katja56
Goto Top

Intune: Benötige Basic Infos

Hi zusammen,

bin gerade dabei mich in das Thema Endpoint Management einzufuchsen. Wir nutzen Entra und haben M365 Business Premium Lizenzen. Unser AD wird via AD Sync in die MS Cloud gesynced.

Nun habe ich dazu auf YT ein Video von MS angefangen zu dem Thema MS Endpoint Manager. Dort wurde am Anfang gleich erwähnt, dass Endpoint Manager den Configuration Manager und Intune zusammenführt. Gehe ich auf endpoint.microsoft.com werden ich auf intune.microsoft.com umgeleitet. Naja, gut. Verwirrt mich nur ein wenig.

Dort wird mir z.B. dies gezeigt:

01

Also scheint es bisher so zu sein, dass keins unserer Geräte dort registriert ist.

Auf Entra sind unsere Geräte angezeigt

02

Um es ehrlich zu sagen, ich bin gerade mit den Infos und verschiedenen Begriffen/Oberflächen etwas "überfordert"

Ziel soll es irgendwann sein, dass wir mittel Endpoint Manager unsere Geräte überwachen, dort insbesondere den Windows Defender Status etc. Lt. MS Angaben ist der Endpoint Manager in den M365 Business Premium mit enthalten.

Kann mir vielleicht jemand ne gute Resource nennen, die mich der Thematik gut näher bringt? Finde die MS Artikel/Videos eher verwirrend und mir ist das zu viel Buzzword Gedöns. Bräuchte eher nen Hands-On Approach.

Content-ID: 22611171389

Url: https://administrator.de/forum/intune-benoetige-basic-infos-22611171389.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

pebcak7123
pebcak7123 16.07.2024 um 10:28:21 Uhr
Goto Top
katja56
katja56 16.07.2024 um 10:40:46 Uhr
Goto Top
Was mich daran irritiert ist, dass Intune von MDM und MAM spricht und ich MDM eher mit Smartphones in Verbindung bringe. Für unsere Smartphones haben wir bereits eine andere Lösung. Mir geht es um Windows 10/11/Server Verwaltung. Ist Intune da auch richtig?
katja56
katja56 16.07.2024 um 10:48:15 Uhr
Goto Top
Zur Info. Ich beziehe mich hier auf diesen Artikel
pebcak7123
pebcak7123 16.07.2024 um 10:50:50 Uhr
Goto Top
Bei Servern kann intune nur den Defender verwalten, da ist allerdings ne extra lizenz nötig ( Defender for Business Server, ca 3€ /monat /server)
Für Windows-Clients ist es gut, je nachdem was ihr als MDM für die Smartphones einsetzt würd ich schauen ob es sich auch in intune integrieren lässt damit Entra Conditional Access funktioniert.
markaurel
markaurel 16.07.2024 um 20:18:03 Uhr
Goto Top
N'abend!
Ohne mir jetzt obige Links angesehen zu haben, möchte ich auch gerne einen Hinweis geben, welcher mir beim Einstieg ins MDM/MAM/Intune/Endpoint Manager recht hilfreich war.

Es ist wesentlich zu unterscheiden, ob ein Gerät "gejoint" (verbunden) oder nur "registered" (registriert) mit Entra (ehem. AAD) wird.

Vielleicht hilft das ja etwas weiter - wie geschrieben ich hab mir obige Links nicht angesehen.

MfG

M.A.
katja56
katja56 17.07.2024 aktualisiert um 13:22:23 Uhr
Goto Top
Danke und ja, die Begrifflichkeiten sind teilweise für mich etwas umständlich. Aber so langsam bekomme ich da Licht ins Dunkel.

Mache mich gerade daran, mal ein Clients aus einer Test-OU ins Intune zu bekommen. Bisher leider ohne Erfolg. Versuche den Ansatz der GPO Registrierung. Ist im Prinzip ja nur eine Einstellung in der GPO. Der Task zur Registrierung wurde auch angelegt, allerdings macht der nichts bzw. wirft eine Fehler aus, den ich noch nicht deuten kann.
03
Habe auch was gefunden zum Thema Intune-Connector für Active Directory. Muss wohl auf einem Mitgliedsserver installiert werden. Was der genau macht bzw. ob er absolut nötig ist -> Keine Ahnung. Muss mich da noch weiter einlesen.

In Entra ID sind unsere Win10/11 devices als als "nicht verwaltet" deklariert. Ist das so zu erwarten, oder werden die erst als"verwaltet" markiert, wenn sie in Intune registriert sind?

So sieht mein Testnotebook aus, welches ich ins Intune bekommen möchte.

04
markaurel
markaurel 17.07.2024 um 20:54:56 Uhr
Goto Top
Guten!

