Microsoft Intune ist eine umfassende cloudbasierte Lösung für die Verwaltung mobiler Geräte, PCs und Anwendungen über Unternehmens- und persönliche wünsche hinweg. Intune bietet eine Reihe von Features, mit denen Unternehmen Geräte sichern und verwalten, ihre Daten schützen und die Produktivität steigern können. In diesem Artikel werden die verschiedenen Begriffe und Definitionen von Microsoft Intune erklärt.
Administratorberechtigungen oder Verzeichnisrollen definieren den administrativen Bereich für Benutzer und die Aufgaben, die sie verwalten können.
Arten von Administratoren:
- Der globale Administrator greift auf alle administrativen Features in Intune zu. Standardmäßig wird die Person, die sich bei Intune registriert, zum globalen Administrator. Globale Administratoren sind die einzigen Administratoren, die andere Administratorrollen zuweisen können. Sie können mehr als einen globalen Administrator in Ihrer Organisation haben
- Der Abrechnungsadministrator tätigt Einkäufe, verwaltet Abonnements, verwaltet Supporttickets und überwacht die Dienstintegrität.
- Der Benutzeradministrator setzt Kennwörter zurück, überwacht die Dienstintegrität, fügt Benutzerkonten hinzu und löscht sie und verwaltet Dienstanforderungen. Der Benutzerverwaltungsadministrator kann einen globalen Administrator nicht löschen, keine anderen Administratorrollen erstellen oder Kennwörter für andere Administratoren zurücksetzen.
- Der Intune-Dienstadministrator verfügt über alle globalen Intune-Administratorberechtigungen mit Ausnahme der Berechtigung zum Erstellen von Administratoren mit Verzeichnisrollenoptionen.
- Password Administrator setzt Kennwörter zurück, verwaltet Dienstanforderungen und überwacht die Dienstintegrität.
- Der Dienstsupportadministrator öffnet Supportanfragen bei Microsoft und zeigt das Dienstdashboard und das Nachrichtencenter an. Sie haben “Nur anzeigen“-Berechtigungen, mit Ausnahme des Öffnens und Lesens von Support-Tickets.
Android Device Admin ist die alte Verwaltungsmethode von Android-Geräten mit eingeschränkter Funktionalität in der Anwendungsverwaltung, die erhöhte Administratorberechtigungen erfordert, um bestimmte Aufgaben auszuführen. Es ist seit Android 9.0 veraltet. Android Enterprise ist eine Initiative, um die Verwendung von Android-Geräten und -Apps am Arbeitsplatz zu ermöglichen. Das Programm bietet APIs und andere Tools für Entwickler, um die Unterstützung für Android in ihre Enterprise Mobility Management (EMM) -Lösungen zu integrieren.
App-Typen in Microsoft Intune:
- Apps aus dem Store (Store-Apps) – Anwendungen, die entweder in den Microsoft Store, den iOS/iPadOS Store oder den Android Store hochgeladen wurden, sind Store-Apps. Der Anbieter einer Store-App verwaltet und stellt Updates für die App bereit. Sie wählen die App in der Store-Liste aus und fügen sie hinzu, indem Sie Intune als verfügbare App für Ihre Benutzer verwenden.
- Apps, die intern oder als benutzerdefinierte App geschrieben wurden – Anwendungen, die intern oder als benutzerdefinierte App erstellt werden, sind Branchen-Apps (LOB). Die Funktionalität dieses App-Typs wurde für eine der von Intune unterstützten Plattformen wie Windows, iOS/iPadOS, macOS oder Android erstellt. Ihre Organisation erstellt Updates als separate Datei und stellt sie Ihnen zur Verfügung. Sie stellen Benutzern Updates der App bereit, indem Sie die Updates mithilfe von Intune hinzufügen und bereitstellen.
- Apps im Web (Weblink) sind Client-Server-Anwendungen. Der Server stellt die Web-App bereit, die die Benutzeroberfläche, den Inhalt und die Funktionalität enthält. Darüber hinaus bieten moderne Webhosting-Plattformen häufig Sicherheit, Lastausgleich und andere Vorteile. Diese Art von App wird separat im Web verwaltet. Beachten Sie, dass Android keine Web-Apps unterstützt.
- Apps von anderen Microsoft-Diensten – Anwendungen, die entweder aus Azure AD oder Office Online bezogen wurden. Azure AD Enterprise-Anwendungen werden über das Microsoft Endpoint Manager Admin Center registriert und zugewiesen. Office Online-Anwendungen werden mithilfe der im M365 Admin Center verfügbaren Lizenzierungssteuerelemente zugewiesen.
