Cloud

In unserem ersten Beitrag  Intune getting started  haben wir über die Voraussetungen zur Nutzung von Intune sowie die Abindung von Azure AD Connect zum Synchronisieren der Nutzer gesprochen. Weiterhin sind wir auf die Registrierung der Geräte in Azure AD eingegangen.
Sind Ihre Geräte dem Azure AD beigetreten oder darin registriert, können Sie für die Arbeit nötige Software an die Geräte verteilen.

Programme können entweder automatisch auf allen zugewiesenen Geräten installiert, oder über das Unternehmensportal in einem firmeninternen Store zur Verfügung gestellt werden. Zunächst müssen jedoch die jeweiligen App Stores der Hersteller angebunden, oder die Software paketiert werden.

Für Windows Geräte muss die Software ggf. paketiert werden. Windows native Formate wie MSIX oder APPX können ohne weiteren Aufwand verteilt werden. Für auf .EXE basierende Installationsroutinen stellt Microsoft ein spezielles Tool zur Verfügung, das zu nutzen ist.

Anwendungen auf dem Microsoft Store können ebenfalls ausgerollt werden, sobald der Windows Store for Business angebunden und konfiguriert ist.

Wir empfehlen, jede Software mit dem von Microsoft zur Verfügung gestellten Tool als “Win32” Anwendung zu paketieren. Ansonsten kann es in der Autopilot Phase zu Problemen kommen, wenn MSIX und Win32 Programme installiert werden sollen.

Zusätzlich steht für Windows das PowerShell Deployment Toolkit zur Verfügung, über das Sie erweitere Funktionen wie Installationsphasen vor und nach der Installation, Installationen über einen Neustart hinweg etc. nachrüsten können. Das Framework basiert vollständig auf PowerShell und oft ist in Verbindung mit den Microsoft Docs eine gute Möglichkeit, komplexere Anforderungen zu erfüllen.

Für Android oder iOS/iPadOS Geräte muss der jeweilige Store des Herstellers angebunden werden, um eine bequeme Verteilung zu ermöglichen. Hierfür müssen Sie sich bei Apple bzw. Google registrieren bzw. verifizieren. Planen Sie dazu einen Puffer von ca. 1 Woche ein. Apple überprüft Ihre Daten sehr gründlich. Gegebenen Falls müssen diese zuerst noch korrigiert werden.

Selbstverständlich können Sie auch eigene Apps hochladen und verteilen. Bitte stellen Sie jedoch sicher, dass diese Apps korrekt paketiert und signiert wurden, damit sie den Anforderungen des jeweiligen Stores gerecht werden.

Über das Unternehmensportal können Sie Ihren Mitarbeitern optionale Software anbieten. Mitarbeiter können sich diese selbstständig installieren oder sie wieder entfernen. Letzteres geschieht offensichtlich eher selten. Bei lizenzpflichtiger Software sollten Sie daher sicherstellen, dass Sie die Anzahl der Installationen im Auge behalten. Fordert die Software jedoch einen Benutzerlogin, wie zum Beispiel die Adobe Creative Cloud, stellt dies kein Problem dar. Stellen Sie dennoch sicher, dass Logins nicht weitergegeben werden.

Betriebysysteminstallation mit Autopilot

Wie andere Programme zur Softwareverteilung auch, können Sie mittels Intune die Installation von Windows beeinflussen. Vorbereitend müssen die Geräte jedoch im Autopilot hinterlegt sein. Im Idealfall wird dies durch Ihren Händler für Sie erledigt.

Bestandsgeräte können manuell über das Ausführen eines Skripts auf den jeweiligen Geräten und dem Importieren der daraus resultierenden Datei importiert werden. Beim nächsten Zurücksetzen des Gerätes werden diese dann über den Autopilot Mechanismus installiert. 

Wichtigstes Feature des Autopiloten ist die Konfiguration der OOBE Phase, in der Sie verschiedene Dialoge ein- bzw. ausblenden können. Das Gerät kann hierdurch ebenfalls automatisch einen hybriden Beitritt ausführen. Zusätzlich wird konfiguriert, ob die Geräte, denen das Profil zugewiesen ist, dem installierenden Nutzer administrative Rechte erteilen oder nicht. 

Bereits während der OOBE Phase kann als erzwungen zugewiesene Software installiert und das Gerät verschlüsselt werden. Ihre Firmendaten sind somit sicher.

Zu Emfehlen ist generell die erzwungene Installation des Unternehmensportals, da es eine wichtige Komponente von Intune darstellt.

Auch Apple und Google bieten gleichwertige Möglichkeiten zum Installieren ihrer Geräte:

Apple Device Enrollment Programm
Android Enterprise Enrollment

 Sind die Geräte beim jeweiligen Hersteller hinterlegt, kann man sie mit Intune verknüpfen. Bei der Installation werden sie an Intune weitergeleitet, bekommen

ihr Profil übertragen und installieren sich entsprechen nach den Vorgaben. Das Unternehmensportal wird ebenfalls mitinstalliert. Bei Android ist der Microsoft
Authenticator zusätzlich essentiell.

Richtig konfiguriert kann der Anwender das Gerät nur noch wie gewünscht installieren 😊
Für die Sicherheit Ihrer Unternehmensdaten sorgen die in Intune konfigurierten 
Richtlinien für MDM oder MAM.

Wie auch bei Windowsgeräten können Sie den Anwendern über das Unternehmensportal Software zur Verfügung stellen. Ihre Nutzer können hier wie gewohnt Ihre Geräte einsehen und auf Kompatibilität mit den Unternehmensrichtlinien prüfen.

Im Mobilen Kontext erfüllt das Unternehmensportal jedoch noch einen Weiteren Zweck:

Es agiert als Authentifizierungsbrücke für Single Sign on und ist daher unerlässlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Neueste Kommentare