14. Juli 2020
Softwareverteilung mit Microsoft Endpoint Manager (Intune)
Softwareverteilung mit Bordmitteln
Softwareverteilung kennen wir eigentlich nur aus großen Unternehmen, aber ist das im Zeitalter der Cloud nicht auch etwas für kleinere Unternehmen?
Jeder kennt das, ein neues Laptop ist schnell angeschafft, aber dann fängt es eigentlich erst so richtig an. Welche Software benötige ich denn eigentlich und wo sind die Installationsfiles?
Das alles beansprucht Stunden über Stunden und macht nicht wirklich Spaß.
Dateien zentral ablegen und synchronisieren kennen wir ja schon, das erspart uns aber nicht die zeitaufwändige Installation der Software.
Wir haben Intune, oder jetzt Microsoft Endpoint Manager schon lange lizensiert und nutzen auch die Verwaltung unserer Endgeräte. Allerdings ist die Installation von Software noch immer ein manueller Vorgang.
Wir nutzen ausschließlich Produkte aus der Cloud, also warum nicht auch auf eine cloudbasierte Softwareverteilung setzen?
01.
Bekannte Lösung
Windows Intune kennen wir schon lange, aber was ist daraus geworden? Hat sich nur der Name geändert, oder ist der Microsoft Endpoint Manager eine Lösung?
02.
Lösung aus der Cloud
Wir setzen von Beginn auf cloudbasierte Lösungen und möchten auf lokale serverbasierte Lösungen möglichst verzichten. Endpoint Manager ist cloudbasiert.
03.
Einfache Lizensierung
Wir haben uns an das Lizenzmodell von Microsoft gewöhnt und bevorzugen eine einfache Bereitstellungsmethode mit monatlicher Abrechnung. Das ist bei diese Lizenzen gegeben.
Was ist der Microsoft Endpoint Manager?
Microsoft Endpoint Manager ermöglicht die Bereitstellung eines modernen Arbeitsplatzes und eine moderne Verwaltung, um Ihre Daten, ob in der Cloud oder lokal, sicher zu speichern. Endpoint Manager bietet Ihnen die Dienste und Tools zur Verwaltung und Überwachung von mobilen Geräten, Desktop- und virtuellen Computern, Embedded-Geräten und Servern.
Endpoint Manager kombiniert Dienste, die Sie möglicherweise kennen und bereits nutzen, darunter Microsoft Intune, Configuration Manager, Desktop Analytics, Co-Verwaltung und Windows Autopilot. Diese Dienste sind Teil des Microsoft 365-Stapels und dienen zum Absichern des Zugriffs, zum Schützen von Daten sowie zum Reagieren auf und Verwalten von Risiken.
01.
Software packetieren
Der Endpoint Manager kann nicht mit .exe Dateien umgehen, er benötigt ein MSI Paket, oder eine .intunewin Datei, die recht einfach aus der .exe Datei erstellt werden kann.
02.
Hochladen und konfigurieren
Die fertige .intunewin Datei kann dann recht einfach hochgeladen und konfiguriert werden. Hierbei wird auch eine Kategorie und die Parameter zur Installation festgelegt.
03.
Software abrufen
Die Software kann als „required“, oder als frei verfügbar konfiguriert werden. Zum Test haben wir unsere Installationspakete im Unternehmensportal abgelegt.
Funktionsumfang
Endpoint Manager umfasst die folgenden Dienste:
Microsoft Intune: Intune ist ein vollständig cloudbasierte Lösung zur Verwaltung mobiler Geräte (MDM, Mobile Device Management) und mobiler Anwendungen (MAM, Mobile Application Management) für Apps und Geräte. Mit Intune können Sie Features und Einstellungen auf Geräten mit Android, Android Enterprise, iOS/iPadOS, macOS und Windows 10 steuern. Intune lässt sich in andere Dienste integrieren, darunter Azure Active Directory (AD), Abwehr von Bedrohungen für Mobilgeräte, ADMX-Vorlagen, Win32- und benutzerdefinierte branchenspezifische Apps und vieles mehr.
Wenn Sie über eine lokale Infrastruktur verfügen, z. B. Exchange oder Active Directory, sind auch die folgenden Intune-Connectors verfügbar:
- Der Intune-Connector für Active Directory fügt Ihrer lokalen Active Directory-Domäne Einträge für Computer hinzu, die sich mit Windows Autopilot registrieren. Weitere Informationen finden Sie unter Bereitstellen von in Azure AD Hybrid eingebundenen Geräten mit Intune und Windows Autopilot.
- Der Intune Certificate Connector verarbeitet Zertifikatsanforderungen von Geräten, die Zertifikate für die Authentifizierung und Verschlüsselung von E-Mail mit S/MIME verwenden. Weitere Informationen finden Sie unter Verwenden von Zertifikaten für die Authentifizierung.
Als Teil von Endpoint Manager dient Intune zum Erstellen und Überprüfen von Konformität sowie zum Bereitstellen von Apps, Features und Einstellungen auf Ihren Geräten mithilfe der Cloud.
Weitere Informationen finden Sie unter Was ist Microsoft Intune?.
Configuration Manager: Configuration Manager ist eine lokale Verwaltungslösung zum Verwalten von Servern, Desktop- und Laptopcomputern, die sich in Ihrem Netzwerk oder im Internet befinden. Sie können Configuration Manager cloudfähig machen, um die Integration in Intune, Azure Active Directory (AD), Microsoft Defender ATP und andere Clouddienste zu ermöglichen. Nutzen Sie Configuration Manager zum Bereitstellen von Apps, Softwareupdates und Betriebssystemen. Sie können auch Konformität überwachen, in Echtzeit Clientcomputer abfragen und Aktionen auf diese anwenden und vieles mehr.
