Modernes Endpoint Management mit Microsoft 365
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
System-Management für Windows & Co.
Modernes Endpoint
Management mit
Microsoft 365
Know-how Die Pflege der internen Windows Clients ist zentral für die Sicherheit, für den
reibungslosen Betrieb und für die Zufriedenheit der Mitarbeiter. Doch wie sieht die optimale
Verwaltung von Endpoints im Unternehmen aus?
Von Thomas Kurth
INHALT
Modernes Endpoint Management mit Microsoft 365 36
Ins Home Office – dank Cloud-only Strategie 40
Virtualisierter Arbeitsplatz: Jetzt erst recht im Trend 43
Fallbeispiel: Im Schnelltempo ins Home Office 45
Marktübersicht: VDI-Angebote aus der Schweizer Cloud 48
36 Nr. 06 | Juni 2020 Swiss IT Magazine
System-Management für Windows & Co.
E
ndpoint Management ist ein Teilgebiet der Informatik bilität der Applikationen sich in den letzten Jahren stark verbes-
und bildet mit den Endgeräten die Schnittstelle zwi- sert hat und die meisten Middle-Applikationen wie Adobe Rea-
schen den Endbenutzern und allen IT Services. Wenn der, Java oder Browser problemlos im Betrieb aktualisiert
das Endgerät nicht korrekt konfiguriert ist oder Fehler werden können.
aufweist, dann sind sofort alle Services betroffen. Im Grundsatz
beinhaltet das Endpoint Management die zentrale Verwaltung Gesteigertes IT-Grundwissen der Mitarbeiter
der Betriebssysteme, Bereitstellung von Applikationen und Up- Doch es haben sich nicht nur die technischen Gegebenheiten
dates, die Inventarisierung, Konfiguration und Überwachung verändert, auch die Endbenutzer sind technikaffiner geworden,
der Sicherheitsfunktionen. Als Erweiterung sind auch Asset dadurch sind mehr Prozesse, wie zum Beispiel Password Reset
Management sowie Hardware und Software Lifecycle Manage- oder Windows Autopilot, als Self-Service implementiert, um
ment wichtige Komponenten. die Helpdesk-Organisationen zu entlasten. Ausserdem sind
durch diese Affinität auch die Erwartungen an den Arbeitsplatz
Evolution zum Modern Workplace gestiegen.
Noch vor über 10 Jahren war beim Thema Endpoint Manage- Microsoft bietet unterschiedlichste Abonnemente für Unter-
ment die Strategie klar: Es wurde mit allen Mitteln versucht, nehmen an, welche auf den ersten Blick kompliziert wirken.
alles zu standardisieren und die Endbenutzer so einzuschrän- Dies ist vor allem die Herausforderung, wenn man am Beginn
ken, dass Sie nur noch genau ihre Arbeit erledigen konnten. eines Projektes steht und erste einzelne Services nutzen möchte.
Dies hat sich mit den ersten Handhelds und Smartphones und Sobald mehrere Bestandteile genutzt werden, erhält man durch
anderen Bring-Your-Own-Geräten verändert, die Informatik Microsoft 365 viele Vorteile, indem viele Funktionalitäten mit-
musste reagieren. lizenziert sind. Wir
Dabei wurde fest- erkennen den Trend,
gestellt, dass ein MICROSOFT 365 LIZENZIERUNG dass viele Unterneh-
einfaches Blockie- men in den letzten
ren neuer Techno- M365 Business
M365 F3 M365 E3 M365 E5 Jahren von Office
Premium
logien nur zu Um- Fr. 19.70
Fr. 9.80 Fr. 36.70 Fr. 62.70 365 und Enterprise
gehungslösungen Mobility und Secu-
von Seiten der Office 365
Office 365 Office 365 F3 Office 365 E3 Office 365 E5 rity (EMS) auf die
Business Premium
Endbenutzer führt. Unternehmenslizenz
Dasselbe erkennen Windows 10 Windows 10 Windows 10 M365 E3 gewechselt
wir heute mit der Windows Windows 10 Pro Enterprise E3 Enterprise E3 Enterprise E5 haben. Microsoft 365
(eingeschränkt) pro User (inkl. VDA) pro User (inkl. VDA)
Nutzung von vereinfacht die Li-
Cloud Apps: Ob- Enterprise zenzierung, da
Mobility EMS SMB EMS F1 EMS E3 EMS E5
wohl diese in ei- & Security Grundlizenzen, wie
nem Unternehmen Funktionen können je nach Bundle variieren, Details entnehmen einzeln erhältlich zum Beispiel Intune,
verboten sind Sie der Microsoft Homepage und Verträgen. Preise gemäss nicht einzeln erhältlich Windows 10 und
(z.B. Dropbox), Homepage Microsoft Stand 28.5.2020. auch Office, bereits
Quelle: Microsoft
nutzen die Mitar- enthalten und da-
beiter sie trotz- Die Microsoft-Angebote für Unternehmen bieten verschiedene Konfigurationsmöglichkeiten. durch direkt nutzbar
dem. Mit dem Mo- sind. Mit diesem Ba-
dern Workplace wird versucht, weniger Einschränkungen zu sis-Package sind die meisten Unternehmen bestens bedient und
definieren und den Benutzern mehr Freiheiten zu geben, aber es bietet trotzdem die Möglichkeit, entweder spezifisch die Si-
dafür klare Sicherheitsrichtlinien zu definieren und diese über cherheits- (M365 E5 Security) oder Compliance- (M365 E5
alle Zugriffsmöglichkeiten durchzusetzen. Für Android sollen Compliance) Features oder die komplette E5-Variante bei Be-
dieselben Regeln gelten wie für Windows und iOS oder wenn darf zu abonnieren.
