Skip to main content
TechNet

Cloudsicherheit: Verwalten der Cloud mit Windows Intune

Windows Intune ist eine neue cloudbasierte Verwaltungslösung für PCs, die Ihnen hilft, die PCs Ihres Unternehmens zu schützen, zu aktualisieren und zu verwalten, unabhängig davon, wo diese sich befinden. Wir werden die einzelnen verfügbaren Arbeitsbereiche sowie die entsprechenden Vorteile detailliert beschreiben. Wir werden außerdem die technische Architektur behandeln. 

Paul Bourgeau

Worum geht es beim Cloudcomputing? Alle scheinen zurzeit vom Cloudcomputing zu reden. Mittlerweile haben Sie sich sicher bereits informiert, um herauszufinden, warum Sie sich wegen der Cloud Gedanken machen sollten oder, wie dies vielleicht der Fall für Sie ist, warum Sie sich keine Gedanken machen sollten. 

Die Argumente für das Cloudcomputing als Plattform für die Bereitstellung von IT-Diensten sind für viele Unternehmen überzeugend. Die IT-Umgebungen von heute haben sich zu disparaten, verteilten Umgebungen entwickelt, die es immer schwieriger machen, diese mittels traditioneller Tools vor Ort zu verwalten. In der Regel gibt es jedoch einen gemeinsamen Nenner: die Internetkonnektivität. Wenn sich Ihre IT-Abteilung also Herausforderungen wie einer zunehmend mobilen Mitarbeiterschaft, Außendienstmitarbeitern, geografisch weit verteilen Büros, Niederlassungen oder Zweigstellen gegenüber sieht, dann sollten Sie Clouddienste vielleicht in Betracht ziehen.

Cloudbasierte Dienste gibt es seit einiger Zeit. Gewöhnlich konzentrieren sich diese auf eine kleine Zahl von Lösungen, wie die Verwaltung von Kundenbeziehungen und E-Mail. Bei den Unternehmen, die diese Arten von Lösungen nutzen, handelte es sich in der Regel um kleinere Unternehmen. Dieser Trend ändert sich jedoch zurzeit. 

Zusätzlich zu kleinen und mittelständischen Unternehmen migrieren nun auch die IT-Abteilungen größerer Unternehmen einen Teil ihrer Infrastruktur zur Cloud. Außerdem wird eine größerer Zahl von Lösungen als gehosteter Dienst angeboten, sodass Unternehmen den gesamten IT-Betrieb zur Cloud migrieren können, und nicht nur einzelne Bereiche. Microsoft hat sich der Cloud als Teil seiner Zukunft verpflichtet und bietet eine Vielzahl von Diensten an, wie z. B. Windows Azure, HealthVault, Exchange Online und Live Meeting.

Die Entscheidung für einen webbasierten Dienst hat zahlreiche Vorteile, darunter:

  • Einfacher Einstieg und einfache Ausführung
  • Ergebnisse in kurzer Zeit
  • Keine Infrastruktur vor Ort erforderlich
  • Abonnementbasiertes Nutzungsmodell mit niedrigen und vorhersagbaren Kosten
  • Unterstützung unterschiedlicher IT-Ökosysteme
  • Verwaltung von Windows-PCs unabhängig vom Standort

Windows Intune ist eine neue cloudbasierte Verwaltungslösung für PCs, die Ihnen hilft, die PCs Ihres Unternehmens zu schützen, zu aktualisieren und zu verwalten, unabhängig davon, wo diese sich befinden. Wir werden die einzelnen verfügbaren Arbeitsbereiche sowie die entsprechenden Vorteile detailliert beschreiben. Wir werden außerdem die technische Architektur behandeln. 

Übersicht über die Architektur von Windows Intune

Bei der Entwicklung eines Onlinediensts müssen bestimmte Kriterien berücksichtigt werden:

Zuverlässigkeit: Nichts schadet dem Vertrauen in einen cloudbasierten Dienst mehr als der Ausfall der Site, wenn Benutzer sich anmelden möchten. Windows Intune stellt ein finanziell abgesichertes Service Level Agreement mit einer garantierten Betriebszeit von 99,9 Prozent bereit.

