Microsoft Co-Management – Die Brücke zum modernen IT-Management

Microsoft Co-Management

Die Brücke zum modernen IT-Management

Microsoft Co-Management – Die Brücke zum modernen IT-Management

Das moderne Management der IT-Infrastruktur über die Cloud sollte unser erklärtes Ziel sein. Doch nicht jedes Unternehmen kann den Schritt hin zum Cloud-Only Management sofort gehen. Hierfür hat Microsoft ab Windows 10 eine Brücke geschlagen. Über diese können Sie Schritt für Schritt die neue Herausforderung meistern. Marco Claes, IT -Consultant für den Modern Workplace, erklärt in diesem Beitrag, welche Vorteile der Switch Ihrer Workloads vom Configuration Manager zu Intune mit sich bringt.

In meinem letzten Blog-Artikel habe ich über die moderne Bereitstellung eines Arbeitsplatzes mit Hilfe des Windows Autopilot geschrieben. Da der Windows Autopilot primär für die Verwaltung der Clients aus der Cloud gedacht ist und nicht jedes Unternehmen direkt den Weg hin zum reinen Cloud-Management der Clients gehen möchte oder kann, gibt es die Möglichkeit des Co-Management.

Ein kurzer Rückblick zum Windows Autopilot

Beim Windows Autopilot ist es notwendig, die Hardware-ID der Clients in den Tenant hochzuladen, ein Autopilot-Profil zu konfigurieren und dieses den Clients zuzuordnen.

Nach dem ersten Start des Clients und der Verbindung mit dem Internet prüft der Client die Zugehörigkeit zu einer Organisation und fordert dann die Anmeldung mit E-Mail und Passwort an. Nach erfolgreicher Anmeldung wird der Client dem Azure Active Directory (Azure AD ist der Cloud-basierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft) hinzugefügt und im Mobile Device Management (MDM, z.B. Intune) registriert. Anschließend werden Richtlinien angewendet und Applikationen installiert.

Allerdings wird durch dieses Vorgehen keine Verbindung zum lokalen Active Directory aufgebaut und somit besteht auch keine Möglichkeit, den Client mit Gruppenrichtlinien oder Software aus dem Clientmanagement (z.B. SCCM) zu versorgen.

Zum Schluss meines letzten Blogbeitrags habe ich darauf hingewiesen, dass seit Windows 10 1809 die Möglichkeit des Beitritts zum Active Directory besteht. Dies ist bereits eine Möglichkeit, das Co-Management zu realisieren.

Bring the power of the Cloud to SCCM

Nicht alle Unternehmen haben die Möglichkeit, direkt auf Cloud-Only Management umzustellen. Das kann viele verschiedene Gründe haben. Einer ist, dass über die vorhandene SCCM-Infrastruktur (System Center Configuration Manager) sehr viele Software-Pakete verteilt werden, die aktuell nicht 1:1 über Intune verteilt werden können. Somit müsste erst eine Re-Paketierung der bestehenden Pakete stattfinden.

Doch genau für diese Unternehmen ist das Co-Management gedacht: Um Schritt für Schritt den Weg hin zum Modern Management zu bestreiten. Hier einige Vorteile, die das Co-Management sofort mit sich bringt (siehe auch Abbildung 1):

  • Bedingter Zugriff mit Intune-Gerätekonformitätsrichtlinien
  • Intune-basierte Remote-Aktionen, z.B.: Neustart, Zurücksetzung auf Werkseinstellungen oder Remote-Steuerung
  • Zentralisierte Sichtbarkeit der Geräteintegrität
  • Verknüpfen von Benutzern, Geräten und Apps in Azure Active Directory (Azure AD)
  • Windows Autopilot-Bereitstellung
  • Remote-Aktionen
Microsoft Co-Management – Die Brücke zum modernen IT-Management
Co-Management (Quelle: Microsoft)  

Ein Beispiel aus der Praxis

In vielen Unternehmen gibt es Personen, die im Außendienst arbeiten und somit nicht ständig mit dem Unternehmensnetzwerk verbunden sind. Wenn ich mit meinen Kunden über dieses Thema spreche, stellt sich immer wieder folgende Frage: Wie stellen wir sicher, dass die Clients außerhalb unseres Netzwerks regelmäßig Sicherheitsupdates erhalten?

Ohne eine VPN-Verbindung kann der Client die lokale Infrastruktur, den WSUS (Windows Server Update Services) oder SUP (Software Update Point des SCCM) nicht erreichen und somit keine Zuweisung von neuen Sicherheitsupdates erhalten.

Da die Mitarbeiter unterwegs irgendwo immer einen Zugriff aufs Internet haben, liegt es nahe, dass die Clients die Sicherheitsupdates direkt von Microsoft Update herunterladen. Doch soll dies nicht unkontrolliert geschehen, sondern erst nach einer gewissen „Test-Phase“ der Updates innerhalb des Unternehmens. Für diese Möglichkeit ist es notwendig, den Client nicht nur mittels SCCM zu verwalten, sondern zusätzlich Richtlinien, die die IT selbst konfiguriert, über Intune zu verteilen.

