Zusammengewürfelt

von Marc Grote

Im neuen Endpoint Manager vereint Microsoft zahlreiche bestehende Dienste zur Verwaltung und Überwachung von mobilen Geräten, Desktop- und virtuellen Computern, Embedded-Geräten sowie Servern. Das Puzzle aus Intune, Endpoint Configuration Manager und Windows Autopilot wirft jedoch die Frage nach dem Mehrwert des neuen Diensts auf. Wir betrachten den Funktionsumfang des Endpoint Managers.

Der Microsoft Endpoint Manager [1] setzt sich aus einer Vielzahl von verschiedenen Technologien zusammen, die teilweise komplex und aufwändig zu bedienen sind. Daher sollten sich Administratoren vor dem Einsatz intensiv mit den Komponenten auseinandersetzen. Wir betrachten diese im Folgenden genauer, als weiterer Einstieg dient die Endpoint-Manager-Dokumentation [2].

Zusammenspiel mit Microsoft-Technologien

Zu den vom Endpoint Manager verwendeten Komponenten gehören:

- Microsoft Intune zur cloudbasierten Verwaltung von Endgeräten

- Microsoft Endpoint Configuration Manager: Lokale und cloudbasierte Administration von Endgeräten

- Windows Autopilot: Dient der Bereitstellung von Geräten

- Endpoint Analytics liefert datengestützte Empfehlungen

- Microsoft Defender für Endpunkt zum Absichern von Endpunkten gegen Cyberbedrohungen

- Azure AD als Plattform für die Verwaltung und den Schutz von Identitäten

Der Endpoint Manager verbindet sich in seinem Admin Center mit der Endpoint-Configuration-Manager- und der Microsoft-Intune-Verwaltungskonsole. Über den Configuration Manager verwalten Sie primär die AD-integrierten, lokal verwalteten Windows-10-Geräte per MDM (Mobile Device Management).

Microsoft Intune

Intune ist ein cloudbasierter Dienst, der sich auf die Verwaltung mobiler Geräte per Mobile Device Management und mobiler Anwendungen (MAM; Mobile Application Management) fokussiert. Administratoren legen über das System fest, wie Anwender Geräte des Unternehmens einschließlich Mobiltelefone, Tablets und Notebooks nutzen. Über die Integration in das Azure Active Directory (Azure AD) steuert Intune, wer auf welche Ressourcen Zugriff hat. Zur Erhöhung des Datenschutzes arbeitet das System mit Azure Information Protection zusammen.

ber Intune-Richtlinien lassen sich Anwendungen und Einstellungen auf den Endgeräten steuern – beispielsweise um zu verhindern, dass bestimmte Nutzer E-Mails an Personen außerhalb der Organisation senden oder unerwünschte Apps verwenden. Intune ermöglicht den Mitarbeitern auch, ihre persönlichen Geräte für die Arbeit zu nutzen. Auf solchen Devices sorgt Intune für den Schutz von Unternehmensdaten, indem es sie in einer Sandbox isoliert.

Endpoint Configuration Manager

Seit der Version 1910 nennt Microsoft den ehemaligen System Center Configuration Manager "Endpoint Configuration Manager" (MECM). Er ist nach wie vor Teil der System-Center-Suite und seine primäre Aufgabe ist die zentralisierte Verwaltung von Hard- und Software innerhalb eines Unternehmens. Dazu lassen sich folgende Aufgaben per MECM automatisiert für eine große Anzahl von Clients durchführen:

- Soft- und Hardware-Inventarisierung

- Softwareverteilung

- Lizenzüberwachung

- Antimalware-Verwaltung

Ist der Endpoint Configuration Manager in Intune integriert, erlaubt dies Administratoren, über eine einzige zentrale Verwaltungskonsole sowohl die in das Unternehmensnetzwerk eingebundenen PCs und Apple-Rechner als auch cloudbasierte mobile Geräte zu verwalten, auf denen Windows, iOS oder Android läuft.

Windows Autopilot und Endpoint Analytics

Bei Windows Autopilot [3] handelt es sich um eine Sammlung von Technologien, mit denen sich neue Geräte einrichten und vorkonfigurieren lassen, um sie auf den produktiven Einsatz vorzubereiten. Sie können Windows Autopilot auch zum Zurücksetzen, Wiederverwenden und Wiederherstellen von Geräten verwenden. Die Software vereinfacht den Lebenszyklus von Windows-Geräten für die IT und Endbenutzer von der ersten Bereitstellung bis zum Ende des Lebenszyklus der Geräte.

Endpoint Analytics ist Teil der Microsoft Produktivitätsbewertung [4]. Mit diesen Analysen erhalten Administratoren Einblicke darin, wie ihre Organisation funktioniert und wie hoch die Benutzererfahrung ist. Endpoint Analytics ermöglicht, Richtlinien oder Hardwareprobleme zu identifizieren, die möglicherweise die Geräte verlangsamen und proaktiv Änderungen vornehmen, ohne die Endbenutzer zu stören oder ein Helpdesk-Ticket zu erstellen.

Microsoft Defender for Endpoint

Der Microsoft Defender for Endpoint [5] hilft Administratoren als Sicherheitsplattform dabei, erweiterte Bedrohungen zu verhindern, zu erkennen, zu analysieren und auf diese zu reagieren. Defender für Endpunkt verwendet die folgenden in Windows 10 und Microsoft Azure integrierten Technologien:

- In Windows 10 eingebettete Endpunktverhaltenssensoren sammeln und verarbeiten Verhaltenssignale vom Betriebssystem und senden diese Sensor- daten an die Cloudinstanz von Microsoft Defender for Endpoint.

