Aus Endpoint Configuration Manager wird wieder Intune – mit zahlreichen neuen Funktionen
Microsoft hat „Endpoint Configuration Manager“ (früher Intune) wieder zurück zu „Intune“ benannt und damit auch zahlreiche neue Funktionen integriert, die ich ziemlich spannend und nützlich finde. Darunter die Integration der Darstellung von Bedrohungen auf den jeweiligen Endpunkten, die Möglichkeit der nahtlosen Integration von Incidents aus ServiceNow, einer Art „Fernwartung“ bzw. Remotezugriff auf das Device über den Webbrowser direkt aus der Intune-Konsole heraus, inklusive Chat-Funktion, um mit dem Anwender kommunizieren zu können. Spannend ist auch, dass per Policy auf den Windows-Clients gewisse Apps mit besonderen Berechtigungen (Admin-Kontext) ausgeführt werden dürfen, wenn dies vom Administrator entsprechend konfiguriert worden ist. Der Anwender kann dann eine „Business Justification“ angeben, um so die spezifische Anwendung mit Admin-Rechten auszuführen. Für mobile Endgeräte wie Smartphones wurde eine Funktion geschaffen, die eine VPN-Tunnel-Konfiguration pro App vorsieht, so kann zum Beispiel eine installierte Microsoft-Edge-App angehalten werden, einen spezifischen VPN-Tunnel zu verwenden, während andere Apps einen komplett anderen Tunnel – oder eben gar keinen – verwenden sollen.
Links zur Ankündigung von Microsoft:
https://techcommunity.microsoft.com/t5/intune-customer-success/introducing-the-new-microsoft-intune-suite/ba-p/3755574
Microsoft kommuniziert die neue Intune Suite wie folgt:
Die neue Intune Suite vereint fortgeschrittene Endpunkt-Management- und Sicherheitslösungen in einem Paket, um die Endpunktverwaltung zu vereinfachen, die Sicherheitslage zu verbessern und eine außergewöhnliche Benutzererfahrung zu bieten. Die Integration von Microsoft Security und Microsoft 365 mit der Intune Suite ermöglicht es IT- und Sicherheitsteams, durch Datenwissenschaft und künstliche Intelligenz die Automatisierung zu erhöhen, um schnell und einfach von reaktiven auf proaktive Maßnahmen bei der Endpunktverwaltung und anderen Sicherheitsherausforderungen umzusteigen.
Die Intune Suite bietet verschiedene Funktionen, darunter Remote-Hilfe, Endpoint-Privilegien-Management, erweiterte Endpunkt-Analytik-Funktionen und die Verbesserung des Managements von Spezialgeräten.
Remote Help
Remote Help ist ein Tool, das Helpdesk-Mitarbeiter beim Support von Nutzern unterstützt, insbesondere jetzt, da Mitarbeiter häufiger außerhalb des Büros arbeiten. Remote Help ist bereits für Windows-Nutzer verfügbar und wird in zukünftigen Versionen auch für Android- und Mac-Endpunkte verfügbar sein, nach den aktuellen Informationen von Microsoft. Es ermöglicht IT-Helpdesk-Teams, Desktop- und mobile Geräte eines Benutzers basierend auf der bestehenden Unternehmensidentität des Benutzers remote zu troubleshooten. Die zusätzliche Android-Unterstützung wird insbesondere für das Supporten von Geräten von Microsoft sogenannten Frontline-Mitarbeitern nützlich sein, also Mitarbeitern, die in der Regel nicht Vor-Ort sind. Der Zugriff erfolgt über eine grafische Konsole, direkt aus dem Browser heraus. https://aka.ms/Blog_RemoteHelpUpdates
Remote Help ist heute als integraler Bestandteil des neuen Microsoft Intune Suite verfügbar und bleibt als eigenständiges Add-On auch verfügbar.