Damit klar ist, welche Richtlinien vom Configuration Manager und welche durch Intune bereitgestellt werden, gibt es während der Konfiguration des Co-Management die Möglichkeit, Workloads genau zu verteilen:

Microsoft Co-Management – Die Brücke zum modernen IT-Management
Konfiguration Co-Management Workloads (Quelle: SoftwareONE)

Um das Co-Management zu realisieren, müssen die Windows 10 Clients in Intune registriert werden. Für diese Registrierung gibt es zwei verschiedene Möglichkeiten:

  • Vorhandene Configuration Manager-Clients: Windows 10 Geräte, die bereits über SCCM verwaltet werden, müssen in Intune registriert werden.
  • Neue Internet-basierte Geräte: Die neuen Windows 10 Geräte treten dem Azure AD bei und werden automatisch in Intune registriert. Anschließend wird der Configuration Manager-Client installiert

Zu der Frage, wie die Clients Sicherheitsupdates erhalten, kommt meistens noch die Frage nach Sicherheitsrichtlinien auf.

Vor allem mit Windows 10 ist das ein interessantes Thema, da es jährlich zwei Feature Updates gibt. Diese neuen Features können mit Hilfe von Gruppenrichtlinien verwaltet werden. Doch wenn das Unternehmen den Außendienstmitarbeitern die neuen Feature Updates durch die Verwendung von Windows Update for Business (wird in Intune konfiguriert) bereitstellt, erhalten diese Clients nicht die neu konfigurierten Gruppenrichtlinien für das neue Windows 10 Release.

Mit Hilfe des Co-Management ist es aber möglich, entsprechende Sicherheitsrichtlinien über Intune zu verteilen. Der Vorteil: Für die Anwendung der Richtlinien über Intune (MDM oder CSP (Configuration Service Provider)) Policy, genauso wie für die Anwendung von Updates muss nur ein allgemeiner Internetzugriff des Clients zur Verfügung stehen.

Da es sein kann, dass eine Intune Policy entgegengesetzt einer Gruppenrichtlinie konfiguriert ist, kann es zu einem Konflikt bei der Anwendung der Richtlinien kommen. Seit Windows 10 1803 gibt es eine CSP Policy, mit der festgelegt werden kann, dass die MDM Richtlinie angewendet und die Gruppenrichtlinie geblockt wird.

Voraussetzungen Co-Management

Doch um dieses Szenario zu realisieren müssen SCCM und Intune noch entsprechend miteinander verbunden werden. Dafür sind folgende Komponenten und Lizenzen notwendig:

Erforderliche Komponenten

Für das Co-Management sind folgende Komponenten erforderlich:

  • Lizenzierung
  • Configuration Manager
  • Azure Active Directory (Azure AD)
  • Microsoft Intune
  • Windows 10
  • Berechtigungen und Rollen

Lizenzierung

  • Azure AD Premium
  • EMS- oder Intune-Lizenzen für alle Benutzer

Fazit

Der Weg in die Cloud ist nicht nur für die Verwendung von Applikationen oder Diensten in naher Zukunft interessant, sondern auch für die Verwaltung der Clients. Mit Windows 10 hat Microsoft ein Betriebssystem entwickelt, das sich ohne einen zusätzlichen Agent direkt aus der Cloud verwalten lässt. Wie oben schon beschrieben, ist es nicht jedem Unternehmen möglich, direkt den Weg zum Cloud-Only oder auch Modern Management zu gehen, doch für genau diese Kunden hat Microsoft das Co-Management von SCCM in Verbindung mit Intune bereitgestellt.

Sie wünschen sich eine individuelle Beratung?

Sie  haben noch Fragen oder wünschen sich eine individuelle Beratung. Gern helfen Ihnen unsere Experten weiter und unterstützen Sie bei Ihrem konkreten Anliegen.

Kontakt aufnehmen

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Marco Claes

IT-Consultant Modern Workplace

Verwandte Artikel

Hilfe für Ihr Unternehmen: Softwarekosten in turbulenten Zeiten reduzieren

Softwarekosten in turbulenten Zeiten reduzieren

Die Zeiten sind turbulent und Änderungen fast die Regel. Umso wichtiger ist es, gerade jetzt neben den technischen Herausforderungen, wie etwa den Remote-Arbeitsplätzen, das Cashflow-Management nicht zu vernachlässigen.

VIP sein bei Adobe: Was der Value Incentive Plan seinen Nutzern bringt

Vereinfachte Lizenzverwaltung inklusive: Adobe VIP ist das Lizenzprogramm von Adobe für Unternehmen jeder Unternehmensgröße.

CorelDRAW Graphics Suite 2020 – starke Grafik-Tools für viele Branchen

Eine Lösung auch für Enterprise-Unternehmen: was die CorelDRAW Suite 2020 alles kann