PC- und Smartphone-Verwaltung

Windows Intune: Was kann die neue Version?

28.06.2012
Seit dem letzten Update lassen sich mit Windows Intune neben PCs auch iPads, iPhones oder Android-Geräte über die Management-Plattform verwalten. Die COMPUTERWOCHE hat die Microsoft-Lösung getestet.
Die komplette Übersicht der Management-Lösung Windows Intune
Die komplette Übersicht der Management-Lösung Windows Intune

Windows Intune ist ein klassisches Software-as-a-Service-Angebot: Die komplette Intelligenz und die Verwaltung sitzt auf den Serverlandschaften von Microsoft, der Dienst kommuniziert über eine gesicherte Verbindung mit dem auf den Systemen installierten Endpunkten.

Die Client-Software unterstützt dabei Windows 7 Enterprise, Ultimate und Professional, Windows Vista Enterprise, Ultimate und Business sowie Windows XP ab Service Pack 2. Um die Verwaltungskonsole von Intune verwenden zu können, ist ein Browser mit Silverlight-Unterstützung notwendig. Ursprünglich ließ sich Intune für Administratoren nur mit einer Live-ID nutzen. Die aktuelle Version unterstützt auch Domänen, die den Cloud-Dienst Office 365 verwenden. Während der Registrierung erstellt der Dienst nun einen komplett neuen Nutzernamen, basierend auf der angegebenen Domäne. Bereits bestehende Konten importiert Intune auf Wunsch in das neue Format.

Die Kosten für den Dienst belaufen sich pro zu verwaltenden PC auf elf Euro im Monat. Dafür erhält man aber nicht nur den Zugriff auf den Dienst, sondern kann Windows 7 auch auf die Enterprise-Version upgraden. Das macht etwa dann Sinn, wenn Nutzer ihre eigenen Notebooks in der Arbeit verwenden wollen, auf diesen aber nur Windows Home oder Home Premium installiert ist. Intune lässt sich 30 Tage lang kostenlos testen, während des Tests lassen sich bis zu 25 Nutzer einrichten.

Mobile Device Management à la Microsoft

Die größte Neuerung im aktuellen Windows Intune ist die Verwaltung von mobilen Geräten. Dabei unterstützt die Verwaltungslösung alle Geräte, die über ActiveSync und einen Exchange-Zugriff verfügen. Microsoft schafft sich so einen cleveren Türöffner: Egal ob iOS, Android, Windows Phone - jedes dieser (mehr oder weniger) großen mobilen Betriebssysteme unterstützt den Zugriff auf Exchange. Die Funktionen rund um das Mobile Device Management, kurz MDM, sind aber auch durch die jeweiligen Exchange-Implementierungen limitiert. Mit Hilfe von Intune sind folgend Verwaltungsfunktionen möglich:

  • Exchange ActiveSync Policies an kompatible Geräte ausrollen. Das beinhaltet Regeln zur Passwortstärke oder das Erzwingen einer Verschlüsselung. Das klappt allerdings nur wenn die jeweiligen Endgeräte diese Funktionen auch unterstützen.

  • Erstellen von Zugriffsregeln für komplette Gerätefamilien oder einzelne Modelle.

  • Deaktivieren oder löschen von Geräten, die verloren oder gestohlen wurden.

Außerdem lassen sich interne Applikationen für Android und iOS bereitstellen. Dazu gehört auch ein Portal, über das Nutzer die Apps herunterladen und installieren können. Nutzer von Windows Phone müssen sich noch gedulden, Microsoft will diese Funktion aber in kommenden Updates für sein mobiles Betriebssystem liefern. So wurde etwa kürzlich auf einem Event rund um Windows Phone 8 ein dedizierter App Store für Unternehmen gezeigt.

Um die Smartphones mit Exchange zu verknüpfen, benötigen Nutzer den Exchange Connector, den Download findet man im Verwaltungsportal. Der Connector muss auf einem Windows-System installiert werden, das auf den Exchange-Server zugreifen kann. Im ActiveDirectory muss zudem ein Benutzerkonto angelegt sein, das Exchange Cmdlets ausführen kann und darf. Dieses Konto muss während der Installation in den Connector eingegeben werden.

Intune hilft Administratoren auch beim Entdecken von mobilen Geräten. Diese werden automatisch den jeweiligen Konten zugeordnet, auf die sie zugreifen. Zudem können sich Nutzer über das Portal zur Selbstverwaltung nicht mehr benötigte mobile Geräte selbst entfernen, das spart dem Admin Zeit.

