Wie jedes andere Arbeitswerkzeug muss auch ein Desktop-Computer gepflegt werden, um zuverlässig zu funktionieren. Ein nicht verwalteter Desktop ist potenziell fehleranfälliger und unsicherer. Hand aufs Herz: haben Sie Ihre Systeme im Griff? Dazu sollten Sie sich folgende Fragen stellen:
• Wie viele Desktops haben Sie in Ihrem Unternehmen?
• Wie oft (und wo) sind welche Betriebssysteme und welche Patch-Level vorhanden?
• Welche Antivirensoftware ist wo installiert? Und wie aktuell sind die Signaturdateien?
• Wie ist die Konfiguration der Desktop-Firewall?
• Können Sie das Verhalten von Firewall, Antivirensoftware und Microsoft-Updates zentral steuern und überwachen?
• Welche Applikationen sind wo installiert? In welcher Version?
• Sind Ihre Desktops korrekt lizenziert?
• Gibt es auf den Desktops aktuell Probleme oder Warnungen?
In vielen, insbesondere kleineren Unternehmen können diese Fragen nicht oder nur mit großem Aufwand beantwortet werden. Selbstverständlich kann man mit Microsoft-Bordmitteln Windows-Desktops vollständig verwalten. Die Infrastruktur, die dafür notwendig ist, kann allerdings nahezu beliebig komplex werden: Active Directory, Gruppenrichtlinien, Windows Update Server (WSUS), Forefront, System Center Operations Manager und vieles mehr.
Das ist für große IT-Abteilungen kein Problem. Kleinere Unternehmen mit wenigen Administratoren und vielleicht maximal einigen hundert PCs stoßen da schnell an ihre Grenzen.
Windows Intune stellt diese Verwaltungswerkzeuge als Cloud Service zur Verfügung. Sie benötigen hierfür keine eigene Infrastruktur, lediglich einen Internetzugang. Damit sind auch solche Desktops verwaltbar, die sich in Zweigstellen oder an Heimarbeitsplätzen befinden.
Windows Intune ist außerdem eine Software-Assurance-Subskription. Damit erwerben Sie automatisch das Upgrade-Recht auf das jeweils aktuelle Windows-Client-Betriebssystem in der Enterprise-Version. Optional können Sie auch das Microsoft Desktop Optimization Pack (MDOP) subskribieren, zu dem unter anderem die Applikationsvirtualisierung App-V gehört.
Voraussetzungen
Nachfolgend finden Sie die Voraussetzungen für den Einsatz von Windows Intune. Es ist hierfür keine eigene Serverinfrastruktur notwendig. Zu beachten sind lediglich folgende Punkte:
• Das Desktop-Betriebssystem muss Windows XP (ab SP2), Windows Vista oder Windows 7 sein.
• Für Windows-XP-Desktops sind 256 MByte Arbeitsspeicher und eine 500-MHz-CPU Mindestvoraussetzung.
• Die verwalteten Desktops benötigen einen Internetzugriff.
• Falls eine Firewall zwischen Desktop und Internet vorhanden ist, muss diese die Kommunikation mit der Domäne "manage.microsoft.com" zulassen.
• Der Proxy-Server muss http und https sowie entweder Non-auth oder Negotiate (Kerberos) zulassen. Bei Negotiate (Kerberos) muss dies für Computerkonten konfiguriert sein.
Falls Sie bereits ein Active Directory betreiben, können Sie Windows Intune natürlich trotzdem verwenden. Es kann jedoch zu Konflikten kommen, wenn Sie die gleiche Einstellung sowohl mit Gruppenrichtlinien als auch mit Windows Intune konfigurieren.
Um dies zu vermeiden, sollten Sie entweder die mit Windows Intune verwalteten Desktops in eine eigene Organisationseinheit (OU) verschieben und dort die Anwendung von Gruppenrichtlinien blockieren beziehungsweise filtern. Oder Sie ändern die vorhandenen Gruppenrichtlinien so, dass die Einstellungen für Windows-Updates, Firewall und Antivirensoftware dort nicht konfiguriert sind.
Windows Intune: Administratorkonsole
Die Verwaltungswerkzeuge für Windows Intune werden als Cloud Service zur Verfügung gestellt. Dementsprechend erfolgt der Zugriff über den Webbrowser, und zwar unter der Adresse https://manage.microsoft.com.