Microsoft Intune Endpoint Privilege Management
Microsoft Intune Endpoint Privilege Management ist für mich eines der interessantesten Tools, da es uns ermöglicht, ein Gerät einem Anwender ohne lokale Admin-Berechtigungen auszuliefern und dennoch Unterbrechungen bei grundlegenden Aufgaben, die temporäre Administratorrechte erfordern, zu vermeiden. Es minimiert die Anzahl der Tools und Prozesse, die eine Organisation zur effektiven Verwaltung von Administratorrechten benötigt, indem es eine integrierte Lösung direkt in die Plattform von Microsoft Intune bietet. Aus meiner Sicht ist es eine sinnvolle Ergänzung zu dem bekannten Azure AD PIM, eine konsequente Fortsetzung des Zero-Trust-Models und ein Durchsetzen des Konzepts der geringsten Rechte.
Mit Microsoft Intune Endpoint Privilege Management können IT- und Sicherheitsteams alle Mitarbeiter als Standardbenutzer ausführen und nur bei Bedarf ihre Privilegien erhöhen, um die Sicherheit zu erhöhen und die Effizienz der IT-Teams zu verbessern. Endpoint Privilege Management hilft dabei, den Grundsatz der geringsten Privilegien durchzusetzen und die Angriffsflächen zu minimieren, indem es nur ausgewählte und zugelassene Anwendungen als Administrator zulässt. Endpoint Privilege Management wird im April 2023 allgemein verfügbar sein, gemäss der aktuellen Ankündigung von Microsoft.
Ein Beispiel: Wenn ein Finanzmanager wie Adele eine neue Anwendung installieren muss, die in der Organisation nicht weit verbreitet ist, kann Megan Adele die erforderliche Installationsdatei bereitstellen und eine EPM-Richtlinie konfigurieren, die es ihr nur erlaubt, ihre Rechte für die Installation dieser speziellen Anwendung zu erhöhen. Dadurch wird sichergestellt, dass Adele keine unnötigen Administratorrechte erhält, die die Angriffsfläche der Organisation erhöhen könnten.
Die EPM-Funktion unterstützt auch die vom Benutzer bestätigte Rechteerhöhung, was bedeutet, dass Mitarbeiter bei Bedarf eine Anforderung stellen können, um ihre Rechte für bestimmte Aufgaben zu erhöhen. Das ist nützlich, wenn Mitarbeiter auf eine Situation stoßen, in der sie einen Task / Prozess ausführen müssen, die erhöhte Rechte erfordert, aber sie nicht über die erforderlichen Berechtigungen verfügen. In diesem Fall können sie eine Erhöhung ihrer Rechte beantragen, und eine zuvor von einem IT-Administrator konfigurierte EPM-Richtlinie bestimmt, ob die Erhöhung gewährt wird oder eben nicht bzw. eine Angabe einer Begründung erforderlich ist.
Beispiel: Finance Manager Adele arbeitet von zu Hause aus und bemerkt, dass ihr eine wichtige Anwendung fehlt, die sie für eine Kundensitzung benötigt. Da die Anwendung nicht weit verbreitet ist und nicht auf ihrem Rechner installiert ist, erhält sie von IT-Administratorin Megan die Installationsdatei für die Anwendung. Adele installiert die Anwendung und wählt dazu „Mit erhöhten Zugriffsrechten ausführen“. Das ist eine Nutzerbestätigungserhöhung, die durch das Policy-basierte Konfigurationsverfahren von Endpoint Privilege Management ermöglicht wird, ohne lokale Administratorzugangsdaten zu erfordern.
Das neue Nutzerbestätigungs-Management fordert Adele auf, eine Geschäftsbegründung anzugeben, die sie liefert. Da bereits eine Bestätigungsrichtlinie vorhanden ist, kann Adele die Anwendung ausführen und sofort nach Eingabe der Geschäftsbegründung mit ihrer Arbeit fortsetzen.
https://aka.ms/Blog_EPM
Endpoint Analytics von MS Intune
Durch die integrierte Funktion Endpoint Analytics von Microsoft Intune erhalten Organisationen aussagekräftige Metriken und Einblicke, um die Qualität der Endbenutzererfahrung zu messen. Zu den erweiterten Funktionen von Endpoint Analytics gehören die Erkennung von Anomalien, benutzerdefinierten Gerätebereichen und einer verbesserten Geräte-Timeline. Diese bietet detaillierte Einblicke, proaktive Erkennung von nicht berichteten Problemen und verbesserte Troubleshooting-Funktionen. Mit diesen Funktionen können IT-Administratoren potenzielle Probleme proaktiv identifizieren, bevor sie die Endbenutzererfahrung und -sicherheit beeinträchtigen.