Verwenden Sie Configuration Manager als Teil von Endpoint Manager weiterhin wie gewohnt. Wenn Sie bereit sind, einige Aufgaben in die Cloud zu verlagern, sollten Sie Co-Verwaltung in Betracht ziehen.
Weitere Informationen finden Sie unter Was ist Configuration Manager?.
Co-Verwaltung: Für Co-Verwaltung werden Ihre bisherigen Investitionen in lokalen Configuration Manager unter Verwendung von Intune und anderen Microsoft 365-Clouddiensten mit der Cloud kombiniert. Sie wählen, ob Configuration Manager oder Intune die Verwaltungsautorität für die sieben Workloadgruppen ist.
Als Teil von Endpoint Manager werden für Co-Verwaltung Cloudfeatures, wie z. B. bedingter Zugriff, verwendet. Sie belassen einige Aufgaben lokal, während Sie andere Aufgaben mit Intune in der Cloud ausführen.
Weitere Informationen finden Sie unter What is co-management? (Was ist die Co-Verwaltung?).
Desktop Analytics: Desktop Analytics ist ein cloudbasierter Dienst, der in Configuration Manager integriert ist. Der Dienst bietet Einblicke und Informationen, mit denen Sie fundiertere Entscheidungen zur Updatebereitschaft Ihrer Windows-Clients treffen können. Desktop Analytics kombiniert Daten aus Ihrer Organisation mit Daten, die von Millionen von mit der Microsoft-Cloud verbunden Geräten aggregiert wurden. Der Dienst bietet Informationen zu Sicherheitsupdates, Apps und Geräten in Ihrer Organisation und deckt Kompatibilitätsprobleme mit Apps und Treibern auf. Erstellen Sie ein Pilotprojekt für Geräte, die am ehesten die nützlichsten Erkenntnisse zu Ressourcen in Ihrer Organisation bieten.
Nutzen Sie als Teil von Endpoint Manager die cloudbasierten Erkenntnisse von Desktop Analytics, um Windows 10-Geräte auf dem neuesten Stand zu halten.
Weitere Informationen finden Sie unter Was ist Desktop Analytics?.
Windows Autopilot: Windows Autopilot richtet neue Geräte ein und konfiguriert Sie vorab so, dass sie einsatzbereit sind. Der Dienst wurde entwickelt, um den Lebenszyklus von Windows-Geräten sowohl für die IT-Abteilung als auch für Endbenutzer von der ersten Bereitstellung bis zum Ende der Lebensdauer zu vereinfachen.
Nutzen Sie Autopilot als Teil von Endpoint Manager zur Vorabkonfiguration von Geräten und zur automatischen Registrierung von Geräten bei Intune. Für komplexere Gerätekonfigurationen können Sie auch Autopilot, Configuration Manager und Co-Verwaltung integrieren (in der Vorschauphase).
Weitere Informationen finden Sie unter Übersicht über Windows Autopilot und Registrieren von Windows-Geräten in Intune mithilfe von Windows Autopilot.
Azure Active Directory (AD) : Azure AD wird von Endpoint Manager für die Identität von Geräten, Benutzern, Gruppen und Multi-Factor Authentication (MFA) verwendet. Azure AD Premium, das zusätzliche Kosten verursachen kann, verfügt über zusätzlichen Features, um Geräte, Apps und Daten zu schützen, einschließlich dynamischer Gruppen, automatischer Registrierung und bedingtem Zugriff.
Weitere Informationen finden Sie unter Hinzufügen von Benutzern und Gewähren von Administratorrechten für Intune, Registrierung von Windows-Gerätenund Erfahren Sie mehr zum bedingten Zugriff und Intune.
Endpoint Manager Admin Center: Das Admin Center ist eine zentrale Website, auf der Sie Richtlinien erstellen und Ihre Geräte verwalten können. Es ist in andere wichtige Geräteverwaltungsdienste eingebunden, einschließlich Gruppen, Sicherheit, bedingter Zugriff und Berichterstellung. In diesem Admin Center werden auch Geräte angezeigt, die von Configuration Manager und Intune verwaltet werden (in der Vorschau).
Funktionstest
Nun ist es an der Zeit die eigentlichen Funktionen zu testen.
Zuerst einmal definieren wir Gruppen für die unterschiedlichen Kategorien von Software. In unserem Fall sind das:
- Productivity
- Design
- Development
Dann ist es an der Zeit sich einmal am Endpoint Manager abzumelden.
Endpoint Manager Admin Center
Die Anmeldung erfolgt mit Ihren Azure AD Credentials unter https://endpoint.microsoft.com/, in meinem Fall bin ich globaler Admin und muss mir über Berechtigungen keine Gedanken machen.
Die erste Seite ist wenig spektakulär, es finden sich ein paar Informationen und auf der linken Seite das Menu.
Wichtig ist hierbei noch, dass die entsprenden Geräte bereits mit dem Endpoint Manager verwaltet werden, eine Übersicht hierzu findet man unter „Geräte“
Apps verwalten
Durch klicken auf Apps -> Windows werden uns alle Applikationen für Windows angezeigt.
Zum einen lassen sich hier die bereits konfigurierten Applikationen verwalten und korrigieren, zum anderen können durch „Add“ auch neue Softwarepakete hinzugefügt werden.
Fazit
Für uns bringt der Endpoint Manager alles mit, was wir brauchen. Wir werden den Service von Microsoft vollumfänglich nutzen und alle Softwarepakete darüber verteilen.
Bei manchen Softwareprodukten sind die Befehle über die Commandline nicht definiert, aber hier hilft Testen.
Auch im Internet finden sich zahlreiche Dokumentationen zu einzelnen Softwareprodukten und wie die verteilte Installation zu erfolgen hat.