Durch die Mobile Device &Application Management Plattform Intune können Geräte und Anwendungen über Richtlinien konfiguriert werden. Durch die Kompatibilitätsprüfung wird zudem gewährleistet, dass diese Einstellungen erfolgreich angewendet wurden. Der Funktionsumfang dieser Richtlinien ist jedoch auf die Vorlagen limitiert – durch die neue Skript-Ausführung mit Microsoft Intune erhält man jetzt vollen Zugriff auf alle Betriebssystemeinstellungen.
Mit Windows 10 integrierte Microsoft Configuration Service Providers (CSPs) in den Systemkern, welche die Anwendung von OMA-URI-Einstellungen (Open Mobile Alliance Uniform Resource Identifier), wie in den mobilen Plattformen Android und iOS, ermöglicht. Diese Konfiguration weicht von den klassischen Gruppenrichtlinien in Richtung Mobil-Standard ab und ermöglicht somit eine Geräte- und Applikationsverwaltung ohne eine direkte Anbindung zum klassischen Windows Server Active Directory.
Zwar ist der Funktionsumfang enorm und reicht von der Festplattenverschlüsselung bis in die Startmenüanpassungen von Windows 10 – ein paar Wünsche bleiben jedoch gegenüber GPOs offen, mit denen man direkten Zugriff auf die Windows Registry hat.
Gerade bei der Erstanmeldung von Geräten oder Modifikationen am Dateisystem stößt man zudem an Grenzen, die sich nur durch Skripte bzw. eine Image-Anpassung bewältigen lassen. Durch die Möglichkeit Powershell-Skripte auf den Systemen auszuführen, sind jedoch (fast) keine Grenzen zur Verwaltung eines Windows 10 Geräts gesetzt.
Bereitstellen und Ausführen von Powershell-Skripten durch Intune
Im neuen Intune-Portal können Skripte nächst zu den Profilen der Gerätekonfiguration hinzugefügt werden. Die Bereitstellung erfolgt hierbei, wie auch bei anderen Profilen, durch die Zuweisung auf Azure-AD-Gruppen-Ebene.
Skripte können dabei sowohl im Nutzer- als auf im Systemkontext verwendet werden. Hierdurch lässt sich z.B. zwischen Konfigurationen entscheiden, die auf Systemebene oder – zuweisungsbedingt – nur für den angemeldeten Benutzer gelten.
Ideen & Fazit
Hinterlegen von Trusted Sites in der Windows Registry oder Entfernen aller überflüssigen Windows-Store Apps an Geräten die sich mit Azure-AD Konten anmelden? Bye, bye Candy Crush: Alles kein Problem mehr. Der Azure AD Join mit Intune-Softwareverteilung, MDM-Policies und Skript-Anpassungen hat sich zu einer echten Alternative zur Windows Image-Verwaltung mit Gruppenrichtlinien und System Center gemausert. Wir setzen schon lange voll auf diese Cloud-Only Infrastruktur und haben hiermit eine weitere Automatisierungsmöglichkeit für unser BYOD-Deployment erhalten.
Nehmen Sie bei Fragen, Anregungen oder Ideen zum Einsatz dieser Funktionen gern Kontakt zu uns auf!