Configuration Manager Hybrid

In diesem Kurs wird die Microsoft Mobile Device Management (MDM) Lösung Intune in Zusammenarbeit mit dem Configuration Manager in einer Enterprise Umgebung behandelt.

Über Intune können Geräte mit Windows, iOS, MacOS oder auch Android zentral verwaltet werden, ganz gleich wo sie sich auf der Welt befinden. Die Geräte können remote zurückgesetzt (Wipe) oder gesperrt (Lock) werden. Die Ausstattung mit Sicherheitseinstellungen (Endpoint Security) kann ohne Probleme auf Intune Geräte verteilt werden. Mit den Compliance Policies kann zusätzlich der Zugriff (Conditional Access) auf Unternehmensressourcen gesteuert werden.

Damit Intune genutzt werden kann, muss das Unternehmen einen Tenant besitzen und Lizenzen für die Benutzer erwerben. Für Enterprise Kunden, die Intune und Microsoft 365 Apps sowie diverse Security Features nutzen wollen, bietet sich die Lizenz Microsoft 365 E3 oder noch besser Microsoft 365 E5 an.

Die meisten Firmen besitzen bereits eine Configuration Manager Umgebung, um Windows 11 und Server zu verwalten. Mit dem Configuration Manager können hoch komplexe Anwendungen an Windows Clients verteilt werden. Auch das Update Management kann flexibel und gezielt mit dem Configuration Manager betrieben werden. Seit das Cloud Management Gateway (CMG) mit der Version 1806 eingeführt wurde, können nun auch Clients, die keinen direkten Kontakt mit dem Intranet besitzen, mit Anwendungen und Updates versorgt werden, ohne einen VPN Tunnel aufzubauen.

Da beide Produkte, Intune und der Configuration Manager, ihre Vorzüge besitzen, bietet es sich an beide Welten miteinander zu verschmelzen. Dies kann mit dem Co-Management erreicht werden. Mit dem Co-Management vom Configuration Manager können diverse Arbeitsbereiche (Workloads) in Richtung Intune ausgelagert werden. Beispielsweise kann Intune die Bereitstellung von Sicherheitsrichtlinien übernehmen, während die Verteilung von Anwendung weiterhin der Configuration Manager übernimmt. Hierbei ist es egal, wo sich der Windows Client auf der Welt befindet.

Kursumgebung Hybrid + Configuration Manager + Intune:Im Kurs nutzen wir eine hybride Umgebung als Backbone, wobei das On-Premises AD mit Entra ID über Entra Connect bereits verbunden ist. Benutzerobjekte und Geräteobjekte werden via Entra Connect von On-Premises AD zu Entra ID synchronisiert.Der Configuration Manager ist in diesem Kurs bereits installiert und verwaltet Windows Clients. Diese Windows Clients sollen im Laufe des Kurses zusätzlich von Intune verwaltet werden. Um dies zu erreichen, wird eine Identität in Entra benötigt. Wenn ein bestehender Client aus einer On-Premises Domain zusätzlich eine Entra Identität erhält, spricht man von Hybrid Entra ID Join.Neue Windows Clients werden im Kurs direkt in Entra ID aufgenommen. Hierbei spricht man von Entra ID Join. Dennoch sollen auch diese Clients zusätzlich vom Configuration Manager verwaltet werden.

Umstellung auf HTTPS:Damit die Verbindung zwischen Management Point und den Clients nicht ungeschützt über HTTP läuft, sollte diese auf HTTPS umgestellt werden. Auch die anderen Site System Server, wie der Distribution- und Software Update Point, sollten auf HTTPS umgestellt werden. Die Umstellung auf HTTPS ist besonders wichtig, wenn die Cloud Features oder das BitLocker Management eingesetzt werden. Im Kurs wird das Cloud Management Gateway eingerichtet, welches die Kommunikation über HTTPS voraussetzt. Es kann zwar das Feature Enhanced HTTP (ab 1810) verwendet werden, aber hierbei werden einfach nur selbstsignierte Zertifikate erstellt. Deswegen wird in diesem Kurs die Umstellung auf HTTPS mit Zertifikaten einer Enterprise PKI praktiziert.

Configuration Manager Entra Services:Mittlerweile ist es möglich, Benutzer und Gruppen aus Entra im Configuration Manager zu ermitteln (Discovery). Dadurch können Anwendungen aus dem Configuration Manager auch direkt an reine Entra Benutzer adressiert werden.In Intune können Konfigurationen oder Anwendungen ausschließlich an Entra Gruppen adressiert werden. Entra Gruppen können zwar dynamisch befüllt werden, aber nicht mit der Flexibilität von Collections im Configuration Manager. Deswegen ist es jetzt möglich, den Inhalt einer bestehenden Collection im Configuration Manager in eine Entra Gruppe zu synchronisieren.Auch die Verwaltung von reinen Configuration Manager Clients über das Intune Portal ist mittlerweile möglich, dabei spielt es keine Rolle, ob es sich um Client oder Server Betriebssysteme handelt.