Reaktionsgeschwindigkeit: Windows Intune wird Ihnen nicht viel Zeit einsparen, wenn Sie sich jedes Mal, wenn Sie eine Aktion durchführen, den blauen, drehenden Ring ansehen müssen.

Skalierbarkeit: Dem Leitsatz folgend, dass Sie Ihre PCs überall und von überall aus verwalten können, wurde Windows Intune für die globale Verfügbarkeit entworfen. Eine größere Anzahl von PCs in Ihrem Konto sollte ebenfalls nicht zu langsameren Reaktionen führen.

Sicherheit: Schließlich müssen sich Kunden darauf verlassen können, dass ihre Daten sicher und vor nicht autorisiertem Zugriff geschützt gespeichert werden. Microsoft verwaltet seit vielen Jahren Rechenzentren, nutzt neueste Infrastruktur und hat detaillierte Prozesse entwickelt, um sicherzustellen, dass Kundendaten sicher sind.

Den Kern des Diensts bildet SQL Server, der für das mehrinstanzenfähige Hosten von Kundendaten verwendet wird. Die Kundendaten werden in Silos gespeichert, um sicherzustellen, dass sie getrennt von anderen Daten und privat gespeichert werden. Der Dienst enthält Lastenausgleichsfunktionen und zahlreiche Systemredundanzen, um Ausfallzeiten zu minimieren und die Reaktionsgeschwindigkeit zu optimieren. Zusätzlich wurde der Dienst für die Unterstützung der Geolozierung entworfen, so dass er potenziell Kunden auf der ganzen Welt bedienen kann. Die umfassende Überwachung des Diensts erfolgt unter Verwendung von System Center Operations Manager, sodass das Betriebsteam proaktiv über alle bevorstehenden Probleme benachrichtigt wird.

Clientseitig wird die Kommunikation mit dem Dienst über einen sicheren Kanal unter Verwendung von Secure Socket Layer (SSL) durchgeführt. Das Windows Communication Foundation (WCF)-Framework wird für das Makeln der Sitzungen mit der Webdienstschicht verwendet, über die der Client die Verbindung herstellt.

Abbildung 1: Windows Intune auf einen Blick

Die Benutzerfreundlichkeit

Da Windows Intune allen Segmenten der IT-Branche zur Verfügung steht, muss es benutzerfreundlich sein. Es wurde viel Arbeit in den Entwurf einer Benutzerumgebung investiert, die intuitiv und sofort auf allen PCs verfügbar ist, die über einen Internetanschluss verfügen. Microsoft Silverlight stellt eine ästhetisch ansprechende und gut navigierbare Benutzeroberfläche für die Verwaltungskonsole bereit. Die einzelnen Arbeitsbereiche sind über eine Reihe von Registerkarten verfügbar, die Anleitungen für die Verwendung der betreffenden Funktion enthalten.

In der gesamten Konsole haben Sie Zugriff auf Dashboardinformationen mit roten, gelben und grünen Anzeigesymbolen, sodass Sie den allgemeinen Status Ihrer PC-Flotte schnell ermitteln können. An logischen Stellen in der Konsole werden Ihnen Suchfelder angezeigt, sodass Sie die gesuchten Informationen schnell finden können. Die Navigation wurde so entworfen, dass Sie auf Links klicken können, um detailliertere Informationen zu erhalten oder um Inhalte anzuzeigen, die für die aktuelle Aufgabe relevant sind.

Sie können Ihre Computer in Gruppen und Untergruppen einteilen, um Untermengen Ihrer PC-Flotte besser verwalten zu können. Die PCs können außerdem unterschiedlichen Gruppen angehören. Ihnen steht eine beliebige Zahl von abgestuften logischen Kategorien zur Verfügung. Sie können beispielsweise Gruppen erstellen, um geografische Standorte darzustellen. Weitere mögliche Gruppen sind Geschäftsfunktionen, wie z. B. Vertrieb, Marketing und Verwaltung.

In Windows Intune kann ein einzelnes Konto auch mehrere Administratoren enthalten. Ein Administrator kann Anforderungen für Remoteunterstützung behandeln, während ein anderer Administrator die Updates verwaltet, die auf den verwalteten PCs bereitgestellt werden.