der Zugriff über einen Browser aus einem Internetkaffee getä- Die initial höheren Kosten der Bundles können bei der Re-
tigt wird. turn-on-Investment-Kalkulation meist einfach begründet wer-
den. Dies geschieht am einfachsten, indem bereits vorhandene
Sicherheitsanforderungen rücken den Endpoint Infrastrukturlösungen ebenfalls aus der Microsoft Cloud bezo-
in das Zentrum gen werden. Zum Beispiel können Microsoft-365-Kunden mit
Dadurch, dass Hacker-Angriffe und Malware vermehrt den Intune bestehende MDM/MAM-Systeme ersetzen oder mit
Endbenutzer und nicht mehr die Netzwerk-Firewall angreifen, Azure AD Conditional Access MFA Lösungen optimieren und
haben sich die Sicherheitsmassnahmen stark verändert. Insbe- so andere Lizenzkosten reduzieren.
sondere die Wichtigkeit und Frequenz der Bereitstellung von
Updates für die Betriebssysteme, Treiber, Firmware und Appli- Microsoft Endpoint Manager
kationen erfordern automatisierte Prozesse. Mit Cloud-Intelli- Microsoft hat im letzten Herbst die Produkte für Endpoint Ma-
genz kann dies effizienter, einfacher und mit tieferem Risiko ge- nagement neu organisiert und unter dem Brand Microsoft End-
löst werden. Die Hersteller haben zudem den Support Lifecycle point Manager (MEM) zusammengeführt. Dafür wurde auch
drastisch gekürzt und forcieren so Kunden, die Systeme zu ak- ein eigens angepasstes Azure-Portal entwickelt, welches die re-
tualisieren. Erfreulich ist ebenfalls zu sehen, dass die Kompati- levanten Tools auf einer Oberfläche zusammenfasst. Die einzel-
Swiss IT Magazine Nr. 06 | Juni 2020 37
System-Management für Windows & Co.
nen Produkte sind so zusammen verbun-
den, dass Kunden selbst auswählen kön- CLIENT-LIFECYCLE VON WINDOWS-GERÄTEN
nen, welche Funktionalität sie
beispielsweise aus der Cloud oder
On-Premises verwenden wollen. Zudem
vereinfachen Szenario-basierte Konfigu-
rationsassistenten den Einstieg, im Spezi-
ellen für KMU.
Microsoft Endpoint
Configuration Manager
Die wichtigste Ankündigung war die Los-
lösung des Configuration Manager
(MEMCM früher SCCM) aus der Sys-
tem-Center-Produktfamilie. Verstärkt
wurde dies durch die offizielle Aussage, es
handle sich dabei um ein Zeichen, dass Windows Autopilot erlaubt im Client Lifecycle Management von Windows-Geräten das Zurücksetzen (Reset &
Wipe) der Endpoints auf den Ursprungszustand (Out of the Box). Quelle: Basevision
dieses Produkt strategisch weiterentwi-
ckelt wird und nicht wie von einigen Quel-
len behauptet als Produkt auf dem Abstellgleis anzusehen ist. walten. Sofern ein Unternehmen bereits den Configuration Ma-
Schliesslich ist es auch eines der wenigen On-Premise-Produkte, nager nutzt und dies auch weiterhin möchte, ist auch dies mög-
das drei Mal pro Jahr erfolgreich ein neues Release Update mit lich. Durch den sogenannten Co-Management Mode können
vielen neuen Funktionalitäten bereitstellt. So bietet etwa die beide Verwaltungstools parallel genutzt werden, und mittels
Funktionalität Cloud Management Gateway eine einfache Mög- Schieberegler lässt sich pro Workload definieren, welches Sys-
lichkeit, Geräte ausserhalb des Unternehmens zu verwalten, was tem diesen steuert. So kann zum Beispiel die Applikationsver-
in der aktuellen Situation mit viel Home Office sehr nützlich ist. teilung noch mit dem Configuration Manager gesteuert werden,
aber Windows Updates bereits mit Intune.
