Android Verwaltung mittels Intune – Das Enrollment
Einführung
Intune bildet zusammen mit System Center Configuration Manager (SCCM) den Microsoft Endpoint Manager und ist Teil von Microsoft 365. Im Gegensatz zu SCCM liegt bei Intune das Hauptaugenmerk auf der Verwaltung von Mobilgeräten, aber auch Windows 10 Geräte lassen sich über Intune steuern. In dieser Blogeintragsserie gebe ich einen Einblick in die Verwaltungsmöglichkeiten, die Intune für Android-Geräte liefert.
Das Enrollment
Unter Enrollment versteht man die Registrierung der Geräte bei Intune, sodass diese regelmäßig eine Synchronisierung mit Intune durchführen. Erst nachdem ein Gerät bei Intune enrolled wurde, kann es über Intune verwaltet werden. Für das Enrollment der Geräte stellt Intune vier sogenannte Enrollment-Profile bereit. Diese Enrollment Profile stellen verschiedene Einsatzmöglichkeiten der Geräte dar und unterscheiden sich jeweils in den Berechtigungen, die Intune für das Gerät erhält, sowie im eigentlichen Enrollment-Vorgang.
1. Privatgerät mit Arbeitsprofil
Dieses Enrollment-Profil ist für Privatgeräte gedacht, welche die Benutzer in ihre Organisation mitbringen und für die Arbeit verwenden möchten. Es ist standardmäßig aktiviert und benötigt mindestens die Android Version 5.0.
Das eigentliche Enrollment erfolgt hierbei durch den Benutzer mithilfe der App Intune Unternehmensportal, die im Google Play Store heruntergeladen werden kann. Nachdem die App installiert wurde und der Benutzer sich mit seinem Microsoft 365 Konto aus seiner Organisation angemeldet hat, wird der Enrollment-Prozess gestartet.
Dabei wird ein neues Arbeitsprofil auf dem Gerät erstellt. Auf Apps, Kontakte, Ressource usw. des Unternehmens kann nur über das Arbeitsprofil zugegriffen werden. Im Gegenzug kann ein Intune-Administrator lediglich Einstellungen, welche das Arbeitsprofil betreffen, auf dem Gerät verwalten, sodass der Benutzer die Kontrolle über sein Gerät behält. Apps, wie bspw. WhatsApp, können weiterhin wie gewohnt außerhalb des Arbeitsprofils genutzt werden, ohne dass dadurch Daten aus dem Unternehmen berührt werden.
2. Unternehmensgerät mit Arbeitsprofil
Im Gegensatz zum vorherigen Enrollment-Profil geht es hier um Geräte, die zwar dem Unternehmen gehören, aber dem Nutzer auch für die private Nutzung zur Verfügung gestellt wurden. Das Enrollment erfolgt auch hier durch den Benutzer, muss aber während der ersten Inbetriebnahme des Geräts, also während der sog. Out of the Box Experience, durchgeführt werden. Dazu wird entweder ein Token oder ein QR-Code benötigt, die von einem Administrator im Intune Admin Center unter Devices > Android > Android Enrollment erzeugt werden müssen.
Intune Administratoren haben bei einem solchen Gerät mehr Konfigurationsmöglichkeiten, können allerdings keine Daten einsehen, die nicht unter dem Arbeitsprofil gespeichert wurden. Damit bleibt die Privatsphäre des Nutzers gewährleistet.
3. Vollständig verwaltetes Dienstgerät
Vollständig verwaltete Dienstgeräte dienen lediglich zum Arbeiten und sind nicht zwingend an einen Nutzer gebunden. Das Enrollment wird auch hier über ein Token während der Out of the Box Experience durchgeführt, sollte aber von einem Administrator vorgenommen werden, da das Gerät in diesem Fall komplett durch Intune verwaltet wird und einige Apps bzw. Richtlinien verteilt werden sollten, bevor das Gerät an einen Nutzer übergeben wird.
4. Dediziertes Dienstgerät
Dieses Enrollment-Profil ist für Geräte gedacht, die nur einen bestimmten Zweck erfüllen sollen, z.B. ein fest montiertes Tablet als elektronisches schwarzes Brett. Intune besitzt auf diesen Geräten die höchste Berechtigung und kann das Android System vollständig konfigurieren. So ist es hierbei beispielsweise möglich den Zugriff auf die Statusleiste oder den Home Screen zu verbieten, sodass lediglich eine einzige App angezeigt werden kann.
Enrollment-Beschränkungen
Generell können alle Benutzer bis zu 15 Geräte in Intune enrollen, unter Umständen ist es aber nicht unbedingt erwünscht, dass die Benutzer beliebige Geräte zu Ihrer Organisation hinzufügen können. Aus diesem Grund gibt Intune die Möglichkeit Regeln für das Enrollment als Richtlinien zu definieren. Über die „Gerätetyp“-Einschränkungen können bspw. nur bestimmte Betriebssysteme oder Hersteller erlaubt werden. Außerdem kann das 15 Gerätelimit weiter eingegrenzt werden.
Diese Richtlinien können beliebigen Azure AD Gruppen zugewiesen werden. Im Konfliktfall gilt hierbei die Richtlinie mit der höchsten Priorität. Eine Ausnahme bilden dabei Benutzer, die als Device Enrollment Manager gekennzeichnet wurden. Device Enrollment Manager ignorieren sämtlichen Einschränkungen und können bis zu 1.000 Geräte enrollen. Diese Rolle ist für größere Deployments mit Geräten, die durch das Unternehmen verwaltet werden, gedacht.
MEHR BLOG-KATEGORIEN
- ASP.NET
- Active Directory
- Administration Tools
- Allgemein
- Backup
- ChatBots
- Configuration Manager
- DNS
- Data Protection Manager
- Deployment
- Endpoint Protection
- Exchange Server
- Gruppenrichtlinien
- Hyper-V
- Intune
- Konferenz
- Künstliche Intelligenz
- Linux
- Microsoft Office
- Microsoft Teams
- Office 365
- Office Web App Server
- Powershell
- Remote Desktop Server
- Remote Server
- SQL Server
- Sharepoint Server
- Sicherheit
- System Center
- Training
- Verschlüsselung
- Virtual Machine Manager
- Visual Studio
- WSUS
- Windows 10
- Windows 8
- Windows Azure
- Windows Client
- Windows Server
- Windows Server 2012
- Windows Server 2012R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Zertifikate