Ein Beispiel für die Verwendung von Endpoint Analytics ist die Erkennung von unerwarteten Neustarts von PCs, App-Abstürzen, Hardwareproblemen oder Mikrofonproblemen, die Auswirkungen auf die Endbenutzererfahrung haben können. Durch die Nutzung der Anomalie-Detektion und des erweiterten Gerätezeitplans können IT-Administratoren potenzielle Probleme auf Windows-Geräten proaktiv identifizieren und effektiver beheben, bevor sie die Endbenutzererfahrung und Sicherheit beeinträchtigen.
Ein weiteres Beispiel ist die Verwendung von benutzerdefinierten Geräteschwerpunkten. Hier können IT-Administratoren die Leistung und Zuverlässigkeit von Teilgruppen ihrer Geräte mit Endpoint Analytics analysieren.
https://aka.ms/Blog_AdvEndpointAnalytics
Microsoft Tunnel for Mobile App Management
Die Microsoft Tunnel-Lösung für Mobile Application Management (MAM) ermöglicht es Mitarbeitern, von ihren persönlichen mobilen Geräten aus auf lokale Ressourcen zuzugreifen, ohne dass diese Geräte registriert werden müssen. Diese Lösung hilft Unternehmen dabei, BYOD-Richtlinien (Bring Your Own Device) zu fördern und somit Kosten für den Kauf von Unternehmensgeräten zu sparen. Gleichzeitig bleiben die Endbenutzerdaten auf den persönlichen Geräten der Mitarbeiter geschützt. Mit Microsoft Tunnel für MAM ist der sichere Zugriff auf lokale Unternehmensdaten von Android- und iOS-Geräten aus ohne Geräteregistrierung möglich. Mitarbeiter können auf lokale Ressourcen über Geschäftsanwendungen oder Microsoft Edge zugreifen und ihre Privatsphäre bleibt dabei geschützt. Microsoft Edge stellt nur dann eine VPN-Verbindung her, wenn sich Mitarbeiter mit einem Organisationskonto anmelden. Hier gibt es weitere Informationen: https://aka.ms/Blog_MAMTunnel
Erweiterung der zu Verwaltenden Geräte in Intune
Microsoft erweitert die Gerätetypen, die von Microsoft Intune verwaltet werden können, um Spezialgeräte wie Teams Room und AR/VR-Geräte, tragbare Headsets und andere Geräte, die unbeaufsichtigt sein können. Die Lösung ermöglicht es IT-Abteilungen, zweckgebundene Geräte zu verwalten und zu konfigurieren, die weit verbreitet in der Organisation eingesetzt werden, um Risiken zu mindern und die Angriffsfläche zu reduzieren. Microsoft Intune bietet Funktionen wie Bereitstellung, Zertifikat- und Wi-Fi-Verwaltung, bedingten Zugriff, Gerätekonformität, App-Lebenszyklus und Remote-Aktionen. Die Lösung unterstützt auch die Headsets Meta Quest 2 und Meta Quest Pro sowie das VR-Gerät HTC VIVE Focus 3, das auf AOSP läuft. Die Intune Suite ist jetzt verfügbar und automatisch für Intune-Abonnenten ohne zusätzliche Lizenzierung verfügbar.
https://aka.ms/IntuneSuiteLaunch
Sie möchten in einem persönlichen Gespräch mehr über die neuen angekündigten Funktionen erhalten? Zögern Sie nicht uns zu kontaktieren, um ein Termin mit unseren erfahrenen Consultants zu vereinbaren.