Mobile Devices mit Microsoft Intune verwalten
Zu MEM gehört auch Microsoft Intune, welches sich in den Datengestützte Empfehlungen für Rollouts mit
letzten Jahren zu einem top Mobile-Device-Management-Sys- Desktop Analytics
tem entwickelt hat. Wir beobachten schon seit längerem, dass Mit Desktop Analytics nutzt Microsoft die Cloud-Intelligenz,
immer mehr Unternehmen durch die Lizenzsituation und auch um Applikationsinkompatibilitäten und Testabläufe für die
durch diese Entwicklung von Drittanbieterprodukten Richtung schnellen Update-Zyklen zu verbessern. Bisher wurden Testge-
Microsoft Intune wechseln und dadurch vom ganzen Micro- räte zufällig oder darauf basierend, dass Sie einem IT-Mitarbei-
soft-Cloud-Ökosystem profitieren können. Microsoft Intune ter zugeordnet sind, ausgewählt. Doch dies führt zu schlechten
eignet sich nicht nur für KMU, sondern auch für Grossunterneh- Testergebnissen, da diese Nutzergruppen meist nicht die wich-
men bestens, um Windows-, Android- und iOS-Geräte zu ver- tigsten Business-Applikationen verwenden. Desktop Analytics
unterbreitet Vorschläge, um eine Test-
gruppe mit einer möglichst hohen Ab-
deckung von Applikationen und Trei-
bern zu erstellen.
Vereinfachte Bereitstellung
von neuen Geräten
Das Bereitstellen von neuen Geräten,
früher oft mit Images, benötigt viel
Aufwand, um die korrekten Treiber
und Konfigurationen für die jeweilige
Gerätemodelle bereitzustellen.
Windows Autopilot ermöglicht, die-
sen Schritt zu optimieren und das vom
Hersteller konfigurierte Betriebssys-
tem direkt ins Unternehmensnetzwerk
einzubinden. Dadurch vereinfacht
sich der Rollout, sodass ein Benutzer
selbst ein Gerät in Betrieb nehmen
oder zurücksetzen kann. Wichtig ist
Das Microsoft Defender Security Center gibt Informationen zum Security-Status der Geräte aus und erlaubt feinglied- hierbei, dass die Geräte nur mit
rige Konfiguration der Sicherheitsmassnahmen. Windows, den Treibern und ohne spe-
38 Nr. 06 | Juni 2020 Swiss IT MagazineSystem-Management für Windows & Co.
Vereinfachtes Konfigurationsmanagement aus
KEY TAKE-AWAYS: der Cloud
Mit Microsoft Intune besteht die Möglichkeit, spezielle Konfi-
• Das beste von der Cloud und On-Premise kombiniert mit Microsoft End- gurationen, aber auch die Sicherheitskomponenten zu verwal-
point Manager. ten. So ist es möglich, die Microsoft Security Baselines sehr
• Self-Service anbieten. einfach auf den Geräten bereitzustellen und zu aktualisieren.
• Automatisierung nutzen, um repetitive Betriebstätigkeiten zu vereinfachen. Diese Baselines helfen vielen Unternehmen, eine Grundsicher-
• Anwendungsaktualisierungen planen und regelmässig durchführen. heit ohne hohen Rechercheaufwand und Vorkenntnisse zu errei-
• Treiber und Firmware proaktiv aktualisieren und konfigurieren. chen. Zudem sind gegenüber den traditionellen GPOs auch Aus-
wertungen möglich, ob die Einstellungen korrekt gesetzt wur-
den, und Abweichungen lassen sich erkennen. Dieser
zielle Zusatzapplikation (Trials, Spiele) bestellt werden. Micro- Feedback-Kanal für Einstellungen ist besonders wichtig, um
soft nennt diese Bereitstellung Signature Edition, leider sind die durch Angreifer durchgeführte Manipulationen frühzeitig wahr-
Hersteller sehr unterschiedlich in deren Handhabung. Der End- zunehmen und Gegenmassnahmen einzuleiten.
