Wichtige Besonderheiten von Microsoft Intune
Viele Unternehmen beschäftigen sich derzeit mit dem Thema Microsoft Intune. Manche aufgrund eines erhöhten Kostendrucks, andere, um Lösungen vermehrt in die Cloud zu verlagern, Technologien bei einem Hersteller zu bündeln oder Lizenzen besser auszunutzen.
Es gibt für Unternehmen jedoch einiges zu bedenken, wenn sie zu Microsoft Intune wechseln möchten. In einem Interview mit Roman Usiatycki und Robert Hamel zeigen wir auf, welche Besonderheiten Unternehmen bei Microsoft Intune beachten müssen und welche Kompromisse gegebenenfalls notwendig sind.
Robert, kannst du zunächst erklären, warum sich aktuell so viele Unternehmen mit Microsoft Intune beschäftigen?
Der Kostendruck ist sicherlich bei vielen ein Thema. Unternehmen müssen schauen, ob und wo sie Kosten sparen können. Da fragen sich viele, ob sie zusätzlich zu den M365-Lizenzen und der Intune-Lizenz, die sie schon haben, noch weitere Lizenzen für ein anderes UEM-System bezahlen sollten. Hier muss man allerdings genau hinschauen, was die vorhandenen Lizenzen im Detail beinhalten.
Daneben gibt es andere Unternehmen, die ein UEM-System für all ihre Geräte nutzen wollen. Sie wollen ihre Smartphones und Tablets gemeinsam mit Windows- und macOS-Geräten verwalten, bilden das derzeit aber noch mit unterschiedlichen Systemen ab. Man muss zwar schauen, in welcher Tiefe man das bei Microsoft Intune machen kann. Aber generell gibt es in der Microsoft-Welt einiges, was hierbei unterstützt – zum Beispiel das Thema Conditional Access. Darüber lässt sich steuern, wer auf welchem Weg auf was zugreifen darf. Und das hat Microsoft relativ gut umgesetzt – auch, weil das in viele andere Systeme integrierbar ist. So kann man beispielsweise dafür sorgen, dass ein UEM-Client als Bedingung für die Device Compliance herangezogen wird. Das kann in das Conditional Access-Regelwerk aufgenommen werden.
Immer mehr Unternehmen verfolgen zudem eine Cloud-Strategie und ziehen deswegen einen Wechsel zu Microsoft Intune in Erwägung. Sie wollen möglichst viele Lösungen aus der eigenen Infrastruktur in die Cloud verlagern. Dadurch wollen sie Kosten sparen, die interne IT entlasten und von weiteren Vorteilen eines externen Hostings profitieren.
Häufig ist es auch eine Kombination der genannten Gründe. Aber wir haben auch Kunden, bei denen die Cloud aufgrund von gesetzlichen Vorgaben derzeit nicht funktioniert. Diese Unternehmen müssen eine On-Premise-Strategie fahren – oder überlegen, ob eine hybride Variante in Frage kommt. Denn es ist auch möglich, einige Lösungen „zu Hause“ zu lassen und andere Lösungen, die in die Cloud dürfen, dorthin zu verlagern. Das kann ggf. auf zwei verschiedene UEM-Systeme hinauslaufen – je nachdem, welche Anforderungen ein Unternehmen in Summe hat.
Du hast erwähnt, dass man bei den Lizenzen etwas genauer hinschauen muss. Warum ist das so?
Viele Unternehmen haben in ihrem Microsoft-Plan bereits Intune-Lizenzen enthalten. Man muss allerdings genau hinschauen. Microsoft macht es einem – was das Lizenz-Thema angeht – nicht einfach. Es gibt viele verschiedene Suiten: z.B. die Office-Suite oder die Windows Enterprise-Suite. Wichtig für das Gerätemanagement ist die Enterprise Mobility+Security-Suite mit einem Intune-Plan. Die Suite alleine reicht allerdings auch nicht unbedingt aus. Da kommt es noch darauf an, welches Bundle ein Unternehmen nutzt. Dort gibt es verschiedene Ausprägungen – von E1 über E3 bis E5.
Am besten ist man aufgestellt, wenn man die Microsoft 365-Suite nutzt, da sind alle Suiten enthalten. Aber auch da spielt wiederum die Ausprägung eine Rolle. Unternehmen sollten also genau schauen, ob bei dem Microsoft-Plan, den sie heute nutzen, auch alle Funktionen enthalten sind, die sie in ihrer aktuellen Legacy-Welt abbilden.