Configuration Manager Cloud Management Gateway (CMG):In diesem Kurs wird das Cloud Management Gateway (CMG) behandelt. Das CMG ermöglicht es, in Azure einen Management Point, Software Update Point und einen Distribution Point (ab Configuration Manager 1806) zu hosten. Diese Site System Komponenten können Configuration Manager Clients, die mit dem Internet verbunden sind, verwalten und mit Content (Software Updates, Applikation und Betriebssystemen) versorgen. In Azure wird hierfür ein Service gemietet, der im Hintergrund auf max.16 VMs verteilt wird. On-Premises muss die Site System Role CMG Connection Point für die Kommunikation mit Azure eingerichtet werden. Die Konfiguration erfolgt ausschließlich im Configuration Manager (On-Premises) und wird über den CMG Connection Point an Azure weitergeleitet, um die Internet Clients, die einen Configuration Manager Agent besitzen, zu verwalten. Seit der Version 2010 kann das CMG als Virtual Machine Scale Set (VMSS) bereitgestellt werden.

Intune Zertifikats Connector:Wenn im Configuration Manager der Management Point auf HTTPS umgestellt wurde, benötigen alle Clients ein Zertifikat mit dem Zweck Client Authentication. Deswegen werden alle Clients mithilfe von Gruppenrichtlinien mit einem Zertifikat versorgt (Auto Enroll). Windows Clients, die aber nur in Entra (Entra ID Join) aufgenommen wurden, können keine Zertifikate über Gruppenrichtlinien erhalten.Durch den Intune Zertifikats Connector kann ein Entra Client, durch ein Device Configuration Profil von Intune, ein Zertifikat mit dem Zweck Client Authentication von unserer On-Premises Enterprise PKI erhalten. Genau dieses Vorgehen wird im Kurs praktiziert.

Windows Autopilot:Die moderne Methode Windows Clients automatisch auszurollen heißt Windows Autopilot. In diesem Kurs wird ein Windows Client mit Autopilot ausgerollt und dabei mit dem Configuration Manager Agent und einem Zertifikat ausgestattet. Der Client wird automatisch in Entra aufgenommen und ist über Intune und den Configuration Manager verwaltbar. Über das Co-Management wird anschließend entschieden, wer welche Aufgaben übernimmt.

Application- & Software Update Deployment:Im Kurs wird auch die Verteilung von Anwendungen und Software Updates über den Cloud Management Gateway behandelt. Dabei kann der Client entweder Entra ID Joined oder Hybrid Entra ID Joined sein.

Co-Management:Durch das Co-Management können sich der Configuration Manager (On-Premises) und Intune (Cloud) die Aufgaben teilen. Die verschiedenen Arbeitsbereiche (Workloads), wie z. B. Compliance oder Device Configuration, können entweder vom Configuration Manager oder von Intune übernommen werden. Die einzelnen Bereiche können jederzeit zwischen dem Configuration Manager und Intune verschoben werden.Configuration Manager Umstellung auf https

• Certificate Tempates

• Certificate Autoenrollment

• Certificate Management Point, Distribution Point & Software Update Point

• Certificate PXE Client & Config Manager Client

Entra ID Device Identities

• Hybrid Entra ID Join

• Entra ID Join

Configuration Manager Azure Cloud Management

• Create Entra Server Application

• Create Entra Nativ Client Application

• Entra User/Group Discovery

• Configuration Manager Collections Cloud Sync

• Tenant Attach

• Endpoint Analytics

CoManagement

• Intune enrollment

• Configure Intune Workloads

• Workload Client Apps

• Workload Compliance Policy

• Workload Software Updates

Cloud Management Gateway (CMG)

• Certificate for CMG

• Create CMG with VMSS

• Cloud Distribution Point

• Client Settings

• VPN Boundarys

• Application & Update Deployment

Configuration Manager Internet Clients

• Configuration Manager Client Location (Intranet/Internet)

• Install Configuration Manager Client with Intune

• Bulk enrollment Token

Intune Certificate Connector

• Installation Intune Connector

• PKCS vs. SCEP

• Create Intune Configuration PKCS Profile

• Enrollment Certificate for Azure AD Join Devices

AutoPilot Enrollment with Configuration Manager Client

• Intune MDM Authority

• Configuration Manager Client Package with Intune

• Enrollment Status Page (ESP)

• AutoPilot Deployment Profile (User Driven)