Mobile-Menu

So verwalten Sie Client-Computer im Netzwerk, im Homeoffice und der Cloud Aufbau einer Microsoft Endpoint-Manager-Infrastruktur

Von Thomas Joos

Mit Microsoft Endpoint Manager und Microsoft Endpoint Configuration Manager können Unternehmen eine Infrastruktur aufbauen, die im lokalen Netzwerken und aus der Cloud heraus in der Lage ist Clients zu verwalten. Wir zeigen die Vorgehensweise.

Firma zum Thema

Microsoft Endpoint Manager und Microsoft Endpoint Configuration Manager entfalten besonders im Zusammenspiel ihre Stärke.
Microsoft Endpoint Manager und Microsoft Endpoint Configuration Manager entfalten besonders im Zusammenspiel ihre Stärke.
(Bild: © tippapatt - stock.adobe.com)

Eine Infrastruktur mit Microsoft Endpoint besteht im Grunde genommen aus zwei Teilen. In der Cloud ist der Dienst Microsoft Endpoint Manager notwendig. Dieser kann bei Microsoft als Clouddienst gebucht werden und ermöglicht die zentrale Verwaltung von angebundenen Client-Rechnern. Endpoint kann zentral Viren- und Firewallschutz steuern, aber auch Anwendungen verteilen und auch die Update-Installation steuern.

Dazu kommen zentrale Richtlinien. Das Dashboard zur zentralen Verwaltung von Endpoint ist über die Adresse endpoint.microsoft.com erreichbar. Die Anmeldung erfolgt mit einem Microsoft-365-Konto, also Azure AD. In Microsoft Endpoint Manager sind auch alle Funktionen eingeflossen, die bisher bei Microsoft Intune integriert waren.

Bildergalerie
Bildergalerie mit 13 Bildern

Microsoft Endpoint Manager ist Bestandteil von verschiedenen Microsoft-365-Abonnements, zum Beispiel von Microsoft 365 Business Premium. Neben den Funktionen aus Microsoft Intune hat Microsoft in Endpoint Manager auch Windows AutoPilot integriert. Windows Autopilot ermöglicht die schnelle und einfache Bereitstellung von Windows-Arbeitsstationen. Die Benutzer können Ihre Geräte schnell und einfach selbst einrichten. Dazu müssen die Anwender ihren Computer nur ans Netzwerk anschließen und sich am PC anmelden. Danach führt der PC automatisch die Einrichtung mit AutoPilot durch.

Endpoint Configuration Manager ergänzt Endpoint um einen lokalen Server

Eine Endpoint-Manager-Infrastruktur lässt sich mit der Installation es lokalen Servers im Netzwerk ergänzen und erweitern. Dazu stellt Microsoft mit dem Microsoft Endpoint Configuration Manager (ECM) den Nachfolger von System Center Configuration Manager (SCCM) eine Lösung zur Verfügung. Die Installation erfolgt als Server im lokalen Netzwerk, ähnlich wie bei SCCM.

Endpoint Manager kann aus der Cloud heraus Rechner mit Windows 10 und Windows 11, aber auch Smartphones und Tablets mit iOS, iPadOS und Android anbinden und zentral verwalten. Allerdings ist die Lösung nicht direkt mit dem lokalen Active Directory verbunden und auch nicht im internen Netzwerk integriert. Das wiederum ist die Aufgabe von Endpoint Configuration Manager (ECM). Der Serverdienst erweitert die Möglichkeiten von Endpoint Manager und bindet den Clouddienst enger an das lokale Netzwerk an.

ECM dient zudem auch als Speicherort für die Installation von Anwendungen. Die Installation von Anwendungen steuert Endpoint Manager über seine Richtlinien, die natürlich auch in Endpoint Configuration Manager zur Verfügung stehen. Dabei sind die Installationsdateien der Anwendungen auf den lokalen Servern gespeichert, auf die Endpoint Manager ebenfalls zugreifen kann.

Vorteile beim Einsatz von Endpoint Manager und Endpoint Configuration Manager

Der Vorteil beim Einsatz von Endpoint Manager in Verbindung mit Endpoint Configuration Manager besteht auch darin, dass es im Markt keine anderen Lösungen gibt, die so eng mit Microsoft-Netzwerken und -Technologien zusammenarbeiten können. Hinzu kommt die einzigartige Kombination von lokalem Server und Clouddienst. Das ermöglicht eine umfassende zentrale Verwaltung von Clients und eine Softwareverteilung für mobile Clients, Homeoffice-Rechner und PCs im Unternehmen. Die Verwaltung erfolgt über Endpoint Manager mit einem zentralen Dashboard.

Interessant ist an dieser Stelle zudem die Möglichkeit, auch andere Clouddienste von Microsoft nahtlos anbinden zu können. Dazu gehören zum Beispiel Microsoft 365, Azure AD und auch Windows 365. Der Cloud-PC von Microsoft lässt sich ebenfalls an Microsoft Endpoint Manager anbinden und mit dem lokalen Netzwerk verbinden.