Das Apple-Pushzertifikat ist für Intune erforderlich, um iOS/iPadOS- und macOS-Geräte zu verwalten und die Geräte der Benutzer über das Unternehmensportal oder die Massenregistrierungsmethoden von Apple (Programm für die Geräteregistrierung, Apple School Manager, Apple Configurator) zu registrieren.
Mit Apple Automated Device Enrollment ADE können Sie Richtlinien “over the air” für iOS/iPadOS- und macOS-Geräte erstellen und bereitstellen, die mit ADE erworben und verwaltet werden. Das Gerät wird registriert, wenn Benutzer das Gerät zum ersten Mal einschalten und den Setup-Assistenten ausführen. Diese Methode unterstützt den überwachten Modus von iOS / iPadOS, mit dem ein Gerät mit bestimmten Funktionen konfiguriert werden kann.
Bei der Anwendungsbereitstellung wird eine bestimmte Anwendung oder ein Satz von Anwendungen über Microsoft Endpoint Manager installiert, konfiguriert und aktiviert.
Zugewiesene Gruppen werden verwendet, wenn Sie bestimmte Benutzer oder Geräte manuell zu einer statischen Gruppe hinzufügen möchten.
Der Autopilot wird verwendet, um neue Geräte einzurichten und vorzukonfigurieren, um sie für den produktiven Einsatz vorzubereiten. Mit anderen Worten, es ermöglicht Ihrer Organisation, ein Gerät zu nehmen, das frisch aus der Box ist (direkt vom OEM), und dieses Gerät zur sofortigen Verwendung an Ihren Benutzer / Mitarbeiter zu senden.
Die automatische Registrierung wird durch eine Gruppenrichtlinie ausgelöst, die auf Ihrem lokalen AD erstellt wurde, und erfolgt ohne Benutzerinteraktion (möglich für Windows 10/11-Geräte).
Azure Active Directory (AD) ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft, der von Endpoint Manager für die Identität von Geräten, Benutzern, Gruppen und Multi-Factor Authentication (MFA) verwendet wird.
Microsoft 365 ist eine abonnementbasierte Weiterentwicklung der Microsoft Office-Suite (Word, Excel, PowerPoint, Outlook usw.), jedoch mit zusätzlichen Funktionen wie Teams, SharePoint OneDrive. Mit Microsoft 365 können Mitarbeiter zusammenarbeiten und kommunizieren, wo immer sie sind, mit jedem Gerät und zu jeder Zeit. Informationen können einfach über die Cloud geteilt werden.
Microsoft 365 Admin Center ist das webbasierte Portal, mit dem Administratoren Geschäfte in der Cloud verwalten, indem sie Benutzer hinzufügen und entfernen, Lizenzen ändern und Kennwörter zurücksetzen.
Die Microsoft Authenticator-Anwendung ist ein Zwei-Faktor-Authentifizierungsprogramm, das einmalige Zugriffscodes nicht nur für Microsoft-Konten und -Produkte, sondern auch für andere Websites und Produkte bereitstellt.
Microsoft Defender für Endpunkt ist in Intune integriert, um Geräte zu überwachen und zu schützen. Sie legen Risikostufen fest und bestimmen, was passiert, wenn Geräte diese Stufe überschreiten. In Kombination mit bedingtem Zugriff können Sie dazu beitragen, böswillige Aktivitäten in Ihrer Organisation zu verhindern.
Microsoft Endpoint Manager ist eine End-to-End-Lösung, die dazu beiträgt, den modernen Arbeitsplatz und die moderne Verwaltung bereitzustellen, um Daten in der Cloud und vor Ort sicher zu halten. Endpoint Manager umfasst Microsoft Intune, Desktop Analytics, Configuration Manager, Co-Management und Windows Autopilot.
Microsoft Endpoint Manager Admin Center ist eine zentrale Website zum Erstellen von Richtlinien und Verwalten Ihrer Geräte. Es werden andere wichtige Geräteverwaltungsdienste angeschlossen, einschließlich Gruppen, Sicherheit, bedingter Zugriff und Berichterstellung. In diesem Admin Center werden auch Geräte angezeigt, die von Configuration Manager und Intune verwaltet werden.
Microsoft Intune ist ein zu 100 % cloudbasierter MDM- (Mobile Device Management) und MAM-Anbieter (Mobile Application Management) für Ihre Apps und Geräte.
Mobile Application Management (MAM) ist eine Technologie, die es Unternehmen ermöglicht, mobile Apps für alle Benutzer im Unternehmen zu veröffentlichen, zu pushen, zu konfigurieren, zu sichern, zu überwachen und zu aktualisieren.
Windows Hello for Business ist eine der Zwei-Faktor-Authentifizierungsmethoden auf Geräten, die Kennwörter durch die biometrischen Benutzeranmeldeinformationen oder die PIN ersetzt. Die biometrische Authentifizierung basiert auf Gesichtserkennung oder Fingerabdruckabgleich.