Abbildung 2: Die Windows Intune-Verwaltungskonsole

Bereitstellung von Windows Intune

Im Fall eines gehosteten Diensts ist die Registrierung von PCs eine einfache Aufgabe. Die Systemanforderungen sind ebenfalls einfach: Die verwalteten PCs müssen Windows XP SP3 oder höher ausführen und über eine Verbindung mit dem Internet verfügen (eine Einwahlverbindung genügt leider nicht). Um einen PC zu registrieren, muss die Windows Intune-Clientsoftware installiert werden. Dabei handelt es sich um eine Windows Installer (MSI)-Datei mit weniger als 10 MB, die in 32- und 64-Bit-Versionen verfügbar ist und von der Verwaltungskonsole heruntergeladen werden kann. Die MSI-Datei wird auf den PCs auf die Weise bereitgestellt, die von der IT-Umgebung gefordert wird, z. B. über eine Gruppenrichtlinie, über Softwareverteilungstools oder auch manuell. Die MSI-Datei wird auf den PCs installiert, ohne Benutzereingriffe zu erfordern. Die Endbenutzer sollten keine Unterbrechungen feststellen. Für den Zugriff auf die Verwaltungskonsole benötigen Sie lediglich einen Silverlight-fähigen Browser.

Jedes Windows Intune-Konto verfügt über eine eigene, digital signierte MSI-Datei, sodass der PC, auf dem sie installiert wird, weiß, zu welchem Konto er gehört. Wenn der PC den Dienst zum ersten Mal kontaktiert, wird das kontospezifische digitale Zertifikat gegen ein PC-spezifisches Zertifikat getauscht. Anschließend ist der PC im Dienst eindeutig gekennzeichnet. Die gesamte Kommunikation wird über SSL durchgeführt, sodass die Daten sicher übertragen werden.

Nach der Installation der MSI-Datei wird eine Reihe von Konfigurationsänderungen für den PC durchgeführt. Zunächst werden die Windows Updates-Einstellungen umgeleitet, sodass der PC nun dank des digitalen Zertifikats auf sichere Weise den Windows Intune-Dienst kontaktiert Zu diesem Zeitpunkt sollte der PC in der Verwaltungskonsole als "registriert" angezeigt werden.

Als Nächstes lädt der Windows Intune-Client die restlichen Windows Intune-Agenten herunter und installiert diese, darunter den Antimalware-Agenten, den Überwachungsagenten und den Agenten für die Remoteunterstützung. Diese ermöglichen die vollständige Verwaltung des PCs. Nach dem Abschluss dieses Prozesses ist der PC vollständig registriert und verwaltbar. Alle Informationen über den PC (Updatestatus, Softwareinventar, Hardwareinventar) stehen zur Prüfung zur Verfügung.

Die Clientsoftware enthält auch das Dienstprogramm "Windows Intune Center", auf das über eine Verknüpfung auf dem Desktop des Endbenutzers zugegriffen werden kann. Im Dialogfeld für Tools kann der Benutzer den Updatestatus anzeigen, auf das Dialogfeld für den Antimalwareschutz zugreifen, um eine Antimalwareprüfung zu starten, und Anforderungen für Remoteunterstützung absenden. Dies wird an späterer Stelle in diesem Artikel detaillierter beschrieben.

Abbildung 3: Das Dialogfeld "Windows IntuneCenterDialog"

Die Arbeitsbereiche

Updates

Interessanterweise ist das Microsoft-Team, das Windows Intune entwickelt hat, das gleiche Team, das auch die Microsoft-Updatedienste entwickelt, darunter Windows Update und Windows Server Update Services. Daher überrascht es nicht, dass die Updateverwaltung zu den wesentlichen Funktionen von Windows Intune gehört. Im Arbeitsbereich für Updates kann ein Administrator die verfügbaren Windows-Updates anzeigen, Updates für die Installation auswählen, bestimmte Gruppen von PCs für die Installation identifizieren und die Installationen für bestimmte Zeiten planen. Jeder, der bereits mit WSUS gearbeitet hat, wird Ähnlichkeiten hinsichtlich der Art feststellen, wie Updates in Windows Intune angezeigt und verwaltet werden.