Das heißt, Anwender, die mit Windows 365 Enterprise arbeiten, können auch auf Ressourcen und Anwendungen im lokalen Rechenzentrum zugreifen. Die Anwendungen können wiederum mit Endpoint Manager verteilt werden. Die Verbindung zwischen Windows 365 und dem lokalen Rechenzentrum übernimmt eine Azure-Netzwerkverbindung, die im Rahmen der Bereitstellung von Windows 365 ebenfalls bereitgestellt werden muss.

Endpoint Manager bereitstellen

Die Bereitstellung von Microsoft Endpoint Manager selbst ist nicht kompliziert. Wenn ein entsprechendes Abonnement von Microsoft Azure AD oder Microsoft 365 vorliegt, kann der Zugriff über die Seite endpoint.microsoft.com erfolgen. Nach der Anmeldung mit dem verknüpften Azure-AD-Konto steht das Dashboard von Endpoint Manager zur Verfügung. In der Oberfläche können anschließend Geräte angebunden und mit Richtlinien versorgt werden. Das geht auch ohne den Einsatz von Endpoint Configuration Manager.

Für die Anbindung von Windows 10 an Endpoint Manager wird zunächst ein passendes Abonnement von Microsoft 365 benötigt, idealerweise Microsoft 365 Business Premium. Danach findet die Verwaltung der Funktionen von Endpoint Manager im Endpoint Manager Admin Center statt. Windows 10- und Windows 11-Geräte werden über „Geräte\Windows“ verwaltet. Mit „Windows-Registrierung“ können die Geräte angebunden werden. Nach der Anbindung von Windows 10 oder Windows 11 an Endpoint Manager erfolgt die Konfiguration über Profile in der Oberfläche.

Endpoint Security konfigurieren – Virenschutz und Firewall

Neben der Softwareverteilung und der automatischen Installation von Anwendungen, ermöglicht Endpoint Manager auch die zentrale Konfiguration von Richtlinien. Hierüber kann auch der Virenschutz auf Basis von Microsoft Defender zentral gesteuert und überwacht werden. Über den Bereich „Endpunktsicherheit“ können mit „Antivirus“ Richtlinien erstellt und an die Umgebung angepasst werden. Die Richtlinien gelten generell für alle an Endpoint Manager angebundenen Computer, unabhängig davon, ob sie sich im Homeoffice befinden, mobil im Einsatz sind, im lokalen Netzwerk betrieben werden, oder als Windows 365 in der Cloud.

Bei „Endpunktsicherheit\Sicherheitsbaselines“ stehen wiederum verschiedene Richtlinien zur Verfügung, mit denen Windows 10/11 und Microsoft Edge über Richtlinien automatisiert abgesichert werden können. Die Profile funktionieren ähnlich wie Gruppenrichtlinien in Active Directory, arbeiten aber nicht mit Active Directory zusammen, sondern sind unabhängig davon.

Endpoint Configuration Manager installieren und einrichten

Der Betrieb von Endpoint Configuration Manager (ECM) erfolgt getrennt von der Lizenzierung und der Einrichtung von Endpoint Manager. Für den Betrieb von ECM ist im lokalen Netzwerk die Installation von Servern notwendig.

ECM wird auf einem Server mit Windows Server 2019/2022 installiert. Dieser sollte Mitglied einer Active-Directory-Domäne sein. Für die Installation von ECM in einem Active Directory muss das Schema erweitert werden. Das Tool dazu befindet sich im Verzeichnis „SMSSETUP\BIN\X64“ der Installations-DVD von ECM. Die Erweiterung des Schemas erfolgt mit „extadsch.exe“. Die Installation der notwendigen Rollen kann als kommagetrennte Liste erfolgen oder mit einzelnen Befehlen:

Install-WindowsFeature Web-Windows-Auth
Install-WindowsFeature Web-ISAPI-Ext
Install-WindowsFeature Web-Metabase
Install-WindowsFeature Web-WMI
Install-WindowsFeature BITS
Install-WindowsFeature RDC
Install-WindowsFeature NET-Framework-Features
Install-WindowsFeature Web-Asp-Net
Install-WindowsFeature Web-Asp-Net45
Install-WindowsFeature NET-HTTP-Activation
Install-WindowsFeature NET-Non-HTTP-Activ

Für die Installation von ECM wird noch das Windows 10/11 ADK benötigt. Wichtig sind an dieser Stelle die Komponenten „Deployment Tools“ und „User State Migration Tool (USMT)/Windows Easy-Transfer“.

Vor der Installation sollten zunächst die Voraussetzungen überprüft werden. Dazu steht im Verzeichnis „SMSSETUP\BIN\X64\“ Das Tool „Prereqchk.exe“ zur Verfügung. Danach kann die Installation von ECM erfolgen.

(ID:47907019)