Drei Portale für unterschiedliche Aufgaben

Intune besteht aus insgesamt drei verschiedenen Portalen: der Admin-Konsole, der Intune-Verwaltungskonsole Portal und dem Unternehmensportal. Jedes der drei Portale erfüllt dabei eine unterschiedliche Aufgabe:

Administrator: Diese Oberfläche kümmert sich um die grundlegende Verwaltung von Nutzern, Domänen und dem Anschluss an Active Directory. Zudem liefert Microsoft hier Informationen zum Dienststatus und alle notwendigen Daten rund um die aktuellen Abonnements in Intune. Administratoren können hier auch Daten zurücksetzen, wenn ein Nutzer etwa sein Passwort vergessen hat. Einzelne Nutzer lassen sich hier verschiedenen Rollen zuweisen, diese schränken den Zugriff auf Verwaltungsfunktionen und administrative Berechtigungen ein.

Verwaltungskonsole: Hier geschieht die eigentliche Magie. Die Silverlight-basierte Anwendung ist das Herzstück von Intune und liefert die Funktionen zum Management der jeweiligen Endpunkte. Hier lassen sich Gruppen definieren, Updates für verknüpfte Systeme freigeben, Informationen rund um die Anti-Malware-Komponente abfragen oder Software und Lizenzen verwalten. Dazu erstellt Windows Intune umfangreiche Berichte, etwa zu Software-Updates oder zur Nutzung von Lizenzen. Die notwendige Client-Software für Endpunkte lässt sich ebenfalls hier herunterladen. Sie steht als Exe-Datei zur Verfügung und lässt sich wahlweise in dieser Form an Nutzer verteilen oder über automatisierte Installationsroutinen auf den Zielsystemen aufspielen.

Unternehmensportal: Das dritte Portal ist erste Anlaufstelle für alle Nutzer. Hier finden sie nicht nur Software, die vom Administrator für den Einsatz im Unternehmen freigegeben wurde, sondern können sich je nach Nutzerrechten auch aktive Geräte anzeigen lassen. Der dritte Punkt der im Windows-8-Stil gehaltenen Oberfläche fungiert als Schnittstelle zur IT-Abteilung. Hier lassen sich etwa Kontaktinformationen hinterlegen. Außerdem erklärt die Seite, wie sich mit Hilfe des auf dem Rechner installierten Intune-Clients eine Remoteunterstützung anfordern lässt.

Praxiseindruck: Einfach, aber durchdacht

Im Unternehmensportal können Administratoren unter anderem Software hinterlegen.
Im Unternehmensportal können Administratoren unter anderem Software hinterlegen.

Intune besticht durch ein einfaches, durchdachtes Interface. Alle Funktionen lassen sich mit etwas Ausprobieren leicht herausfinden - das Wälzen von Handbüchern oder eine Suche in Readme-Dateien entfällt. Das Aufsetzen von Nutzern ist intuitiv geregelt, dank der Unterstützung für die Active Directory Synchronisierung lässt sich diese Komponente weitgehend automatisieren. Nach der Anmeldung an der Verwaltungskonsole zeigt Intune eine Übersicht aller Warnungen und Statusmeldungen. Diese sind verlinkt, so dass ein Klick direkt zur jeweiligen Aufgabe führt. Normalerweise sind nicht mehr als drei oder vier Klicks notwendig, um mehr über ein Problem zu erfahren und dieses zu beheben.

Im Test ließen sich PCs problemlos dem Portal hinzufügen, der jeweilige Endnutzer erhält den passenden Client und muss sich mit seinen Zugangsdaten während der Installation anmelden. Praktisch ist, dass der Intune-Client gleich eine Software für den Viren- und Spyware-Schutz mitbringt, dieser basiert auf den Forefront-Produkten von Microsoft. Der Rechner taucht zudem ohne nennenswerte Verzögerung im Verwaltungsportal von Intune auf, inklusive der Übersicht über anstehende Updates oder Neustarts.

Ein Wehrmutstropfen ist allerdings die Verwendung von Silverlight für die Oberfläche der Verwaltungskonsole. Microsoft liefert zwar einen offiziellen Client für Mac OS X und Windows, Tablet-Nutzer oder Linux-Fans haben allerdings Probleme beim Zugriff auf die Konsole. Außerdem schränkt Silverlight den Nutzer teilweise enorm ein: Text kann man beispielsweise nur dort markieren und kopieren, wo Microsoft dies explizit erlaubt. Hier wäre es schön, wenn der Konzern in einem der nächsten Updates auf ein HTML5-basiertes Portal umschwenkt.

Zur Startseite