Und dann gibt es noch Premium-Lizenzen, die es auch nicht einfacher machen. Da sind kürzlich einige spannende Funktionen hinzugekommen, die sich als Einzel-Add-ons oder als Gesamtpaket erwerben lassen.
Da gibt es zum Beispiel das Feature „Advanced Endpoint Analytics“ für ein erweitertes Monitoring der Geräte oder das Feature „Endpoint Privilege Management“. Es gibt den „Microsoft Tunnel“ fürs Mobile Application Management – also die Möglichkeit, auch im MAM-Umfeld den Zugriff auf Apps und Ressourcen des Unternehmens mittels Conditional Access zu steuern und einen Single Sign-On zu ermöglichen. Und es gibt die „Remote Help Funktion“, die das Help Desk entlastet. Darüber kann das Support-Team im Support-Fall direkt mit den Betroffenen prüfen, welches Problem vorliegt und wie sich das lösen lässt. Das vereinfacht den Prozess ganz stark.
Unternehmen müssen also schauen, was in den aktuellen Lizenzen tatsächlich enthalten ist und welche Lizenzen sie ggf. zusätzlich benötigen. Wie sieht es denn generell aus: Kann man aus der bisherigen Welt ohne Probleme alle Funktionen in die Microsoft-Welt übernehmen?
Auch da muss man ein bisschen genauer hinschauen. Generell ist es so, dass Unternehmen bei Microsoft eine Umgebung für alle Geräte geboten bekommen. Auf nur einer Plattform können iOS-, iPadOS-, Android-, Windows- und macOS-Geräte relativ gut gemanagt werden – inklusive einer guten Übersicht über alle Geräte.
Aber für die Beantwortung der Frage ist es wichtig, zu prüfen, wie das Management heute aussieht und in Zukunft aussehen soll: Wenn ein Unternehmen primär Gerätekonfigurationen für Mails, PIM, WiFi, VPN-Profile und vielleicht auch einzelne Apps bereitstellt, also einfach nur entsprechende Profile für die Geräte auf das System bringt und für Nutzer:innen verwaltet, gibt es einen ganz guten und schnellen Weg für einen Wechsel zu Microsoft Intune. Dabei lassen sich andere Systeme bei Microsoft sehr gut anbinden – und ein Teil ist auch sehr gut mit Exchange Online verzahnt.
Wenn man bei sich noch Systeme als Applikations-Server nutzt, gibt es die Möglichkeiten, den Microsoft Tunnel zu verwenden, um diese zu erreichen und auf sie zuzugreifen.
Wobei wir erwähnen müssen, dass der Tunnel momentan nur für iOS und Android verfügbar ist. Wenn wir also darüber sprechen, alle Geräte mit einer Plattform zu verwalten, muss man wissen, dass man für Desktop-Systeme noch eine andere VPN-Lösung implementieren muss.
Genau, aktuell geht das nicht, aber vielleicht in Zukunft. Denn bei Microsoft kommen regelmäßig neue Features hinzu, die erstmal als Preview bereitgestellt werden. Da gibt es gerade im Bereich iOS und macOS einiges, was dieses Jahr kommen soll und teilweise schon in Preview ist. Ganz interessant ist zum Beispiel, was sich rund um die Softwareverteilung auf macOS tut. Hier wird man – so wie es aussieht – zukünftig auch die Möglichkeit haben, über das einfache Verteilen von Paketen hinauszugehen.
Wenn Unternehmen Windows-Geräte im modernen Umfeld managen möchten, finden sie bei Microsoft Intune einige Funktionalitäten, die nativ sehr gut angebunden werden können. Zum Beispiel lässt sich der Autopilot, also das automatische Enrollment von Windows-Geräten, sehr gut integrieren.
Vieles ist also auch bei Microsoft gut möglich. Gibt es denn auch Dinge, die sich nicht so gut umsetzen lassen oder bei denen Unternehmen Kompromisse eingehen müssen?
Auf jeden Fall. Unternehmen sind zum Beispiel von den Update-Zyklen von Microsoft abhängig. Das heißt, sie können ein Update nicht zu einem bestimmten Zeitpunkt bekommen, was sie ggf. von einer On-Premise-Variante gewohnt sind. Und sie sind darauf angewiesen, dass die neuen Features dann auch direkt funktionieren. Ist das nicht der Fall oder kommt es bei einem Feature, das für ein Unternehmen interessant ist, zu Verzögerungen, so muss das IT-Team eventuell umplanen. Die Softwareverteilung soll sich – wie schon erwähnt – gerade bei macOS aber weiter verbessern.
