Windows Intune-Experteninterview mit MVP Ralf Wigand
Ralf Wigand ist ein Microsoft MVP (Most Valuable Professional) und arbeitet als Business Development Manager für die TechniData IT-Service GmbH in Karlsruhe. Sein Fokus liegt auf Directory Services und Authentifizierungs-Mechanismen im Cloud Computing. Das folgende Interview mit Ralf Wigand über seine Einschätzung und Fachkenntnis zu Windows Intune führte Rebecca Schickel für Microsoft im Oktober.
Rebecca Schickel: Hallo Herr Wigand, Sie sind ein Experte für Windows Intune. Was genau ist Windows Intune und welche Vorteile bietet es KMUs?
Ralf Wigand: Intune hat zuerst mal nichts mit einem ähnlich klingenden Service aus dem Musikbereich zu tun. Intune ist eine cloudbasierte Lösung für IT-Administratoren, um die immer komplexeren Anforderungen an das Management und die Sicherheit von verteilten PCs besser erledigen zu können. So beschreibt es Microsoft zumindest selbst. Intune erlaubt eine Inventarisierung von Soft- und Hardware, eine Update-Verwaltung, ein Antivirenmanagement und ein proaktives Systemmanagement sowie die Möglichkeit, aus der Ferne Unterstützung am PC zu leisten.
Für mich ist es vor allem eine hervorragende Möglichkeit für KMUs, die oft nur lose administrierten Clients mit einfachen Mitteln wieder einzufangen und in die Spur zu bringen. Denken Sie nur an all die Mitarbeiter, die oft unterwegs sind und sich meistens außerhalb des Firmennetzes aufhalten. Bis man die mit einer Management-Lösung mal wieder erreicht, vergehen im günstigsten Fall Tage, aber oft auch Wochen – für Sicherheitsupdates viel zu spät. Außerdem lohnt es sich oft nicht, eine komplexe Managementlösung aufzubauen, mit redundanten Servern, Sicherungen etc. Auch Direct Access ist eine prima Lösung, aber für viele kleinere Unternehmen zu aufwändig.
Für alle diese Fälle ist Intune hervorragend geeignet, in dem es die zentrale Management-Plattform in die Cloud verlegt.
Schickel: Wie funktioniert das dann?
Wigand: Die Clients reden mit dem Service in der Cloud, der Administrator ebenfalls, und schon ist keine direkte Kommunikation zwischen den Clients und dem Firmennetz mehr nötig. Sobald eine Internet-Verbindung besteht, werden entsprechend den von der IT-Abteilung vorgegebenen Richtlinien Überprüfungen und Aktualisierungen an diesen Clients vorgenommen, ohne einen einzigen von der IT zu pflegenden Server. Der Administrator greift einfach mit seinem Browser per Web-Konsole auf die von den Intune-Clients gemeldeten Daten zu und sieht Benachrichtigungen zu Sicherheitswarnungen, Updates oder auch über drohende Probleme wie eine fast volle Festplatte. Diese Benachrichtigungen stehen unabhängig vom aktuellen Standort oder Zustand des Clients zur Verfügung, das heißt die IT erhält Informationen über den Client, basierend auf der letzten Meldung. Und auch bei Konfigurationsänderung oder Updateverteilung spielt es keine Rolle, ob der Client grade online ist– falls nicht, wird die anstehende Aktion in eine Warteschlange gestellt und beim nächsten Kontakt mit dem Client ausgeführt.
Schickel: Gibt es Ober- und Untergrenzen für die PC-Anzahl, die damit verwaltet werden können/sollten?
Wigand: Mit Intune lassen sich auch mehrere Tausend Clients verwalten, pro Abo liegt die Obergrenze bei 20.000. Ab einer gewissen Grenze sollte man aber dennoch über eine Managementlösung wie zum Beispiel die System Center-Produkte nachdenken, um einfach weitere Möglichkeiten nutzen zu können, die diese Produkte dann bieten.
Schickel: Wie bzw. durch wen lasse ich Windows Intune einrichten und verwalten? Läuft die Verwaltung meiner PCs dann über Microsoft oder Partner– und wer garantiert dann die Sicherheit meiner Daten?
