Jedem ist bekannt, dass sich IT-Administratoren um die digitale Sicherheit der Systemlandschaft kümmern und im Zuge dessen mit Hilfe von Richtlinien Sicherheitsrisiken schließen. Ein Geisterfahrer, der sich nicht an die Regeln hält, sorgt jedoch dafür, dass jeder auf der Straße gefährdet wird. Smartphones und andere private Mobilgeräte sind in Unternehmensnetzwerken nichts Ungewöhnliches. Mit ihnen kann ein jeder einfach und schnell E-Mails oder Teams-Nachrichten überall abrufen.

„Warum sollte es so schlimm sein, meine Teams-Nachrichten auf meinem Smartphone zu lesen? Wir chatten nur.“

Und wer hat alles Zugriff auf das Gerät? Was passiert, wenn bereits etwas von unsicheren Seiten gedownloadet wurde?

Mit dem Microsoft Endpoint Manager ist sichergestellt, dass alle Mobilgeräte mit dem gewünschten Sicherheitsstandard ausgestattet sind, bevor eine Verbindungsaufbau zum Unternehmensnetz hergestellt wird. Außerdem kann man nachvollziehen, welche Geräte Unternehmenszugriffe nutzen.

Was ist Microsoft Endpoint Manager?

Microsoft Endpoint Manager (MEM) ist eine umfassende Cloudplattform, die mehrere Microsoft-Dienste integriert, um die Endgeräte eines Unternehmens sicher und effizient verwalten zu können. MEM umfasst sowohl Microsoft Intune als auch den Configuration Manager, der auch als System Center Configuration Manager (SCCM) bekannt ist. Durch die Kombination dieser beiden leistungsstarken Tools ermöglicht MEM die zentrale Verwaltung aller Geräte im Netzwerk, unabhängig vom Betriebssystem oder der Hardware (PC, Smartphone, Tablet usw.).

Die Hauptkomponenten

Microsoft Intune

Microsoft Intune liefert folgende Tools:

  • Mobile Device Management
  • Mobile Applikation Management
  • Bring your own device Unterstützung (BYOD)
  • Remote-Wipe/ -Lock

Das Mobile Device Management (MDM) ist ein Tool zur Verwaltung aller registrierten Endgeräte, unabhängig vom Betriebssystem. Diese Geräte müssen nicht zwingend unternehmenseigene sein, da MDM auch die Nutzung privater Geräte im Unternehmensnetzwerk unterstützt. Um sicherzustellen, dass diese Geräte bestimmte Sicherheitsvoraussetzungen erfüllen, bevor sie Zugang zum Unternehmensnetzwerk erhalten, bietet MDM verschiedene Sicherheitsfunktionen.

Eine wichtige Sicherheitsfunktion ist der Remote-Wipe oder Remote-Lock. Mit der Lock-Funktion kann ein Gerät aus der Ferne gesperrt werden, wodurch es in den Sperrbildschirm wechselt und nur durch die Eingabe einer PIN wieder entsperrt werden kann. Dies verhindert unbefugten Zugriff z.B., wenn das Gerät nicht gesperrt wurde. Alternativ kann das Gerät durch die Disable-Funktion vollständig blockiert von Intune entfernt werden oder durch die Retire-Funktion alle Unternehmensdaten löschen, ohne es aus Intune zu entfernen. Dies ist nützlich, falls ein Gerät innerhalb des Unternehmens den Besitzer wechselt. Dabei werden ausschließlich Unternehmensdaten und -richtlinien entfernt, während das Gerät weiterhin nutzbar bleibt.

Mit der Wipe-Funktion kann dasselbe erreicht werden, ohne das Gerät aus der Intune-Liste zu entfernen. Zudem besteht die Möglichkeit eines Factory Resets, der das Gerät auf die Werkseinstellungen zurücksetzt und alle Daten löscht. Dies wird oft genutzt, wenn ein Gerät verloren geht oder gestohlen wird, um sicherzustellen, dass keine Unternehmensdaten entwendet werden.