Ich arbeite zwar nicht mit hybriden Umgebungen - also entweder lokal (AD) verwaltet oder eben in der Cloud.

Ein Gerät kann (meines Wissens nach) in Intune nur "voll" verwaltet werden, wenn es gejoint/verbunden wird!
(Beachte Unterschied verbinden/registrieren!)

MfG

M.A.
katja56
katja56 18.07.2024 aktualisiert um 11:09:41 Uhr
Goto Top
Was genau bedeutet denn verbinden/registrieren? Welcher Vorgang ist für den jeweiligen Zustand nötig bzw. woran erkenne ich, welchen Status das Gerät besitzt? Unsere Geräte wurden alle über das AADConnect ins EntraID gesynced. Sind diese somit verbunden, oder registriert oder gar nichts? Sorry, ich blick das nicht.

p.s. Also habe herausgefunden, dass man mit "dsregcmd" sehen kann, ob das Device AzureADJoined" ist.
markaurel
markaurel 18.07.2024 aktualisiert um 13:42:28 Uhr
Goto Top
Hallo katja56!

Schau dir mal diesen Artikel in Ruhe an:
learn.microsoft.com/de-de/entra/identity/devices/overview

Folge dann den beiden Links bzgl. Microsoft Entra Registrierung bzw. Microsft Entra Join.

Ich könnte mir vorstellen, dass dort die Fehlerquelle zu finden ist. Im Netz finden sich noch vielfach die alten Begrifflichkeiten! Micrsoft Entra hieß früher Azure Active Directory usw.

Ich würde mir eine Testumgebung einrichten und die Sache dann mit einem/oder mehreren Geräten durchspielen. Dann kommt man schnell drauf, wo die Unterschiede sind. (So hab ich es zumindest gemacht.) Allerdings ist das keine Angelegenheit, welche in ein paar Stunden erledigt ist. Das dauert schon seine Zeit, bis man sich in die Sache eingearbeitet hat!

MfG

M.A.
katja56
katja56 18.07.2024 um 14:56:23 Uhr
Goto Top
Zitat von @markaurel:

Hallo katja56!

Schau dir mal diesen Artikel in Ruhe an:
learn.microsoft.com/de-de/entra/identity/devices/overview

Folge dann den beiden Links bzgl. Microsoft Entra Registrierung bzw. Microsft Entra Join.

Ich könnte mir vorstellen, dass dort die Fehlerquelle zu finden ist. Im Netz finden sich noch vielfach die alten Begrifflichkeiten! Micrsoft Entra hieß früher Azure Active Directory usw.

Ich würde mir eine Testumgebung einrichten und die Sache dann mit einem/oder mehreren Geräten durchspielen. Dann kommt man schnell drauf, wo die Unterschiede sind. (So hab ich es zumindest gemacht.) Allerdings ist das keine Angelegenheit, welche in ein paar Stunden erledigt ist. Das dauert schon seine Zeit, bis man sich in die Sache eingearbeitet hat!

MfG

M.A.

Danke. Das hilft schon mal weiter
katja56
katja56 24.07.2024 um 08:33:23 Uhr
Goto Top
Habe nun die Lösung gefunden. In meinem Testtenant war für die Domain der CNAME für enterpriseregistration nicht gesetzt. Intune benötigt diesen zwingend, damit sich Clients automatisch ( so wie von mir in der GPO angegeben) bei Intune MDM registrieren können. Schön, dass absolut kein MS Artikel, den ich zum Thema Intune gelesen habe, dies auch nur im Ansatz erwähnt hatte. Bin durch einen anderen Forenbeitrag auf den Umstand aufmerksam geworden.
pebcak7123
pebcak7123 24.07.2024 um 13:25:52 Uhr
Goto Top
Zitat von @katja56:

Habe nun die Lösung gefunden. In meinem Testtenant war für die Domain der CNAME für enterpriseregistration nicht gesetzt. Intune benötigt diesen zwingend, damit sich Clients automatisch ( so wie von mir in der GPO angegeben) bei Intune MDM registrieren können. Schön, dass absolut kein MS Artikel, den ich zum Thema Intune gelesen habe, dies auch nur im Ansatz erwähnt hatte. Bin durch einen anderen Forenbeitrag auf den Umstand aufmerksam geworden.

Das wird nicht erwähnt weil es nicht nötig ist wenn man autoenrollment richtig konfiguriert hat.
learn.microsoft.com/en-us/mem/intune/enrollment/windows-enrollment-create-cname
markaurel
markaurel 24.07.2024 um 21:28:16 Uhr
Goto Top
DNS - wie so oft...ja da muss jeder mal durch. face-wink