Nach der Authentifizierung per Windows-Live-ID werden Sie automatisch zu Ihrer persönlichen Konsole umgeleitet. Sind Sie Administrator in mehr als einer Windows-Intune-Subskription, dann sehen Sie zunächst eine Liste Ihrer Subskriptionen, aus der Sie dann per Mausklick eine auswählen. Sie können jederzeit aus der Administratorkonsole mit einem Klick auf Zu einem anderen Konto wechseln wieder zu dieser Liste zurückkehren.
Update: Installation (mit Videos)
Um einen Desktop-PC mit Windows Intune verwalten zu können, muss zunächst die Windows-Intune-Client-Software installiert werden. Die finden Sie in Ihrer Windows-Intune-Konsole im Bereich Administration.
Die Software ist dort bereits mithilfe von Zertifikaten personalisiert, daher ist bei der Installation keinerlei Konfiguration mehr notwendig.
Das erste Video erläutert die Ersteinrichtung und Clientinstallation in Windows Intune. Dieses und weitere Videos zum Thema finden Sie bei Microsoft TechNet.
Ist die Windows-Intune-Client-Software installiert, dann erscheint der Desktop automatisch in der Liste der nicht zugewiesenen Computer. Von dort können Sie ihn dann zu einer oder mehreren Computergruppen hinzufügen.
Diese Computergruppen sind mit den Organisationseinheiten (OU) in Active Directory vergleichbar; sie dienen der gezielten Zuweisung von Windows-Intune-Richtlinien. Das zweite Video widmet sich eingehend Gruppen und Administratoren in Windows Intune.
Der Windows-Intune-Client lädt selbstständig weitere Softwarekomponenten herunter und installiert sie. Dazu gehören beispielsweise der System-Center-Operations-Manager-Client, ein Windows-Intune-Monitoring-Agent, ein Policy-Provider und ein Firewall-Configuration-Provider. Mithilfe dieser Softwarekomponenten kann der Windows-Intune-Administrator die zentral definierten Richtlinien zuverlässig durchsetzen und überwachen.
Eine vollständige Liste der Softwarekomponenten und weiterführende Informationen finden Sie hier.
Windows Intune: Cloud Services
Die Verwaltungswerkzeuge von Windows Intune erlauben die Konfiguration einer Vielzahl wichtiger Einstellungen. Der wichtigste Punkt ist, dass Sie diese Konfigurationen effektiv durchsetzen können. Will heißen, ein lokaler Benutzer an einem Desktop-PC kann die von Ihnen vorgenommene Konfiguration nicht verändern (es sei denn, Sie lassen dies ausdrücklich zu). Ebenfalls wichtig: Jeder Adminstrator, der ein wenig Erfahrung mit Windows hat, wird sich in der Verwaltungskonsole sehr schnell und einfach zurechtfinden, denn die einzelnen Oberflächen ähneln absichtlich sehr stark den entsprechenden Oberflächen in Windows.
• Updates: Hier legen Sie fest, für welche Microsoft-Produkte Sie Updates verteilen möchten. Automatische Genehmigungsregeln erledigen die Verteilung derjenigen Updates, die für Sie kritisch sind. Alle anderen Updates prüfen und genehmigen Sie individuell, wobei Ihnen direkte Links zu den Knowledge-Base-Artikeln die Arbeit erleichtern.
• Anti-Malware: Zu Windows Intune gehört auch Antivirensoftware. Sie können wählen: Entweder Sie installieren Windows Intune Malware Protection und entfernen dabei automatisch eventuell vorhandene Antivirensoftware (Voraussetzung: Diese wird vom Windows Security Center erkannt), oder Sie installieren nur dort, wo noch keine andere Antivirensoftware vorhanden ist. Ist eine solche vorhanden, wird aber vom Windows Security Center nicht erkannt, dann können Sie Windows Intune Malware Protection auch deaktivieren, um Konflikte zu vermeiden.
