Microsoft hat neue Verwaltungsmöglichkeiten, zur zentralen Konfiguration der Office Suite und von Windows veröffentlicht. Kunden von Office 365 ProPlus oder Intune nutzen, erhalten Zugang zu den neuen Funktionen, durch die einige Probleme des klassischen GPO-Managements eliminiert werden.
Vor ein paar Monaten habe ich bereits über die Möglichkeit berichtet, die Windows 10 Clientkonfigurationen mit ADMX-basierten Richtlinien in Intune vorzunehmen. Der Import der ADMX-Vorlagen bietet umfangreiche Möglichkeiten, wie z.B. die Administration von Fremd-Software wie Google Chrome via Intune.
Ein Wehrmutstropfen gegenüber dem klassischen GPO-Management ist dabei die etwas umständliche Notation. Diese XML-Form muss genutzt werden, um eine Richtlinie zu erstellen. Das erfolgt zwar zumeist in Strings mit einfachen 1/0–Angaben, kann aber auch unnötig unschöne Formen annehmen – z.B. bei der Konfiguration vertrauenswürdiger Intranet-Sites:
<enabled/>
<Data id=”IZ_ZonemapPrompt” Value=”*.dynamics.com1*.office.com1*.office365.com1*.microsoftonline.com1*.sharepoint.com1*.lync.com1*.microsoftstream.com1*.sway.com1*.powerapps.com1*.dynamics.com1”/>
Nun können diese Richtlinien auch in einer einfachen Oberfläche verwaltet werden.
Besser, vor allem dank syncML
Aber warum eigentlich das Ganze? GPOs tun doch schon seit langem ihre Pflicht.
Die Vergabe von Gruppenrichtlinien durch das Active Directory stellt Administratoren und Support immer wieder vor kleinere (größere?) Herausforderungen. Zum einen ist erstmal die Erreichbarkeit des ADs zu gewährleisten. Über die lokalen Netzwerkgrenzen hinweg ist das schon mal nicht immer gewährleistet. Ein VPN muss her. Sie haben Mitarbeiter, die sich nicht regelmäßig im VPN einwählen? Schade, dann halt nicht.
In der Standardeinstellung holt sich der Client dann beim Start und alle 1,5 Stunden mal ein Update der GPOs. Ein etwas langer Zeitintervall in der heutigen Zeit.
Mit Windows 10 wurde ein MDM-Broker (bzw. CSP –> Configuration Service Provider) ins Betriebssystem integriert, durch den Intune seine Konfiguration am Client vornehmen kann. Hierdurch ist Intune in der Lage, Push-Benachrichtigungen mit der Aufforderung zur Richtlinien-Aktualisierung an den Client zu schicken. Zusätzlich nimmt dieser alle 8 Stunden ein Check-In vor.
Windows 10 und Intune-Richtlinien gibt es nun schon ein paar Jahre – aber erst seit den ADMX-basierten Richtlinien ist der nötige Funktionsumfang gewährleistet. Da Intune als Cloud-Service betrieben wird – optional im Hybrid-Betrieb mit dem System Center Configuration Manager (SCCM) und verfügbar via Azure –, benötigen die Clients lediglich einen Internet-Zugriff, um verwaltet zu werden.
Richtlinien, die via Intune verwaltet werden, nutzen zudem das SyncML-Protokoll und liefern Rückmeldungen (Fehlercodes) zur erfolgreichen Anwendung am Client, die zentral in der Administrationsoberfläche eingesehen werden können. Zusammen mit den anderen Report- und Monitoring-Funktionen aus Intune, schafft diese Rückmeldung eine Informationstransparenz, die bei klassischen GPOs fehlt.
Verwaltung der Office Suite
Für Kunden, die Office 365 ProPlus nutzen, steht über https://config.office.com/officesettings die Preview zur Office Richtlinienverwaltung zur Verfügung. Diese würde ich mal als abgespeckte Version der Intune-Richtlinien bezeichnen. Diese steht ohne, dass Intune zusätzlich lizenziert werden muss, zur Verfügung.
Der Office Client nutzt das Office 365 Konto: Die Desktop-Apps fragen nach der Anmeldung automatisch nach denen für den Nutzer festgelegten Richtlinien und werden entsprechend konfiguriert.
Dabei handelt es sich Benutzerkonto-Richtlinien, (noch) nicht Computerbasiert. Jeder Anwender verfügt somit beim Login an Unternehmensgeräten die gleiche, eigene Nutzererfahrung und ist zudem nicht in der Lage, die definierten Einstellungen selbst abzuändern.
(Quelle: Microsoft)
Grade für PCs mit Privatnutzung ist dieses Konzept interessant. Wir verwenden ausschließlich das Azure AD zur Anmeldung und Office365/Intune zur Verwaltung unserer Geräte. Durch das Hinzufügen eines privaten Mircosoft-Kontos kann bei der Windows-Anmeldung so zwischen dem privaten und beruflichen Bereich gewählt werden. Dabei muss die Konfiguration des einen Kontos nicht das andere beeinflussen.
Clientmanagement mit Intune
Eine wesentlich umfangreichere Gerätekonfiguration ist mit Intune möglich. Hier kann seit jeher schon aus einer Vielfalt nützlicher Konfigurationstypen gewählt werden, die nun durch die “Administrativen Vorlagen” erweitert wird.
Nach Erstellung können die zu konfigurierenden Parameter gewählt werden. Diese Umfassen zum einen die bereits gezeigten Office-Richtlinien, als auch die ADMX-basierten Windows-Einstellungen.
Beim Durchblättern umfasst die Liste grade mal drei Seiten – bei Nutzung der Suchfunktion fällt jedoch auf, dass Richtlinien erscheinen, die beim “Durchblättern” zunächst nicht gelistet waren. Damit decken die Einstellungen die ADMX-Vorlagen für CSP ab; bzw. fast: Die oben exemplarisch gezeigte “Liste der Site zu Zonenzuweisungen” fehlt leider noch. Aber ich weiß ja, wie man sie im Profiltyp “Benutzerdefiniert” schreibt.
Fazit und Ausblick
Intune ist für Android & iOS schon lange mein Mittel der Wahl. Mit den neuen Administrativen Vorlagen und dem Import von ADMX-Vorlagen ist es nun endlich auch im Bereich Clientconfig konkurrenzfähig und schafft die Notwendigkeit zur Mischverwaltung (GPO + Intune) weitestgehend ab. Weiter noch: In Kombination mit dem Azure AD Application Proxy kann die direkte Netzwerkanbindung an Serversysteme vermieden werden, ohne Einbußen in der Servicenutzung zu haben – eine wesentliche Sicherheitssteigerung.