Im ersten Teil unseres Microsoft-Windows-Intune-Workshops haben wir uns mit der Installation beschäftigt. Nun beleuchten wir im zweiten Teil die Konfiguration des Softwarepaketes. Nach der Installation von Windows Intune und der Anmeldung kann der Anwender mit der Konfiguration beziehungsweise Verwaltung der Systeme beginnen.
Die Verwaltungskonsole von Windows Intune ist mehrstufig aufgebaut. Im linken Fenster finden Sie die Rubriken Systemübersicht, Gruppen, Updates, Endpoint Protection, Warnungen, Software, Lizenzen, Richtlinen sowie Berichte und Verwaltung. Diese Rubriken repräsentieren die gesamten Verwaltungsfunktionen von Windows Intune und sollten in Bezug auf die Namensgebung für sich sprechen.
In den folgenden Erläuterungen gehen wir beispielhaft auf die wichtigsten Konfigurations- und Verwaltungsaspekte ein. Lediglich die Endpoint Protection soll an dieser Stelle explizit erwähnt werden. Hinter dieser Rubrik verbirgt sich das Sicherheitssystem "Endpoint Protection" von Microsoft. Es arbeitet mit dem Forefront-Modul von Microsoft zusammen und umfasst diverse Sicherheitswerkzeuge, beispielsweise Malware-Scanner. Durch die Endoint Protection sollen die Endgeräte gegen Angriffe abgesichert werden.
Die Übersicht in der Startmaske
In der Startmaske der Systemübersicht sieht der Anwender eine Zusammenfassung aller Geräte. Um diese zu selektieren, muss er die Auswahl rechts oben im Arbeitsfenster aktiveren.
In der Verwaltungsübersicht für die Rechner findet sich ein Hinweis zu "kritischen Updates". In dieser Darstellungsform finden Sie meist auch Handlungsempfehlung unter Empfohlene Aktionen. Hier heißt es beispielsweise bei den Updates: "Wichtige Updates überprüfen und genehmigen". Um diese Updates auszurollen, aktivieren Sie den entsprechenden Link in der Übersicht. Anschließend präsentiert Ihnen Windows Intune die fehlenden Updates. Im Feld der Klassifizierung wird eine Einstufung vorgenommen, ob Microsoft diese Updates als wichtig und kritisch ansieht oder ob es sich um weniger wichtige Systemänderungen handelt.
Im unteren Bereich dieser Maske erhalten Sie nun erneut Handlungshinweise, etwa den Hinweis Dieses Update genehmigen. Diese Operation bezieht sich auf ein oder mehrere gewählte Updates. Nach der Aktivierung dieses Links wählen Sie die Rechner aus, auf die diese Updates ausgerollt werden sollen. Die dazu notwendigen Selektionsschritte orientieren sich an den Windows-Gepflogenheiten. Im nächsten Schritt bestimmen Sie, was mit diesen Update passieren soll.
Sie können dabei zwischen mehreren Optionen auswählen, zum Beispiel Nicht installieren, Erforderliche Installation oder Deinstallieren. Im unteren Bereich des Fensters blendet Windows Intune weitere Information zu dieser Aktion beziehungsweise zu den Updates ein. Wenn Sie den Assistenten durchlaufen haben, werden die Updates automatisch auf die gewählten Systeme ausgerollt.
Gruppen vereinfachen die Verwaltung
Wenn viele Rechner verwaltet werden müssen, ist es sinnvoll, Gruppen zu erstellen. In einer Rechnergruppe können dann gleichartige Systeme zusammengefasst werden. Das erleichtert die Verwaltung größerer IT-Infrastrukturen, die aus verschiedenartigen Geräten wie Desktop-PCs, Notebooks, Tablets oder Smartphones bestehen können. Wichtig dabei ist auch, dass die Software entsprechende Filter bietet, um die Anzeige nach Bedarf anzupassen.
Um eine Gruppe in Windows Intune zu erstellen, aktivieren Sie den gleichnamigen Eintrag in der Verwaltungsmaske links. Anschließend blendet das Programm im rechten Fenster eine Gruppenübersicht ein. Hier finden Sie die wichtigsten Informationen zur jeweiligen Rechnergruppe. Diese sind ein Warnstatus, der Update-Status, die Sicherheit des Endpoint-Protection-Status, die Richtlinien und der Status der Software. Um eine neue Gruppe zu erstellen, aktivieren Sie unter den Aufgaben den Link Gruppe erstellen. Anschließend öffnet sich erneut ein Assistent, der alle für die Erstellung der Gruppe wichtigen Parameter abfragt.
Im ersten Dialog müssen Sie die Mitglieder - genauer gesagt: die Kriterien für die Gruppenmitgliedschaft - definieren. Ferner können Sie an dieser Stelle eine übergeordnete Gruppe angeben. Windows Intune nutzt dabei die Techniken der Vererbung, das heißt, Eigenschaften einer übergeordneten Gruppe werden auf die davon abgeleitete Gruppe weitergeben.
Selbstverständlich können Sie an dieser Stelle auch individuelle Parameter für die Gruppe bestimmen. Im nächsten Dialog können dann einzelne Mitglieder einer Gruppe angegeben werden. Um bestimmte Geräte zu einer Gruppe hinzuzufügen, stehen Ihnen mehrere Möglichkeiten zur Verfügung:
Im Rahmen dieses Workshop haben wir beispielweise eine Gruppe Windows 7 Enterprise angelegt, um damit die Verwaltung aller Windows-7-Systeme in einem Block zusammenzufassen. Nach Abschluss des Assistenten und dem Aufbau der Gruppe finden Sie unter dem Bereich Geräte die der Gruppe zugewiesenen Geräte. Zusätzlich blendet Windows Intune im unteren Bereich die Statusübersicht zu den Geräten dieser Gruppe ein.
Die Verwaltungsabläufe in Windows Intune sind weitgehend identisch. Auch bei den anderen Verwaltungsschritten werden Sie auf ähnliche Abläufe stoßen. Assistenten fragen die jeweils benötigen Konfigurationsparameter ab. Durch Gruppen wird die Verwaltung mehrerer Geräte vereinfacht. Dabei spielt es keine Rolle, ob es sich beispielsweise um das Ausrollen von Patches, um die Kontrolle durch die Endpoint Protection oder um die Verwaltung von Richtlinien handelt. (hal)