• Warnungen: PC-Probleme äußern sich in der Regel nicht nur in Form von für den Benutzer ärgerlichen Fehlermeldungen, sondern auch durch Eventlog-Einträge. Mithilfe der Warnungen in Windows Intune bekommt der Administrator nicht nur an zentraler Stelle die relevanten Statusmeldungen angezeigt, sondern er erhält gleichzeitig Informationen, die ihm helfen, das jeweilige Problem zu lösen. Für die für Sie wichtigen Warnungen können Sie zusätzlich E-Mail-Benachrichtigungen frei konfigurieren; so bekommen Sie kritische Meldungen oder Remote-Unterstützungsanfragen ohne zeitliche Verzögerung zum Beispiel auf Ihr Mobiltelefon.
Weitere Cloud-Services von Windows Intune
• Remote-Unterstützung: Eine weit verbreitete Eigenart des Administrators in nicht verwalteten Desktop-Infrastrukturen ist, dass er einen großen Teil seiner Arbeitszeit unterwegs ist, um beim Benutzer vor Ort Probleme zu sichten und zu lösen. Mit Windows Intune kann der Benutzer nun selbst per Mausklick um Unterstützung bitten. Der Administrator kann von seinem Arbeitsplatz aus mit dem Benutzer per Chat kommunizieren, der Benutzer kann dem Administrator den Desktop freigeben und ihm sogar die Kontrolle über Maus und Tastatur gewähren.
• Software: Hier bekommen Sie eine vollständige Auflistung sämtlicher auf den PCs installierten Software. Natürlich von allen Herstellern, nicht nur von Microsoft-Software. Und natürlich komplett mit Versionsinformationen.
• Lizenzen: Microsoft-Volumenlizenzverträge können Sie hier eintragen und dann automatisch mit dem Softwareinventar (siehe oben) abgleichen. So wissen Sie immer, ob Ihre Software korrekt lizenziert ist.
• Richtlinien: Die Konfiguration von Updates, Firewall und Anti-Malware erfolgt über Richtlinien. Diese werden einer oder mehreren Computergruppen zugewiesen und dann auf den dort zugeordneten Computern angewendet und effektiv durchgesetzt. Über eine Richtlinie lässt sich auch einstellen, welche Informationen zu Ihrer IT-Abteilung der Benutzer auf seinem Desktop sieht (beispielsweise Helpdesk-Telefonnummer oder URL der internen IT-Website).
• Berichte: Hier finden Sie vorkonfigurierte Berichte zur installierten Software, zum aktuellen Status von Updates sowie zur Lizenzierung Ihrer Desktops. Die Parameter der Berichte sind sehr einfach per Drop-Down-Menü anpassbar (zum Beispiel auf bestimmte Computergruppen oder Update-Kategorien). Alle Berichte lassen sich exportieren, und der kreativen Weiterverarbeitung in Excel steht so nichts mehr im Wege.
• Administration: Unter diesem Menüpunkt können Sie Administratoren hinzufügen beziehungsweise entfernen. Hier finden Sie auch die Windows-Intune-Client-Software.
Lizenzierung und Nutzungsrechte
Windows Intune ist eine Subskription und wird pro PC und pro Monat abgerechnet. Eine Windows-Intune-Subskription enthält die folgenden drei Komponenten:
• Desktop-Verwaltung: Dieser Cloud Service ist die Kernkomponente von Windows Intune und immer fester Bestandteil der Subskription.
• Software Assurance: Auch diese Komponente ist fester Bestandteil der Subskription - es sei denn, Sie haben für einen PC bereits anderweitig Software Assurance subskribiert. Dann wird für die Windows-Intune-Subskription ein entsprechend reduzierter Preis abgerechnet. Software Assurance beinhaltet unter anderem das Upgrade-Recht auf die Enterprise-Version des jeweils neuesten Windows-Client-Betriebssystems. Auch das Nutzungsrecht für Hosted Desktops (Virtual Desktop Access, VDA) ist in Software Assurance enthalten.
• Microsoft Desktop Optimization Pack (MDOP): Diese Komponente können Sie optional zusätzlich subskribieren. Darin enthalten ist beispielsweise die Applikations-Virtualisierungs-Lösung App-V.