Wenn ein PC von Windows Intune verwaltet wird, werden die Updateverwaltungsaktivitäten über den Dienst geleitet, sodass der PC keine direkte Verbindung mehr mit dem Windows Update-Dienst herstellt. Stattdessen erhält der Windows Intune-Dienst die Liste der verfügbaren Updates von Windows Updates und stellt diese anschließend dem Administrator zur Prüfung und Ausführung bereit. Im Grunde wird Windows Intune damit zu "WSUS in der Cloud".

Zur Vereinfachung der Suche nach Updates und deren Verwaltung wird eine Reihe von Filtern bereitgestellt. Die Administratoren können die Updates nach Produktkategorie filtern, wie Office oder Windows, oder auch nach Klassifizierung. Nachdem ein Update gefunden wurde, wird es genehmigt und für die Installation eingeplant. Der Administrator kann außerdem einen Endtermin für die Installation angeben und bestimmte Gruppen von PCs identifizieren, die das Update erhalten sollen. Jedes Update enthält Links zu relevanten Knowledge Base-Artikeln, um dem Administrator zu helfen, den Zweck besser zu verstehen.

Malwareschutz

Um die Malwareschutzfunktion bereitzustellen, hat das Windows Intune-Team eine Partnerschaft mit dem Microsoft Endpoint Protection-Team gebildet. Bei der Registrierung eines PCs wird geprüft, ob eine Antimalwarelösung eines Drittanbieters installiert ist. Wenn dies der Fall ist, wird der Windows Intune Malware Protection-Agent zwar installiert, bleibt jedoch deaktiviert. Wenn keine Antimalwarelösung vorhanden ist, wird der Windows Intune Malware Protection-Agent aktiviert und beginnt damit, den PC vor Malware, Spyware und Viren zu schützen. Der Malwarestatus aller PCs wird an die Konsole gemeldet, sodass der Administrator diesen anzeigen kann. Er kann aktuelle Malwareereignisse anzeigen sowie mittels kontextabhängiger Links zum Microsoft Malware Protection Center detailliertere Informationen zu Ereignissen erhalten.

Sie können den Malwareschutz auf den verwalteten PCs im Arbeitsbereich für Richtlinien konfigurieren, in dem der Administrator die Prüfintervalle, den Gegenstand der Prüfungen sowie zahlreiche weitere Optionen definieren kann.

Überwachung und Warnungen

Warnungen kombinieren viele der verfügbaren Arbeitsbereiche, da sie der Benachrichtigung des Administrators zu Problemen wie entdeckter Malware, zu Anforderungen für Remoteunterstützung, zu Updates, zu Richtlinien und zum Status der Windows Intune-Clients dienen. Im Arbeitsbereich für Warnungen können die Administratoren aus einer Vielzahl von Überwachungskomponenten wählen und erhalten Warnungen, wenn die angegebenen Schwellenwerte überschritten wurden. Warnungen werden entweder über die Verwaltungskonsole oder per E-Mails an bestimmte Personen oder Gruppen erhalten.

Windows Intune verwendet den System Center Operations Manager-Client, um die PCs zu überwachen. Die Ausgabedaten werden zurück an den Windows Intune-Dienst gemeldet. Die Warnungen können in einem übersichtsartigen Dashboardformat für alle verwalteten Computer oder innerhalb des jeweiligen Arbeitsbereichs nach Kategorie angezeigt werden. Die Warnungen werden mit dem entsprechenden Schweregrad angezeigt (zu Informationszwecken, Warnung oder kritisch), um die Administratoren bei der Priorisierung ihrer Reaktionen zu unterstützen.

Im Arbeitsbereich für die Verwaltung kann für die einzelnen Warnungen oder Warnungskategorien jeweils eine Benachrichtungsregel erstellt werden, sodass den angegebenen Personen eine E-Mail zur Nachverfolgung gesendet wird. Bei den Empfängern dieser E-Mails kann es sich um Windows Intune-Administratoren, um externe E-Mail-Adressen oder um Verteilungsgruppen handeln, sodass die Personen, die E-Mail-Benachrichtigungen erhalten, nicht notwendigerweise Zugriff auf die Windows Intune-Verwaltungskonsole benötigen.

