Meister aller Klassen: Windows Intune – PC-Verwaltung durch andere Personen
In den Bereichen Überwachung und Verwaltung kann ein cloudbasierter Service die ideale Lösung sein.
Greg Shields
Die Cloud ist vielleicht zum jetzigen Zeitpunkt noch nicht das Richtige für jeden, die in der Cloud gehosteten Dienste sind jedoch mit Sicherheit das Richtige. Bevor Sie jetzt sagen, dass dies keinen Unterschied macht, denken Sie an die Dienste in der Cloud, die Sie bereits verwenden. Ihre Antivirensignaturen und monatlichen Windows-Updates kommen von irgendwo her. Antispamfilter stammen mit Sicherheit aus einer Quelle, die Sie nicht selbst kontrollieren. Auch die E-Mail selbst wird letzten Endes von Ihren internen Servern über einen externen Anbieter gesendet, bevor sie den beabsichtigten Empfänger erreicht.
Unsere Branche hat sich einen schlechten Dienst erwiesen, als sie die von externen Anbietern gehosteten Dienste mit dem verschwommenen Begriff "Cloud" bezeichnete. Wir haben versucht, die Internetvarianten der Lösungen, die wir seit Jahren verwenden und denen wir seit Jahren vertrauen, zu kategorisieren.
Für die meisten von uns ruft die Erwähnung von Diensten "in der Cloud" durch Anbieter irrationale Ängste hervor. In Wirklichkeit unterscheiden sich die Clouddienste nur wenig von den Diensten, auf die wir uns seit langem verlassen. Manchmal sind sie sogar nützlicher. Windows Intune ist ein perfektes Beispiel hierfür.
Dies ist ein wichtiger Weckruf. Sie müssen erkennen, dass extern gehostete Dienste die perfekte Lösung für die Verwaltung Ihrer Windows-PCs darstellen können. Als Clouddienste sind diese Offsitedienste perfekt für IT-Spezialisten geeignet, die die Computerressourcen nicht an einem Ort einsperren können. Wenn es Laptops gibt, die von Außendienstmitarbeitern verwendet werden, dann sind cloudbasierte Tools wie Windows Intune die perfekte Lösung für ihre Verwaltung, unabhängig davon, wo sich diese Ressourcen befinden.
Auch wenn Ihre Computer das Büro niemals verlassen, können Sie mit cloudbasierten Lösungen wie Windows Intune Verwaltungsfunktionen hinzufügen, ohne Server hinzufügen zu müssen. Ein Server weniger ist ein Server weniger, den Sie verwalten müssen. Sie haben mehr Zeit, sich um andere Aufgaben zu kümmern. Wenn Sie sich die Verwaltungsautomatisierung wünschen, die sich nur große Unternehmen leisten können, dann werden Sie es vielleicht zu schätzen wissen, dass Windows Intune dies für Sie leisten kann.
Überwachen von PC-Verhaltensweisen
Windows Intune stellt einen weiteren Onlinedienst in der wachsenden Microsoft-Suite von abonnementbasierten Onlinediensten dar. Windows Intune zentralisiert die Ressourceninventarisierung, das Patchen, den Endpunktschutz, die Warnungen und die Funktionen für die Remotesteuerung in einer einzelnen webbasierten Konsole. Die Konsole selbst wird von Microsoft gehostet. Die Verwaltung Ihrer Systeme beginnt mit der Navigation zu Windows Intune. Der auf den einzelnen PCs installierte Agent leitet die Informationen an Microsoft weiter, sodass Sie keinen weiteren Server betreiben und warten müssen.
Nun verfügen Sie über eine externe Sammlung von Metadaten über Ihre Systeme. Microsoft ist mit Windows Intune nicht daran interessiert, Daten zu speichern, die Sie als sensibel oder proprietär betrachten. Die erfassten Daten betreffen speziell die Computerkonfigurationen, eine Datenkategorie, deren Risikostufe von den meisten als gering eingeschätzt wird.
Die Erfassung von Daten über die PC-Verhaltensweisen ist für jede IT-Abteilung von enormer Bedeutung. Nur wenige verfügen jedoch über die erforderlichen Tools hierfür. In der webbasierten Windows Intune-Konsole (siehe Abbildung 1) wird Ihnen eine konsolidierte Übersicht über meldungspflichtige Aktivitäten und Verhaltensweisen der verwalteten Computer angezeigt. Dabei handelt es sich um Überwachungsfunktionen für schwer feststellbare Probleme wie beschädigte Festplatten und Speicherfehler. Ähnlich wie im Fall der Warnungen, die der große Bruder von Windows Intune bereitstellt, Microsoft System Center Operations Manager (SCOM), bieten Ihnen die 380 verschiedenen Typen von Warnungen in Windows Intune eine detaillierte Prognose des Status Ihrer PCs.
.jpg)
Abbildung 1 Windows Intune stellt Ihnen eine Vielzahl von Warnungen bereit.