Wigand: Man kann Intune über einen Partner beziehen bzw. direkt über die Microsoft Online Services Website. Hierzu ist lediglich ein Windows Live Account nötig, mit dem im weiteren Verlauf auch der Zugriff auf das Management-Portal authentifiziert wird. Die Installation auf dem Client selbst ist sehr einfach, und sobald sich der Client dann "in der Cloud" im zugewiesenen Bereich registriert hat, kann er durch eigene Administratoren verwaltet werden. Es besteht aber auch die Möglichkeit, bei Bedarf weitere Administratoren, zum Beispiel von seinem Partner, hinzuzunehmen. Der Administrator des Partners kann dann entsprechend der zugewiesenen Rechte eingreifen und die Clients administrieren. Microsoft selbst stellt nur den Dienst und die Infrastruktur zur Verfügung, verantwortlich für die Dienstverwaltung ist stets das eigene IT-Personal oder der Partner.
Schickel: Wie sehr kann ich mich auf die Cloud verlassen? Was passiert, wenn es Ausfälle gibt?
Wigand: Ausfälle der Cloud Services sind wesentlich unwahrscheinlicher als der Ausfall der eigenen Infrastruktur. Hier kommen weltweit verteilte, redundante Server und eine Hochverfügbarkeitsarchitektur (99,9%) zum Einsatz, verwaltet von Spezialisten. Und kommuniziert wird über sichere Protokolle (HTTPS etc). Und kann der Client einmal tatsächlich den Intune-Dienst nicht erreichen, dann läuft er dennoch weiter, und anstehende Änderungen werden beim nächsten Mal nachgeholt. Das ist mit Sicherheit immer noch schneller, als zu warten, bis der Client sich mal wieder im internen Firmennetz befindet.
Schickel: Inwieweit müssen sich meine Mitarbeiter mit Intune im Arbeitsalltag umstellen? Fühlen sich meine Mitarbeiter nicht à la Big Brother von mir überwacht?
Wigand: Die größte Umstellung beim Einsatz von Intune ist die ungewohnte Aktualität des Clients. Microsoft Updates werden zeitnah installiert, sobald der Administrator diese freigibt, und nicht erst beim nächsten Besuch in der Firma. Die Antiviren-Software ist stets aktuell, und auch Sicherheitsrichtlinien, also Firewall-Regeln etc., lassen sich rasch an alle Clients verteilen. Und mit der neuen Intune-Version lassen sich auch andere Software-Pakete über den gleichen Mechanismus verteilen.
An zentraler Stelle werden die Hardware- und Software-Bestände automatisch gesammelt und lassen sich hinsichtlich Lizenzen, Richtlinien (Compliance) etc. auswerten. Gleiches gilt für Benachrichtigungen zu Updates, Bedrohungen etc., also quasi alles, was sonst lokal im Wartungscenter auftaucht. Eine oft gehörte Befürchtung bei Intune ist, dass Microsoft mit der Bestandsermittlung der Software automatisch eine mögliche (und natürlich stets unbeabsichtigte) Unterlizensierung erkennen und entsprechend reagieren kann. Im Rahmen seiner Datenschutzbestimmungen für Online Services widerspricht Microsoft dem aber und stellt ganz klar, dass Microsoft die über Intune gesammelten Daten nicht dazu verwenden wird, diese gegen andere Verträge abzugleichen. Den eigenen IT-Administratoren bietet Intune natürlich die Möglichkeit, den Software-Bestand auf dem Client mit vorhandenen Compliance-Regeln abzugleichen, aber da diese Regeln ja meistens einen Grund haben, würde ich das eher als Vorteil sehen.
Schickel: Und bei der vorhin erwähnten Remote-Unterstützung? Behalte ich als PC-Nutzer auch die Kontrolle?
Wigand: Den Benutzern bietet sich über den Intune-Client jederzeit die Möglichkeit, eine Remote-Unterstützung anzufordern und dem Administrator zu gestatten, sich mit auf den Desktop zu schalten und Hilfe leisten zu können. Wichtig hierbei ist zu erwähnen, dass die Aktion vom Benutzer ausgehen muss, nicht vom Administrator. Möchte der Benutzer keine Remote-Unterstützung, dann kommt der Administrator auch nicht drauf.
