dateistruktur, muss Microsoft noch vieles an Features nachliefern. Momentan können wir Intune Remote Help also nur eingeschränkt für den Remote Support und anspruchsvollen Umgebungen empfehlen.

‍

Andererseits mag es Unternehmen geben, die Ihrem Helpdesk aus bestimmten Gründen solche Funktionen gar nicht ermöglichen möchten. In diesem Fall würde dann immer ein für Endpoint Management zuständiger Administrator mit den entsprechenden Berechtigungen in Intune das End User Problem lösen müssen. Denn viele der angesprochenen Features sind in Intune generell durchaus enthalten. Eine weitere Möglichkeit bietet das Tool von SoftwareCentral, dass es ermöglicht, Helpdesk Mitarbeitern kontrolliert Zugang zu Intune Features zu geben und ihnen so die Möglichkeit von führenden RMM Tools bereitstellt.

‍

‍

Bereit?

Im Jahr 2023 setzten Unternehmen durchschnittlich über 80 Endpoint Management und Security Tools ein. Dieser fragmentierte Ansatz ist teuer und sehr komplex zu verwalten. Die Intune Suite sagt dem Tool Sprawl den Kampf an.

‍

Aus diesem Grund empfehlen wir unbedingt einen Blick auf die Intune Suite zu werfen und sie mit den Anforderungen Eures Unternehmens abzugleichen. Alle vorgestellten Module sind nicht nur insgesamt mit der Intune Suite, sondern auch als separate Add-ons zu Intune Plan 1 erhältlich. Zusammenfassend finden wir die Features der Intune Suite sehr gut mit enormen Potential, müssen hiervon aber momentan Enterprise App Management und Remote Help ausnehmen.

‍

‍

{{cta-box-alt="/dev/components"}}

‍

‍