benutzer kann während dem Enrollment spezifische Einstellun-
gen wie die Sprache oder das Tastaturlayout auswählen. Im Hin- Eingebaute Sicherheitsfunktionen nutzen und
tergrund werden unternehmensspezifische Konfigurationen an- Upgrade-Prozesse vereinfachen
gewendet, Anwendungen installiert und dem Um die schnellen Update-Zyklen des Betriebssystems mit mög-
Unternehmensnetzwerk beigetreten. Am Ende ist das Gerät be- lichst wenig Abhängigkeiten ohne Probleme durchführen zu
reit für den Benutzer. Oft stellt sich die Frage, ob dies denn ein können, empfiehlt es sich möglichst, die Bordmittel zu verwen-
Endbenutzer kann. Klar kommt dies auf die Benutzer an, aber den und wenige bis keine Drittanbieter-Applikationen, die tief
im Grossen und Ganzen können 90 Prozent von ihnen ihren ins Betriebssystem eingreifen. Deshalb sollte man in Projekten
Heimcomputer selbst in Betrieb nehmen, und daher funktioniert Windows Defender und Microsoft Defender Advanced Threat
dies mit Windows Autopilot sehr gut. Protection (MDATP) einsetzen, eine der neuesten Cyber-Ab-
Sobald sich der Benutzer anmeldet, werden spezifische Kon- wehr-Technologien von Microsoft. Der Vorteil in Bezug auf
figurationen wie das Benutzerprofil angewendet, zudem kann Endpoint Management ist, dass beide Produkte fest ins Be-
der Benutzer nun Applikationen aus dem Applikationskatalog triebssystem integriert und daher auch von Microsoft für das
installieren. Ab diesem Zeitpunkt befindet sich das Gerät im Upgrade getestet sind. Zudem integrieren sie sich in das zent-
produktiven Betrieb und die Workplace-Management-Aufga- rale Microsoft Threat Protection Backend, was es ermöglicht,
ben, wie die Inventarisierung und das Aktualisieren der unter- mit anderen Microsoft-Sicherheitsprodukten Daten auszutau-
schiedlichen Komponenten, beginnen. schen. Zu den Kernfunktionen gehören die Überwachung, ver-
haltensbasierte Bedrohungs- und Schadsoftware-Erkennung,
Update- und Vulnerability Management automatische Wiederherstellung sowie die Erkennung von Si-
Die Anwendungsaktualisierung wurde durch die Möglichkeit, cherheits- und Konfigurationsproblemen in Echtzeit.
Update-Kataloge von Drittherstellern in MEMCM einzubinden,
stark vereinfacht. Dadurch können zum Beispiel mit Patchmypc. Fazit
com über 150 Anwendungen ohne Paketieraufwände automa- Die Anforderungen der Benutzer an die Geräte und Applikatio-
tisch aktualisiert werden. Dies reduziert die Aufwände für die nen, mit denen sie arbeiten wollen, haben sich in den letzten Jah-
Aufgabe drastisch. Insbesondere, da viele Middleware-Anwen- ren massiv verändert. Mit Microsoft 365 stellt Microsoft eine
dungen mehrmals jährlich oder sogar monatlich Sicherheitslü- Produktpalette bereit, welche nicht nur Produktivitäts-Tools wie
cken beheben, helfen die Update-Kataloge, sich von einer reak- Office 365, Teams und PowerBI beinhaltet. Mit der Enterpri-
tiven Anwendungsaktualisierung in eine proaktive zu entwi- se-Mobility-und-Security-Suite und Windows 10 kann Endpoint
ckeln. Interessant ist hier ebenfalls, dass Microsoft mit Microsoft Management für einfache bis sehr komplexe und von traditionell
Defender Advanced Threat Protection (MDATP) eine Vulnara- On-Premise- bis Cloud-Only-Umgebungen optimal gelöst wer-
bility-Management-Lösung anbietet, die hilft, diese Prozesse zu den. Durch das Baukastensystem lassen sich genau die Funktio-
überwachen. Dabei wird sofort aufgezeigt, für welche im Unter- nalitäten aktivieren, die dem eigenen Unternehmen und den Be-
nehmen eingesetzte Software bekannte Sicherheitslücken vor- nutzern Vorteile bieten, um den Betrieb zu optimieren und den
handen sind. veränderten Anforderungen gerecht zu werden.
Doch nicht nur die Anwendungen müssen aktualisiert werden,
auch die Treiber und das Betriebssystem müssen regelmässig auf
den neuesten Stand gebracht werden, um vor Sicherheitslücken DER AUTOR
zu schützen – aber auch, um von Geschwindigkeits- und Stabili-
tätsoptimierungen zu profitieren. Hier bietet Windows Update for Thomas Kurth ist Mitgründer von Basevision und
Business bereits viele Treiber-Aktualisierungen über denselben berät Kunden seit über zehn Jahren beim Umset-
Kanal wie die Windows Updates an. Dies kann etwa ein Grund zen von Endpoint-Management-Projekten mit
sein, um diesen Workload von MEMCM nach Intune zu ver- Microsoft-Technologien. Er teilt sein Wissen in
schieben. Wenn aber mehr Kontrolle und Übersicht über diese Blogs, Referaten und Trainings und wurde dafür als
Aktualisierungsprozesse gewünscht ist, wäre nach wie vor eine Microsoft MVP ausgezeichnet.
MEMCM-Integration die bessere Lösung.
Swiss IT Magazine Nr. 06 | Juni 2020 39Sie können auch lesen