Microsoft Desktop Optimization Pack
Bestandteil dieser optionalen Komponente ist neben App-V auch Microsoft Enterprise Desktop Virtualization (MED-V), das es Ihnen ermöglicht, auf einem Windows-7-Desktop Applikationen auszuführen, die grundsätzlich nicht kompatibel sind - diese laufen dann im Hintergrund in einer virtualisierte Windows XP-Instanz. Sowohl App-V als auch MED-V sind keine Cloud Services, Sie benötigen also ein wenig eigene Infrastruktur, um sie zu nutzen.
Bei App-V ist das als Minimalanforderung sehr wenig: ein Desktop-PC, der auch virtualisiert sein kann. Auf diesem PC erstellen Sie die App-V-Pakete. Verteilen können Sie diese auf verschiedenen Wegen, zum Beispiel per USB-Stick oder DVD, per Dateifreigabe über das Netzwerk oder mithilfe des App-V Streaming Server. Für Letzteren allerdings wäre ein eigenes Active Directory notwendig.
Der Vorteil von App-V ist, dass Applikationen nun zwar lokal auf den Desktops ausgeführt werden, dort jedoch nicht installiert werden müssen. Damit fallen Kompatibilitätsprobleme zwischen verschiedenen Applikationen weg, nicht miteinander kompatible Versionen (beispielsweise Excel 97 und Excel 2010) können problemlos koexistieren, und die Applikationsbereitstellung und -pflege wird sehr viel einfacher.
Beispiel: Windows-7-Rollout
Am Beispiel einer fiktiven Firma sei kurz erläutert, wie man Windows Intune konkret nutzen kann. Die Situation dürfte in vielen Unternehmen nachvollziehbar sein.
Unsere fiktive Firma hat einige hundert PC-Arbeitsplätze, vor allem in der Verwaltung, also zu 90 Prozent stationäre Endgeräte. Die Desktop-Hardware ist relativ alt und läuft seit vielen Jahren auf Basis von Windows XP. Ein Upgrade auf Windows 7 erfordert den Austausch eines großen Teils dieser Hardware. Die Desktop-Verwaltung ist nur rudimentär, sie basiert auf manuellen Installationen und Fehlersuche vor Ort. Zentrale Überwachung, Steuerung und Berichtswesen gibt es nicht.
Die Firma subskribiert nun Windows Intune für alle PCs. Bei denjenigen, die Windows-7-fähig sind, wird auf Basis der vorhandenen Windows-XP-Lizenz das Upgrade-Recht genutzt und dort Windows 7 Enterprise Edition installiert. Über Windows Intune wird Anti-Malware und Windows Firewall eingerichtet, und Microsoft-Updates werden verteilt.
Für die anderen PCs, die auf Windows XP bleiben müssen, wird eine Hosted-Desktop-Lösung implementiert. Dazu wird der kostenlose Microsoft-Hyper-V Server verwendet, auf dem virtuelle Maschinen mit Windows 7 Enterprise Edition erstellt werden. Dies geschieht auf der Basis von Differencing Disks und somit mit minimalem Festplattenplatz auf dem Server. Die Automatisierung erfolgt über PowerShell, hierfür gibt es im Windows Skripting Center reichlich Beispiele und Vorlagen. Windows-7-Lizenzen für die Hosted Desktops sind nicht notwendig, es muss lediglich der Zugriff lizenziert sein, was ja über Virtual Desktop Access als Teil von Windows Intune bereits enthalten ist.
Die Windows-XP-Desktops werden nun quasi zu Windows-XP-Terminals. Die lokale Windows-Firewall wird so konfiguriert, dass nur noch die für den Hosted-Desktop-Betrieb nötigen Protokolle durchgelassen werden (beispielsweise RDP), und die Benutzer bekommen nur minimale Rechte. Das Log-on wird so gestaltet, dass automatisch eine RDP-Verbindung zum Hosted Desktop hergestellt wird und der Benutzer den lokalen Desktop gar nicht mehr zu sehen bekommt.
Mithilfe von App-v werden die meisten Applikationen virtualisiert, sowohl auf den Hosted Desktops als auch auf den Windows-7-Endgeräten. Auf den Windows-XP-Endgeräten werden keinerlei Applikationen mehr bereitgestellt. Als Ergebnis haben nun alle Benutzer Windows 7, und jeder Desktop sieht gleich aus und funktioniert identisch, obwohl unterschiedliche Technologien für die Bereitstellung genutzt werden. (mje)