Zudem können bei Microsoft Intune einzelne Prozesse anders sein – vielleicht manchmal ein bisschen umständlicher. Denn insgesamt ist relativ viel voneinander abhängig – bei der ersten Einrichtung beispielsweise. So muss der Authenticator unter Umständen zuerst auf dem Gerät eingerichtet sein, damit man sich authentifizieren kann und auch der Rest funktioniert. Bei solchen Themen hilft es, eine ausführliche Dokumentation zu haben. Es ist wichtig, dass alle Kolleg:innen, die Geräte einrichten, wissen, wann ein Schritt etwas länger dauern kann oder wo eine bestimmte Reihenfolge einzuhalten ist, also wo ich mich beispielsweise zuerst anmelde.
Außerdem sind Unternehmen es gegebenenfalls gewohnt, dass manche Konfigurationen direkt nach der Einrichtung auftauchen. AwaitDeviceConfiguration ist beispielsweise auf iOS ein ganz interessantes Thema, was man in der Preview sehen kann und was wohl auch bald für macOS kommen wird. Das erlaubt es, manche Applikationen schon während des Einrichtungsprozesses auf dem Gerät zu installieren, damit Nutzer:innen nach der Einrichtung nicht darauf warten müssen, dass bestimmte Apps installiert werden. Sie können das Gerät dann direkt nutzen.
Auch unsere Kunden haben schon festgestellt, dass gewisse Dinge nicht mehr so schnell funktionieren oder dass manche Funktionen noch nicht da sind. Man kann dann zwar Feature-Requests stellen, aber das dauert natürlich ein bisschen und ein Unternehmen muss sich erstmal umstellen.
Ein anderes Thema, das in diesem Zusammenhang noch erwähnt werden sollte, ist das Troubleshooting. Man hat bei Fehlern natürlich die Möglichkeit, Fehlercodes auszulesen und nach Einträgen hierzu zu suchen. Viele Fehlercodes sind dann auch sehr gut beschrieben. Bei anderen wird es hingegen schwieriger. Da ist häufig externe Hilfe notwendig – zum Beispiel vom Team der EBF. 😉
Was wir natürlich auch nicht können, ist Logs aus der Cloud-Umgebung zu ziehen. Aber wir können auf den Geräten Logs ziehen, die helfen, ein klares Fehlerbild zu erhalten. Und selbst wenn die Fehler nicht dokumentiert sind, wissen wir dank unserer Erfahrung in der Regel, was man machen muss. Denn die meisten Probleme tauchen durchaus öfter auf. Deshalb haben wir da gute Möglichkeiten, zu helfen.
Vielen Dank für den Einblick! Zum Schluss noch einmal auf den Punkt gebracht: Welchen Tipp würdet ihr Unternehmen mitgeben, die sich aktuell mit Microsoft beschäftigen?
Unternehmen sollten immer genau schauen, was für und was gegen ein System spricht. Wo haben sie einen Vorteil, wo einen deutlichen Nachteil, wo muss man vielleicht einen Workaround finden? Unter Umständen ist dann auch eine Hybrid-Lösung ein gangbarer Weg. Denn es geht natürlich viel um das Thema Geld sparen.
Ich finde es ganz wichtig, dass Unternehmen analysieren, wie das Management der Geräte heute aussieht und zukünftig aussehen soll. Wenn ich Konfigurationen und Apps und vielleicht noch die ein oder andere Policy bereitstelle, dann ist es relativ einfach möglich, eine Migration durchzuführen. Wenn ich aber viele Systeme habe, die angebunden werden müssen, und vielleicht auch sehr spezielle Einsatzszenarien, dann muss ich gut planen und mir anschauen, wie und ggf. mit welchen Kompromissen ich das umsetzen kann.
Einladung
Für alle Microsoft Intune – Interessierten führen wir im September 2023 ein exklusives vor Ort Event in Köln durch. In verschiedenen Sessions geben unsere Expert:innen wichtige Insights und Wissenswertes rund um den Wechsel zu Intune, den Betrieb der Lösung und zeigen auf, welche Lösungen sich ergänzend zu Microsoft Intune gut einsetzen lassen.
Gehören Sie zu den ersten, die die Einladung zum Event erhalten, indem Sie sich jetzt zu unserem Newsletter anmelden.
EBF Newsletter