Configuration Manager

Der Configuration Manager liefert folgende Tools:

  • Softwareverteilung und Bereitstellung
  • Verteilung von Betriebssystemen und Update
  • Integration eines Windows Server Update Service (WSUS)
  • Remote Control und Diagnose
  • Compliance-Management

Die Softwareverteilung ermöglicht es, Software sowie die entsprechenden Updates automatisiert und global auf alle Geräte zu verteilen. Dabei muss das Gerät eingeschaltet und mit dem Internet verbunden sein. Software und Updates werden einmalig in einer sogenannten Softwarebibliothek hinterlegt und von dort aus an alle Geräte verteilt. Auf diese Weise können IT-Administratoren sicherstellen, dass alle Clients zeitnah auf die neueste Version aktualisiert werden.

Der integrierte WSUS (Windows Server Update Services) bietet IT-Administratoren die Möglichkeit, die zu empfangenden Updates zu verwalten. In sogenannten Update-Rings lassen sich die Installationsoptionen festlegen. Beispielsweise können die Intervalle der Installationen definiert, sowie Feature-, Qualitäts- oder Treiber-Updates blockiert, zugelassen oder anderweitig konfiguriert werden.

Durch die Remote-Control-Funktionen können IT-Administratoren Fernzugriff auf die Geräte erlangen und die Steuerung übernehmen, ohne dass zusätzliche Software benötigt wird. Um sicherzustellen, dass dieser Zugriff nicht unkontrolliert erfolgt, gibt es Sicherheitsfunktionen wie rollenbasierten Zugriff, Zugriffbestätigung des Benutzers, Sitzungsprotokollierung und -verschlüsselung, sowie Gerätegruppen.

Mit dem Compliance-Management können Richtlinien festgelegt werden, um bestimmte Sicherheitskriterien zu gewährleisten, bevor sich ein Gerät mit dem Unternehmensnetzwerk verbinden kann. Microsoft bietet hierbei eine Vielzahl von Optionen, die auf die Geräte angewendet werden können.

Ein häufig genutztes Beispiel sind Kennwortrichtlinien: Neben der Mindestlänge können einfache Kennwörter wie „1111“ oder „1234“ blockiert, die Laufzeit der Kennwörter festgelegt und Mobilgeräte zur Verwendung eines Kennworts zum Entsperren gezwungen werden. Es kann gefordert werden, dass Windows Defender oder ein anderes Antivirenprogramm aktiv ist, eine Firewall eingeschaltet ist, Trusted Platform Module (TPM) und BitLocker aktiviert sind, Secure Boot verwendet wird und nur bestimmte Betriebssystemversionen toleriert werden. Zudem können Richtlinien festgelegt werden, wie mit nicht konformen Geräten umzugehen ist.

Da nicht alle Richtlinien bei allen Gerätetypen gleich sinnvoll sind, können Gruppen erstellt und spezifische Richtlinien, zum Beispiel für Macs, festgelegt werden.

Wichtige Funktionen

  1. Einheitliches Endpoint-Management:
    • Zentralisierte Verwaltung aller Endgeräte, unabhängig von Betriebssystem und Standort.
    • Vereinfachung der IT-Administration durch eine einheitliche Konsole.
  1. Erweiterte Sicherheitsfunktionen:
    • Integrierte Sicherheitsrichtlinien und Bedrohungserkennung.
    • Zero Trust-Architektur zur Minimierung von Sicherheitsrisiken.
  1. Automatisierung und Compliance:
    • Automatisierte Bereitstellung und Konfiguration von Geräten.
    • Echtzeit-Compliance-Berichte und -Überwachung zur Einhaltung gesetzlicher Vorschriften und Unternehmensrichtlinien.
  1. Anwenderfreundlichkeit:
    • Intuitive Benutzeroberfläche und Self-Service-Portale für Endanwender.
    • Verbesserte Benutzererfahrung durch Integration in bestehendes Microsoft 365-Dienste.

Fazit

Der Microsoft Endpoint Manager stellt sicher, das voreingestellte Sicherheitsstandards noch vor dem Erhalt von Daten gesetzt sind, unabhängig vom Betriebssystem oder von wo das Gerät stammen mag. So können direkt Risiken vor dem Verbindungsaufbau ausgeschlossen werden, außerdem bequem Unternehmensdaten von Mobilgeräten entfernt werden.

Ein Muss für jedes Netzwerk mit Bring-your-own-device-Komponenten.

Sie haben Fragen zum Thema MEM? Einfach schreiben an service@inwerken.de. Unser IT-Infrastruktur-Team meldet sich bei Ihnen! Leistungen darüber hinaus finden Sie in unserem Portfolio.