Abbildung 4: Der Arbeitsbereich für Warnungen

Software

Der Windows Intune-Softwareagent erfasst detaillierte Informationen zum Software- und Hardwareinventar. Das Hardwareinventar dient primär der Unterstützung für die Identifizierung von PCs und der Bereitstellung detaillierter Konfigurationsinformationen. Zum Hardwareinventar gehören Informationen zum Hersteller, zum Modell, zur Seriennummer, zum BIOS, zur CPU, zur Festplatte, zum RAM und zur Netzwerkkarte sowie zu den installierten Video- und Druckertreibern.

Das Softwareinventar wird ermittelt, indem die MSI-Datenbank, die Registrierungseinträge und das Startmenü des PCs geprüft werden. Das Inventar enthält Daten zum Herausgeber, zum Titel, zur Version und zur Sprache der Anwendung. Diese Informationen werden anschließend mit dem Mastersoftwarekatalog verglichen, sodass zusätzliche Informationen zum Softwaretitel bereitgestellt werden, wie die Kategorie. Der Katalog dient außerdem der Strukturierung der Softwaretitel in konsistentere Gruppen von Herausgebern und Versionen. Dies beseitigt einen großen Teil der Komplexität, wie dies häufig bei der Anzeige von Softwareinventardaten der Fall ist.

Das Ergebnis der Softwareinventarisierung ist im Softwarebericht enthalten. Dieser stellt eine detaillierte und sortierbare Auflistung aller installierten Anwendungen bereit, einschließlich Anzahl und Kategorien.

Lizenzen

Die Überwachung von Microsoft-Volumenlizenzverträgen ist komplex und anspruchsvoll. Im Arbeitsbereich für Lizenzen können Unternehmen die Zahlen für ihre Volumenlizenzverträge zum Dienst hochladen. Diese werden anschließend verwendet, um sämtliche Daten zu Berechtigungen aus dem Microsoft Volume License Service abzurufen. Die Daten zu den Berechtigungen können jederzeit aktualisiert werden, um die Genauigkeit der Informationen sicherzustellen. Diese Daten werden anschließend für einen Abstimmungsbericht verwendet und mit der Anzahl der Installationen verglichen. Die Ergebnisse sind im Lizenzbericht verfügbar. Dieser kann jederzeit generiert und für die Offlinespeicherung exportiert werden. Es sollte festgehalten werden, dass diese Daten privat sind und nur vom Kunden angezeigt werden können. Sie werden nicht für die Durchsetzung der Vertragseinhaltung verwendet.

Abbildung 5: Der Windows Intune-Bericht zu Softwareinstallationen

Wenn Sie Abonnent des Microsoft Desktop Optimization Pack (MDOP) sind, haben Sie außerdem Zugriff auf die Arbeitsbereiche für Software und für Lizenzen im Asset Inventory Service, der enthalten ist. Bei MDOP handelt es sich um eine Suite von Tools für die IT-Verwaltung, die für Volumenlizenzkunden verfügbar ist, die Software Assurance gekauft haben. AIS 1.5 wird zu dieser neuen Plattform migriert werden und die neue Benutzeroberfläche sowie die hier beschriebenen optimierten Funktionen nutzen.

Richtlinie

Das Windows Intune-Entwicklungsteam profitierte auch von seiner Erfahrung mit der Gruppenrichtlinienfunktion (ein weiterer Bereich, der in die Verantwortung dieses Teams fällt), um einige Richtlinienelemente bereitstellen zu können. Beachten Sie, dass die Richtlinienfunktion von Windows Intune die Gruppenrichtlinie nicht ersetzt oder eine gleichwertige Funktionalität bietet – jedenfalls noch nicht. In der ersten Version ermöglicht der Arbeitsbereich für Richtlinien Administratoren die Konfiguration der Einstellungen für Malwareschutz und Updates, die Anpassung des Dialogfelds für Windows Intune-Clienttools zur Anzeige spezifischer Kontaktdaten für den Support und die Definierung der Firewallkonfigurationen für die Endbenutzer.

