Intune und die Verwendung von ADMX GPO Einstellungen

Bis vor einer noch nicht so langer Zeit, gab es eine große Hürde bei der Einführung von Intune in Unternehmen, es war nämlich nicht möglich Gruppenrichtlinien (GPO´s) auf den Intune verwalteten Geräten zu verteilen. Dieses Defizit wurde nun von Microsoft behoben, mit den ADMX backed policies ist es nun möglich, diese Lücke zu füllen.

 

GPO in Intune sind nun möglich

Für viele Unternehmen stellte sich beim Einsatz von Intune – z.B. zur Gewährleistung von Compliance Anforderung – bisher die Hürde, dass keine Gruppenrichtlinien bzw. Registry-Einträge durch Intune möglich waren. Gerade wenn eine Mischumgebung aus hybrid-verwalteten Geräten und Geräten mit reinem Azure AD join zum Einsatz kamen.

 

In diesem Fall musste eine Doppelpflege vorgenommen werden, auf der einen Seite On-Premise in Form von GPO Einstellungen und auf der anderen Seite Einstellungen in Intune. Die Problematik dabei ist nur, das mit den GPO´s mehr Einstellungen möglich sind.

 

MODERNE RICHTLINIEN & MONITORING

Mit den in Windows 10 integrierte Microsoft Configuration Service Providers (CSPs), welche nun im Systemkern vorhanden sind, womit die Anwendung von OMA-URI-Einstellungen (Open Mobile Alliance Uniform Resource Identifier), wie in den mobilen Plattformen Android und iOS, ermöglicht werden.

 

Dieses Verfahren hat einen großen Vorteil: Richtlinienanwendungen – bzw. eine Einstellung daraus – lässt sich nun zentral über die Intune-Console monitoren.

 

Microsoft Intune setzt hierbei zudem auf ein mehrstufiges Verfahren zur Richtlinien-Prüfung: Zum einen meldet der Client zurück, ob eine Richtlinie erfolgreich angewendet werden konnte. Über eine separate Konformitätsrichtlinie wird zudem geprüft, ob das Endgerät zu den Richtlinien kompatibel ist, die man zur Wahrung eines Sicherheitsstands im Unternehmen definiert hat. Ist das Gerät aus der Sicht der Security nicht kompatibel – etwa weil es nicht verschlüsselt ist oder ein Viren-Infekt nicht behoben werden konnte –, so wird es z.B. von den Office 365 Diensten ausgesperrt.

 

Eine Konfigurationsprüfung und die Konformität zu trennenstellt sich durchaus als sinnvoll dar: Es wäre falsch, einen Nutzer auszusperren, nur weil vielleicht das Hintergrundbild falsch gesetzt wurde.

 

Das Intune bietet zwar schon recht viele Einstellungen an, die auch über Schalter aktiviert werden können, aber über die ADMX backed policies werden diese Möglichkeiten nun deutlich erweitert.

 

Einstellungen in Microsoft Intune

Microsoft führt eine umfangreiche Dokumentation bereits importierter CSP-Einstellungen. Für diese CSP-Settings ist beschrieben in welcher Windows Version sie zur Verfügung stehen, in welcher ADMX-Datei sie zu finden sind und wie die ID der einzelnen Optionen lauten. 

mehr lesen 0 Kommentare

Erstellen und Bereitstellen von PFX-Zertifikatsprofilen in Microsoft Intune

In vielen Kundensituationen kommt es immer wieder vor, das Kunden Zertifikate an mobile Geräte senden möchten, um mit Ressourcenzugriffsprofilen (WLAN, S / MIME etc.) zu arbeiten und den Zugriff über ein Zertifikat aus der internen CA abzusichern. Aus der Sicht der Sicherheit aber nicht den NDES (Network Device Enrollment Server), der ja über das SCEP Protokoll arbeitet, über eine URL im Internet publizieren möchten.

 

Microsoft Intune verfügt hierfür über eine weniger bekannte PKCS # 12 (PFX) -basierte Zertifikatsbereitstellung, die in diesem Szenario verwendet werden kann

 

In den vorherigen Versionen musste ein Administrator eine PFX-Datei bereitstellen, die dann auf dem Gerät eingebunden werden musste. Dies hat sich nun in Intune geändert, die PFX Datei muss nun nicht mehr bereitgestellt werden. Mit der  Hilfe des Intune Certificate Connector, können nun Geräte ein Zertifikat aus der lokalen Zertifizierungsstelle automatisiert erhalten. Hierfür wird der NDES Service nicht mehr benötigt.

mehr lesen 0 Kommentare

Microsoft Global Datacenters and Network Infrastructure

Ein kleiner Überblick über das Microsoft Rechenzentrum.

mehr lesen 0 Kommentare

Whitespace in einer Microsoft Exchange Datenbank entfernen

Wenn Daten zu einer Exchange-Datenbank hinzufügt werden, erhöht sich damit zwangsläufig die Größe der Microsoft Exchange Datenbank. Wenn jedoch Postfächer gelöscht werden, nimmt die Größe der Microsoft Exchange-Datenbank nicht unbedingt ab - sie bleibt gleich.

mehr lesen 2 Kommentare

Standortübergreifende Postfachdelegierung in Hybrid Office 365

Eine häufige Anforderung von Kundenseite ist die Frage nach einer Delegierung von Postfachberechtigungen zwischen OnPremise und Cloud-Benutzern. Bislang konnte dies nur verneint werden, bislang denn seit Ende April wird diese Funktion im Office 365 Tenanten freigegeben.

mehr lesen 0 Kommentare