Einfachheit ist einer der zentralen Werte von Windows Intune. Diese Einfachheit steht in scharfem Gegensatz zur detaillierten und unendlich anpassbaren Warnungsinfrastruktur von SCOM. SCOM stellt zwar ein umfassendes Paket von aufeinander bezogenen Überwachungsfunktionen, Verwaltungspaketen und Optimierungsüberschreibungen bereit, seine Infrastruktur ist jedoch häufig zu aufwendig für einfache Überwachungsanforderungen. Windows Intune konfiguriert und optimiert die Warnungen für Sie. Sie erhalten eingeschränkte Optionen für das Aktivieren oder Deaktivieren von Warnungen und für deren Weiterleitung an den korrekten E-Mail-Empfänger.
Schützen der Clients
Der größte Vorteil von Windows Intune ist der Clientschutz. Windows Intune unterstützt den Endpunktschutz mittels einer angepassten Version des Microsoft Forefront Endpoint Protection-Clients. Es kann außerdem für die Bereitstellung von Microsoft-Updates mittels eines zentral verwalteten Windows Update-Clients verwendet werden. Die Verwaltung dieser Einstellung mittels Windows Intune entfernt diese aus der Steuerung vor Ort. Dies stellt außerdem sicher, dass Richtlinien eingehalten werden.
Sowohl die Unterstützung für Antimalwarefunktionen als auch für Updates sind absolut erforderlich (siehe Abbildung 2). Dies stellt eine der Entwurfsentscheidungen von Microsoft dar, die als besonders intelligent zu bezeichnen sind. Die Domänenmitgliedschaft der verwalteten Clients ist für Windows Intune nicht relevant. Sie können Ihre Clients mittels eines einzelnen, zentralen Diensts verwalten, unabhängig von der Domänenmitgliedschaft. Es kann sich um Clients im LAN oder im Internet handeln. Es kann sich um Ressourcen handeln, die sich in Ihrem Besitz befinden, oder um Ressourcen, die sich nicht in Ihrem Besitz befinden. Plötzlich stellen die Risiken, die mit Heim-PCs von Mitarbeitern verknüpft sind, eine weniger große Gefahr dar.
.jpg)
Abbildung 2 Windows Intune stellt Ihnen auch eine große Zahl von Malwareberichten bereit.
Aufgrund der intelligenten Entscheidung, Windows Intune von der Windows-Domäne zu trennen, stellt Microsoft Ihnen einen besseren Schutz für interne Ressourcen bereit. Der Heim-PC Ihres Mitarbeiters ist nun genau so gut wie der von Ihnen bereitgestellte Laptop geschützt. Dieser Laptop bleibt unter Ihrer Verwaltungskontrolle hinsichtlich Updates und Antimalwaresignaturen, auch wenn er niemals mehr zum Büro zurückkehrt. Schutz vor dem Eindringen von Malware in Ihr Netzwerk – das ist Kontrolle.
Windows Intune erreicht dies durch einen kleinen Satz konfigurierbarer Richtlinien. Aktuell gibt es zwei Richtlinien für die Steuerung des Agentenverhaltens und der Firewalleinstellungen. Eine dritte Richtlinie bietet Ihnen die Möglichkeit, Kontaktdaten für den Fall, dass Benutzer Support benötigen, bereitzustellen. Diese ersetzen nicht die Windows-Gruppenrichtlinien. In der Zukunft wird es möglicherweise weitere Richtlinien geben, wenn diese als nützlich für verbundene Clients erachtet werden.
Zukünftiges Verwaltungsframework
Dank der integrierten Hardware-, Software- und Lizenzinventarisierungsfunktionen stellt Windows Intune Ihnen eine angemessene Detailtiefe für die Verwaltung von PCs bereit. Es lässt sich jedoch nicht verbergen, dass die aktuellen Windows Intune-Dienste noch vergleichsweise einfach sind. Die vollständige Verwaltungsautomatisierung erfordert zusätzliche Funktionalität, u. a. die Bereitstellung von Software, Updates anderer Anbieter und das Ausführung von Skripts. Dies ist jedoch ein guter Anfang. Als Onlinedienst stellt Windows Intune einen Schritt in die richtige Richtung für Microsoft dar. Es bildet auch den Rahmen für die spätere Hinzufügung dieser zukünftigen Verwaltungsfunktionen.
Mit Onlinediensten ist Microsoft von Produktversionszyklen befreit. Der Aufwand für die Entwicklung neuer Funktionen ist außerdem sehr viel geringer, da die Agentendaten und die Tools für die Verwaltung innerhalb der Microsoft-Infrastruktur zentralisiert sind. Windows Intune stellt einen beeindruckenden Anfang dar. Ob IT-Abteilungen Diensten für die PC-Verwaltung vertrauen, die von externen Anbietern gehostet werden, wird die Zukunft zeigen.
.jpg)
Greg Shields, MVP, ist Partner bei Concentrated Technology. Weitere Tipps und Tricks aus der Kolumne von Greg Shields finden Sie unter ConcentratedTech.com.