- Unter Einbeziehung von Big Data, Machine Learning und spezieller Microsoft-Sichten auf das Windows-Ökosystem, Cloudprodukten wie Office 365 und Onlineressourcen werden bestimmte Verhaltensweisen in Erkenntnisse übersetzt, die eine Erkennung und geeignete Reaktionen bei fortgeschrittenen Bedrohungen ermöglichen.

- Die Bedrohungserkennungen, die Microsoft-Experten und Sicherheits-Teams zusammenstellen, ermöglichen es Defender, Tools, Techniken und Verfahren von Angreifern zu identifizieren und Warnungen zu generieren, wenn solche Vektoren in den erfassten Sensordaten auftauchen.

Azure Active Directory

Das Azure AD ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft, mit dem sich Benutzer anmelden und auf externe Ressourcen wie Microsoft 365, das Azure-Portal und zahlreiche andere SaaS-Anwendungen sowie Ressourcen im Unternehmensnetzwerk oder selbst entwickelte Cloudanwendungen zugreifen. Azure AD stellt aber nur einen Teil der Funktionen des lokalen AD zur Verfügung. Über die Azure-AD-Connect-Komponente gelangen Identitäten des lokalen AD in die Microsoft-Azure-Cloud.

Microsoft Endpoint Manager Admin Center

Das Admin Center des Endpoint Managers [6] ist eine zentrale Website, auf der Administratoren Richtlinien erstellen und Geräte verwalten. Es ist in andere wichtige Geräteverwaltungsdienste eingebunden, einschließlich Gruppen, Sicherheit, bedingter Zugriff und einer Berichterstellung. Das Admin Center zeigt auch Geräte an, die Configuration Manager oder Microsoft Intune verwalten.

Das Dashboard im Admin Center zeigt den Status und Warnmeldungen aller konfigurierten Komponenten an. Des Weiteren können Sie sich den Status aller Dienste anzeigen lassen und durch Anklicken der jeweiligen Komponente zu deren Detailkonfiguration verzweigen.

In der Mandantenverwaltung lassen sich zahlreiche Connectoren zu anderen Systemen herstellen. Zum Beispiel können Sie Verbindungen mit Microsoft Defender ATP oder dem Microsoft Store für Unternehmen herstellen. Weitere Aufgaben sind die Gerätekonfiguration, Einrichtung von Konfigurations- und Schutzrichtlinien für Apps für verschiedene Betriebssystemplattformen sowie die Benutzer- und Gruppenverwaltung.

Umfangreiche Berichte über die Gerätekompatibilität, Gruppenrichtlinienanalyse, Endpunktsicherheit und vieles Weitere runden die Verwaltungsmöglich- keiten ab. Für tiefere Einblicke stehen Azure Log Analytics und die Endpunktanalyse zur Verfügung.

Lizenzierung des Microsoft Endpoint Manager

Microsoft Endpoint Manager ist als monatliche Subscription auf Jahresbasis in den Versionen Enterprise Mobility + Security E3 und Enterprise Mobility + Security E5 verfügbar. Besitzen Sie eine aktive Lizenz vom Microsoft Endpoint Configuration Manager, können Sie Microsoft Intune ohne zusätzliche Lizenzen verwenden. Um mit Intune iOS-, Android- oder macOS-Geräte zu verwalten, benötigen Sie eine passende Intune-Subskription, zum Beispiel Standalone Intune, Enterprise Mobility + Security oder Microsoft 365. Über eine Intune-Lizenz sind Sie automatisch auch zur Verwendung des Microsoft Endpoint Configuration Manager ohne zusätzliche Kosten berechtigt.

Der Microsoft Endpoint Manager ist in zwei Versionen verfügbar: Im LTSB-Modus (Long Term Servicing Branch) installieren Administratoren die zum Zeitpunkt der Installation aktuellste Version. Diese erhält jedoch während der Laufzeit keine Funktionsupdates. Bei der CB-Version (Current Branch) handelt es sich um das gleiche Servicemodell wie von Windows 10 bekannt. Bei diesem sind in regelmäßigen Abständen neue Funktionsupdates verfügbar. Nur Kunden mit aktiver Software Assurance (SA) können den Configuration Manager im Current Branch verwenden. Die CB-Version hat zudem einen größeren Funktionsumfang als die LTSB-Version [7].

Microsoft Endpoint Manager ist als Lizenzmodell mit der Zahlung pro Benutzer/Monat in zwei Geschmacksrichtungen verfügbar: "Microsoft Mobility + Security E3" und "Microsoft Mobility + Security E5". In Microsoft Mobility + Security E3 fehlen zum Beispiel Funktionen wie der risikobedingte Zugriff, Privileged Identity Management und Funktionen wie Microsoft Cloud App Security und Microsoft Defender for Identity [8].

Fazit

Mit dem Endpoint Manager vereint Microsoft bekanntere und weniger bekannte Clouddienste in einer webbasierten Verwaltungsoberfläche. Aufgrund des riesigen Funktionsumfangs und der unserer Meinung nach nicht immer intuitiven Verwaltungsoberfläche kostet die Einarbeitung jedoch einige Zeit. Ist dies jedoch vollbracht und Admins nutzen den kompletten Funktionsumfang, steht ein mächtiges Verwaltungswerkzeug für die Endpunktadministration zur Verfügung.