Windows Intune ist die Microsoft Cloud Lösung zur Verwaltung mobiler Endgeräte. Verwaltung ist jedoch ein weitläufiger Begriff. Verwaltung bedeutet, das Geräte in Windows Intune registriert und mit Richtlinien gesteuert werden können. Klingt soweit ganz gut. Windows Intune offenbart als reine Cloudlösung jedoch erhebliche konzeptionelle Schwächen.
Nutzer müssen ihr Gerät selbst registrieren damit eine Intune Verwaltung stattfinden kann. Die Registrierung findet über den Worksplace (Windows Phone 8.x) oder das „Company Portal“ (Windows 8.x/RT, iOS, Android) statt. Es fällt jedoch schwer Benutzer zu motivieren Ihr Gerät zu registrieren wenn sie dadurch keinen Mehrwert bekommen sondern stattdessen lediglich mit Einschränkungen auf Ihrem Gerät leben müssen.
Sollte sich ein Benutzer jedoch trotzdem entschließen sein Gerät zu registrieren, kann er das Gerät jederzeit eigenständig wieder entfernen. Windows Intune ist dadurch bestenfalls eine mittelmäßige Mobile Devices Management Lösung. Fairerweise muss man jedoch erwähnen das Microsoft regelmäßig Aktualisierungen für Windows Intune bereitstellt. So ist es inzwischen z.B. möglich E-Mail Profile zu verteilen.
Wie die Überschrift jedoch nahelegt geht es in diesem Beitrag um eine Hybrid Lösung mit dem System Center Configuration Manager (SCCM). Der SCCM darf im Rahmen der Windows Intune Lizensierung eingesetzt werden um Mobile Endgeräte zu verwalten. Der SCCM erweitert die Funktionen um ein vielfaches.
- App Withe/Blacklist
- App Deployment (custom code)
- VPN Profile
- WLAN Profile
- E-Mail Profile
- Zertifikate (SCEP Infrastruktur erforderlich)
- OMA-DM Richtlinien (Open Mobile Alliance – Device Management)
Aus meiner Sicht ergeben sich aus den genannten Punkten signifikante Vorteile, wenngleich ein wenig Vorarbeit zu leisten ist um diese zu Nutzen. Hier also nochmal die Frage: Wie kann ich einen Nutzer also motivieren sein Mobiles Endgerät in Windows Intune zu registrieren. Zum Beispiel in dem man ihm damit ein Zertifikat zur Verfügung stellet mit dem er dann z.B. Zugriff auf E-Mail, WLAN und VPN erhält.
Beide Seiten können dadurch profitieren: Nutzer müssen sich nicht um die Konfiguration der Grundlegenden Funktionen kümmern um Unternehmensressourcen nutzen zu können und die IT hat die Möglichkeit die Geräte zu steuern und sei es nur um Updates von Einstellungen der oben genannten Profile zu verabreicht. In der Hybrid Konfiguration registrieren sich Geräte nach wie vor in Windows Intune. Der SCCM übernimmt aber die gesamte Steuerung. Das bedeutet die Verwaltung wird von Intune zum SCCM verlagert. Intune ist jedoch weiterhin der Endpunkt für die Mobilen Endgeräte.
Anmerkung
Die oben genannten Funktionen stehen nicht auf allen Client Plattformen zur Verfügung. Es sollte also zunächst ermittelt werden welche Plattformen mit welchen Funktionen angebunden werden können.
Bei der Einrichtung von Windows Intune wird i.d.R. die Management Authority festgelegt. Sobald diese einmal festgelegt ist kann diese nicht mehr ohne weiteres geändert werden. Dummerweise beansprucht in einer Hybrid-Konfiguration mit dem SCCM dieser aber die Management Authority zu sein. Um also ein bestehendes Intune Abonnement mit SCCM zu betreiben darf in diesem die Management Authority nicht festgelegt sein. Ist dies doch der Fall kann nur der Microsoft Support Abhilfe schaffen. Dieser ist in der Lage das Abonnement zurückzusetzen. Dafür sind jedoch einige vorarbeiten zu leisten.
- Alle registrierten mobile Geräte müssen „abgekoppelt/retired“ werden (Benutzer werden dabei ggf. eine Meldung erhalten das alle Firmenbezogenen Daten gelöscht werden)
- Alle veröffentlichten Modern Apps müssen gelöscht werden (Ausnahme Company Portal)
- Exchange Verbindungen müssen gelöscht werden
- Apple APN muss entfernt werden
Wie unschwer zu erkennen ist das vorgehen keinesfalls trivial, zumindest nicht wenn Windows Intune bereits produktiv genutzt wird 😉
Ist das Windows Intune Abonnement zurückgesetzt kann der SCCM konfiguriert werden.
Ich hoffe das ich in kürze die Zeit finden werde weitere Blogs zum Thema SCCM und Windows Intune Hybrid zu veröffentlichen.