Schickel: Kann ich meine aktuelle Antiviren-Software durch Intune ersetzen? Worin liegt der Unterschied zwischen Intune, dem Microsoft-Updatedienst und Windows Software Update Services?
Wigand: Ja, man kann auf seine bisherige Antivirensoftware getrost verzichten. Intune und Forefront Endpoint Protection verwenden übrigens die gleichen Module zur Erkennung und zum Schutz vor Schadsoftware, man setzt also quasi ein etabliertes und erprobtes Produkt ein. Man kann natürlich auch die alte Antivirensoftware weiterhin betreiben, wenn man das möchte, die Malware-Komponente von Intune deaktiviert sich dann selbst, um der alten Lösung nicht in die Quere zu kommen (und meldet dies selbstverständlich im Windows 7 Sicherheitscenter). Für Aktualisierungen der alten Antiviren-Software muss man dann natürlich die Lösung des entsprechenden Antiviren-Herstellers verwenden, die hoffentlich auch ein zentrales Management und ausführliche Berichte bietet, wie sie bei der Verwendung von Intune zur Verfügung stehen. Im Unterschied zum Windows Update-Dienst kann die IT-Administration an zentraler Stelle eingreifen und Updates freigeben oder zurückhalten, eine Möglichkeit, die sonst nur der Windows Software-Update-Service bieten würde, für den aber wieder der Betrieb eines Servers notwendig wäre. Sie sehen, auch hier schafft Intune Möglichkeiten, Services zu nutzen, ohne eigene Server verwalten zu müssen.
Schickel: Kann ich Intune nur in Verbindung mit Windows 7 verwenden? Müssen alle PCs auf dem gleichen Betriebssystem laufen?
Wigand: Obwohl generell sehr viele Gründe für den Einsatz von Windows 7 sprechen, für Intune muss man nicht alle Clients aktualisieren. Die Software läuft auch auf den älteren Clientbetriebssystemen von Microsoft, angefangen von Windows XP (da sollte es aber schon SP3 sein), über Vista (Enterprise, Business und natürlich Ultimate) bis hin zu Windows 7 Enterprise, Professional und Ultimate. Nebenbei gesagt – obwohl das gar nicht so nebenbei ist– bekommt man mit Intune zusätzlich eine Lizenz für ein Upgrade des verwalteten Clients auf die jeweils aktuellste Windows-Version, also momentan Windows 7 Enterprise, und kann so alle mit Intune verwalteten PCs auf ein einheitliches System aktualisieren, ohne weitere Lizenzkosten. Ist keine Pflicht, würde ich aber sehr empfehlen.
Schickel: Muss ich Windows Intune kaufen oder kann ich es abonnieren? Und wie läuft die Abrechnung im Abo, welche Bedingungen sind daran geknüpft?
Wigand: Intune gibt es im Jahresabo, ist flexibel anpassbar und wird monatlich abgerechnet. Zusätzlich kann man sich auch noch für einen geringen Aufpreis für den Bezug von MDOP, dem Desktop Optimization Pack entscheiden, der sonst nur über andere Lizenzprogramme erhältlich ist und weitere Features bietet wie zum Beispiel App-V (Anwendungs-Virtualisierung), erweiterte Gruppenrichtlinien-Verwaltung, das Diagnostic and Recovery Set usw. Die Abrechnungsmodalitäten sind sehr einfach und übersichtlich gehalten und bieten eine prima Basis, sein IT-Budget entsprechend planen zu können.
Schickel: Kann ich Intune auch erst einmal testen?
Wigand: Aber klar doch. 30 Tage Test für bis zu 25 Clients. Kostenlos. Einschließlich aller Features, also auch der Remoteunterstützung. Da sollten sich so ziemlich alle Szenarien einmal durchspielen lassen. Viel Spaß damit!
Herr Wigand, herzlichen Dank für das Gespräch!