Das Unternehmensportal ist die App, mit der Mitarbeiter des Unternehmens auf die Ressourcen des Unternehmens zugreifen können:
- Unternehmensquellen wie Office, E-Mail, OneDrive
- Unternehmensressourcen mit vom Unternehmen ausgestellten Zertifikate
- Business-Apps, die von der IT-Abteilung des Unternehmens genehmigt wurden.Darüber hinaus ist es mit dem Unternehmensportal möglich:
- Anzeigen, Verwalten und Löschen von registrierten Geräten, wenn sie verloren gehen oder gestohlen werden
- Holen Sie sich Hilfe direkt von der IT-Abteilung
Kompatibilitätsrichtlinieneinstellungen sind mandantenweite Einstellungen, die einer integrierten Kompatibilitätsrichtlinie ähneln, die jedes Gerät erhält. Kompatibilitätsrichtlinieneinstellungen legen eine Baseline für die Funktionsweise der Kompatibilitätsrichtlinie in Ihrer Intune-Umgebung fest, einschließlich der Frage, ob Geräte, die keine Gerätekompatibilitätsrichtlinien erhalten haben, kompatibel oder nicht kompatibel sind.
Zu den unternehmenseigenen Geräte-COD gehören Telefone, Tablets und PCs, die sich im Besitz des Unternehmens befinden und an die Mitarbeiter verteilt werden.
Device Enrollment Manager DEM ist ein spezielles Benutzerkonto, das zum Registrieren und Verwalten mehrerer unternehmenseigener Geräte verwendet wird. Manager können das Unternehmensportal installieren und viele Geräte ohne Benutzer registrieren.
Dynamische Gruppen (Erfordert Azure AD Premium) werden verwendet, wenn Sie Benutzer oder Geräte basierend auf einer von Ihnen erstellten Regel automatisch oder Geräte zu Benutzergruppen oder Gerätegruppen hinzufügen möchten. Die dynamische Gruppenmitgliedschaft reduziert den Verwaltungsaufwand für das Hinzufügen und Entfernen von Benutzern.
Arten der Gruppenmitgliedschaft:
- Zugewiesen: Administratoren weisen dieser Gruppe manuell Benutzer oder Geräte zu und entfernen Benutzer oder Geräte manuell.
- Dynamischer Benutzer: Administratoren erstellen Mitgliedschaftsregeln, um Mitglieder automatisch hinzuzufügen und zu entfernen.
- Dynamisches Gerät: Administratoren erstellen dynamische Gruppenregeln, um Geräte automatisch hinzuzufügen und zu entfernen.
Gruppentypen:
- Die Sicherheitsgruppe definiert, wer auf Ressourcen zugreifen kann, und wird für Ihre Gruppen in Intune empfohlen. Sie können beispielsweise Gruppen für Benutzer erstellen, z. B. Alle Mitarbeiter oder Remote-Mitarbeiter, auch Gruppen für Geräte, z. B. Alle iOS/iPadOS-Geräte oder Alle Windows 10-Schülergeräte.
- Die Microsoft 365-Gruppe bietet Möglichkeiten für die Zusammenarbeit, indem sie Mitgliedern Zugriff auf ein freigegebenes Postfach, einen Kalender, Dateien, eine SharePoint-Website und mehr gewährt. Mit dieser Option können Sie auch Personen außerhalb Ihrer Organisation Zugriff auf die Gruppe gewähren.
Intune-Kompatibilitätsberichte für Updates:
- Organisationsbericht, der einen Gesamtüberblick über die Compliance für Geräte auf Richtlinienbasis bietet
- Der Betriebsbericht enthält Details zu Warnungen – Fehler, Warnungen, Informationen und Empfehlungen – auf Richtlinienbasis, um die Fehlerbehebung und Optimierung Ihrer Geräte zu unterstützen.
- Windows Update Rings hat einen integrierter Bericht, der standardmäßig bereit steht, wenn Geräte, auf denen Windows 10- und Windows 11-Updates ausgeführt und installiert werden
- neuste Funktionsupdates verwenden integrierte Berichte, um ein tiefes Bild des Updatestatus und der Probleme zu erhalten:
Erkannte Intune-Apps ist eine Liste der erkannten Apps auf den in Intune registrierten Geräten in Ihrem Mandante.
Intune for Education ist ein cloudbasierter MDM-Dienst (Mobile Device Management) für Schulen. Es hilft Ihren Lehrern und Schülern, auf den Geräten des Klassenzimmers produktiv zu bleiben, und schützt die Schuldaten.
Kioskmodus bedeutet, dass die Funktionalität des Geräts entweder auf eine einzelne App oder mehrere Apps beschränkt wurde.