Beispielsweise kann ein Administrator in diesem Arbeitsbereich Richtlinien auf den verwalteten Computern verteilen, die festlegen, wie häufig die Malwareprüfungen und welche Arten von Prüfungen durchgeführt werden sollen (kurz oder vollständig) und wie häufig die PCs nach Updates suchen und wann diese Updates installiert werden sollen.

Wenn es in Ihrer Umgebung Gruppenrichtlinien gibt, dann haben diese stets Vorrang, sodass keine Konflikte entstehen sollten.

Remoteunterstützung

Um die Arbeitsbereiche zu vervollständigen, wurde eine Funktion für die Remoteunterstützung integriert. Eine der zeitaufwendigsten Aufgaben für Administratoren ist die Unterstützung der Endbenutzer. Dies bedeutet häufig der Besuch vor Ort, um die Beseitigung der Probleme für den Endbenutzer zu ermöglichen. Die Endbenutzer können das Windows Intune-Dialogfeld für Tools auf ihren Desktops verwenden, um Unterstützung anzufordern. Die Remoteunterstützung in Windows Intune wird in Zusammenarbeit mit Microsoft Easy Assist bereitgestellt, einem gehosteten Dienst, der Teil von Microsoft Live Meeting ist.

Wenn ein Endbenutzer eine Anforderung absendet, wird der Windows Intune-Dienst benachrichtigt. Diese Warnung kann auch als E-Mail an eine bestimmte Person konfiguriert werden. Dies kann im Verwaltungsbereich der Konsole eingerichtet werden. Wenn die Administratoren die Anforderung akzeptieren, werden sie einer Remote-Desktopfreigabesitzung mit den Endbenutzern hinzugefügt, sodass sie deren Desktops anzeigen können. Nach Zustimmung durch den Endbenutzer kann der Administrator die Steuerung des Desktops des betreffenden Endbenutzers übernehmen, um ihm bei seinem Problem zu helfen.

Außerdem können Dateien zwischen Computern übertragen und Chats mit dem Endbenutzer durchgeführt werden.

Abbildung 6: Das Dialogfeld des Administrators für die Remoteunterstützung

Ausblick

Windows Intune stellt den ersten Schritt von Microsoft hin zur PC-Verwaltung als Dienst dar und stellt einen wesentlichen Pfeiler der Gesamtstrategie des Unternehmens für die Migration zur Cloud dar. Die erste Version von Windows Intune enthält eine umfassende Reihe von Verwaltungsfunktionen. Diese sind jedoch nur der Anfang. Mit der weiteren Entwicklung des Diensts werden weitere Verwaltungsarbeitsbereiche hinzugefügt werden.

Zum Zeitpunkt der Verfassung dieses Artikels ist Windows Intune als eingeschränkte Betaversion verfügbar und wird voraussichtlich im Jahr 2011 veröffentlicht werden. Der aktuelle Betadienst erhielt so viel Aufmerksamkeit, dass die verfügbaren Konten innerhalb von 24 Stunden nach dem Verfügbarwerden des Diensts vergeben waren. Es wird in der Zukunft jedoch weitere Möglichkeiten geben, den Windows Intune-Clouddienst zu testen.

Weitere Informationen zum Dienst finden Sie unter windowsintune.com. Besuchen Sie diese Website regelmäßig, um über den Fortschritt bei Windows Intune auf dem Laufenden zu bleiben. Außerdem stellt der  Windows Intune-Teamblog umfassende Informationen zum Dienst bereit, ebenso die  Windows Intune-TechCenter-Seite auf TechNet.

Paul Bourgeau wurde im Zuge der Akquisition von Assetmetrix durch Microsoft im April 2006 Mitarbeiter von Microsoft. Assetmetrix war ein kleines kanadisches Unternehmen, das die Verwaltung von IT-Ressourcen als Dienst bereitstellte. Er hat in IT-bezogenen Branchen als Schulungsleiter, Schulungsentwickler, technischer Autor, LAN-Manager, Berater für Kundenbeziehungen und Best Practices sowie als Spezialist für Implementierungen für Anbieter von Unternehmenslösungen gearbeitet. Zurzeit verwaltet er Betaprogramme und CPE für Windows Intune und Asset Inventory Service.