Das Rad neu erfinden

Verfasst vonClick Coach - Approach the CoachVeröffentlicht inCloud Dienste, Endpoint Management, M365Schlagwörter:, , , , , , ,

Microsoft beschreibt seine Endpoint Lösung in einem Satz so:

„Microsoft Endpoint Manager is a single, integrated endpoint management platform for managing all your endpoints.“

Ein Ring um sie alle zu binden… 🙂 Frei nach Tolkien.

Manchmal kommt es einem so vor als würde sich Technologie immer schneller entwickeln und erneuern. Wenn man sich dann aber ein Unternehmens-Netzwerk genauer anschaut, so wird man Konzepte und Ideen vorfinden, die nicht ganz so neu sind. Windows Domains, Active Directory, Group Policy (GPO)…. Seit über 20 Jahren gibt es das in der einen oder anderen Form. Auch wenn mit der Zeit praktische Neuerungen wie Group Policy Präferenzen oder PSO’s (Gruppenbasierte Passwort Objekte) dazu gekommen sind: Group Policy findet man in jedem grösseren Unternehmen vor. Es geht auch um ‚Configuration Management‘, also darum eine grössere Anzahl von Systemen möglichst gleich aussehen zu lassen. Vom Netzwerklaufwerk bis zum Bildschirm-Hintergrund: Alles lässt sich per GPO einstellen. Damit das geht braucht es eine Domäne und einen Domänen-Controller (DC). Der Computer hat ein Computerkonto und muss von Zeit zu Zeit mit dem DC sprechen damit er die neuen Einstellungen bekommt. Was eher schlecht funktioniert: Computer, die monatelang unterwegs sind und über längere Zeit keinen Kontakt zum Firmennetzwerk haben.

Jetzt gibt es auch hier eine Bewegung in Richtung Cloud. Im ersten Teil von mehreren Beiträgen geht es darum wie wir Standard-Windows Systeme, die im Unternehmensnetzwerk integriert sind zusätzlich noch per InTune verwaltet werden können. In weiteren Beiträgen schauen wir uns dann noch an wie das auch mit Nicht-Windows Geräten und BYOD (Bring your own device), also persönlichen Geräten geht.

One ring to rule them all
Die wunderbare Welt von Microsoft InTune

Was sind die Vorbedingungen um einen Geschäfts-PC auch mit InTune verwalten zu können?

Ersetzt das Configuration Management im InTune die Group Policy Einstellungen? Eher (noch) nicht. Es gibt mehrerere tausend Einstellungen, die per GPO gemacht werden können aber nicht alle sind 1:1 in InTunes vorhanden. Es lohnt sich aber schon sich zu diesem Thema Ueberlegungen zu machen weil das dümmste was passieren könnte, sind ja gegensätzliche oder doppelte Einstellungen weil ein Geräte sowohl über GPO als auch über InTunes Konfigurationsinformationen erhält. Auch dafür gibt es diverse Tools und Hilfsmittel, die wir dann in einem späteren Beitrag anschauen wollen.

Nachdem wir nun die Bedingungen erfüllen und alles korrekt konfiguriert haben, ist unser ‚Next Stop‘ das Endpoint Portal und im speziellen die ‚Configuration Profiles‘ für Windows Devices. Gemeint ist übrigens immer Windows 10 und aufwärts. Windows 8.1 würde zwar gehen aber braucht dann Zusatzaufwand und wer hat das noch im Einsatz?

Klicken wir hier nun auf ‚Create Profile‘ dann wählen wir die Platform Windows 10 und dann haben wir 2 Varianten:

  • Settings Catalog
  • Templates

Templates sind genau das, eine Sammlung von Einstellungen für ein bestimmtes Thema. Wir können aber auch bei 0 anfangen und aus dem Settings Catalog das auswählen, was uns gefällt.

Ein Beispiel wäre der ‚Default Search Provider‘ für den Edge Browser:

Nachdem die Einstellungen konfiguriert wurden gibt es noch einige andere Möglichkeiten die Verteilung zu steuern. In der Uebersicht zur Erstellung sieht man das recht schön:

  • Bei den ‚Scope Tags‘ geht es um die Zuweisung der administrativen Rollen. Wer kann überhaupt welche Configuration Profiles bearbeiten? Aehnlich wie bei Group Policy muss ja nicht jeder Intune Admin alles bearbeiten können sondern nur für seine Region oder seinen Bereich.
  • Bei den ‚Assignments‘ geht es darum zu definieren für wen diese Einstellungen gelten und für wen nicht. Es können auch Ausnahmen definiert werden. Also ‚für alle Benutzer und Geräte‘ aber natürlich nicht für den CEO.

Wann werden nun diese Aenderungen auf die Geräte heruntergeschrieben? Von Group Policy wissen wir seit 20 Jahren: Beim Starten des Gerätes oder alle 90 Minuten oder dann halt ein GPUPDATE /FORCE. Bei InTunes gelten andere Regeln und auch hier muss ich auf einen späteren Beitrag vertrösten. Ebenfalls spannend: Was passiert bei Konflikten, also wenn ich mehre Configuration Profiles definiert habe mit sich überschneidenden Einstellungen?

  • Beteiligt euch an der Diskussion oder macht Vorschläge via Vorschlaghammer
  • Oder kauft euch das T-Shirt und unterstützt die Redaktion
Configuration Management mit Endpoint Manager

Veröffentlicht von Click Coach - Approach the Coach

I’ve been working in IT for over 20 years, mainly within the Microsoft world. Over the years, I’ve come across the same questions and problems again and again. On my blog, I share tips and tricks on all kinds of IT topics. It’s not meant for IT pros — but they’re welcome to read along too! 😊

Hinterlasse einen Kommentar