PC-Verwaltung und -Sicherheit aus der Wolke

von Martin Kuppinger

Mit Windows Intune können KMU ihre Rechner schnell und einfach über eine Web-basierte Konsole verwalten und ab-sichern und benötigen keine grossen CLM-Lösungen mehr.

Artikel erschienen in Swiss IT Magazine 2011/12

     

Mitte Oktober hat Microsoft Windows Intune, seiner im April 2010 lancierten und Cloud-basierten PC-Management-Lösung für KMU, ein grosses Update spendiert. Mit Intune werden nun alle wesentlichen Basisfunktionen des Client Lifecycle Managements (CLM) und, basierend auf den Standardfunktionen und anderen Diensten von Microsoft, auch Endpoint-Protection-Lösungen bereitgestellt. Ausserdem gibt es als Bonus noch die Lizenz für das Upgrade auf Windows 7 Enterprise dazu. Windows Intune ist dabei aber weniger ein Wettbewerbsprodukt zu den «grossen» On-Premise-Lösungen von Microsoft wie der Forefront Endpoint Protection oder dem System Center Configuration Manager (SCCM), wohl aber zu System Center Essentials 2010, einer ebenfalls auf Unternehmen mittlerer Grösse zugeschnittenen Lösung.

Schnell in Betrieb genommen

Der Einstieg in die Nutzung von Windows Intune ist – wie bei allen Cloud-Angeboten von Microsoft – einfach. Auf der Website von Windows Intune kann man sich für das 30-Tage-Testpaket für maximal 25 Geräte entscheiden, um das Produkt zu evaluieren. Wer die Management-Lösung gleich kaufen möchte, zahlt dafür pro Gerät und Monat 17 Franken – einschliesslich der angesprochenen Upgrade-Rechte auf Windows 7 Enterprise. Damit werden alle erforderlichen Funktionen bereitgestellt. Man kann sich nun die Frage stellen, ob Windows Intune letztlich günstig oder teuer ist, denn pro Jahr sind es immerhin 204 Franken pro Gerät. Viele On-Premise-Lösungen für das Client Lifecycle Management und die Endpoint Protection sind in ihrem Preis pro Client und den Wartungsgebühren günstiger. Allerdings fällt mit Intune der nicht zu unterschätzende Aufwand, selbst eine Backend-Infrastruktur zu betreiben, weg. Zu berücksichtigen ist ferner jedoch auch, dass man gegebenenfalls zusätzlichen Speicherplatz in der Windows-Cloud erwerben muss, wenn man Software für die Installation bereitstellen möchte. Man sollte das Ganze also durchaus kritisch bertrachten und genau vergleichen.


Nun aber zurück zur Inbetriebnahme von Windows Intune. Nach der Registrierung erhält man eine E-Mail mit dem Link zur Verwaltungskonsole. Von dort aus kann man die weitere Einrichtung des Dienstes vornehmen – von der Definition von Administratoren bis hin zur Verteilung der Client-Komponenten und der Konfiguration von Richtlinien. Ja, Sie lesen richtig: Windows Intune erfordert die Installation von Client-Software. Diese kann über das Netzwerk verteilt werden. Die Bereitstellung kann automatisch oder manuell erfolgen, wobei letzteres dann voraussetzt, dass man bereits eine Lösung für die Software-Verteilung hat – und wenn es nur die Gruppenrichtlinien sind. Das dürfte aber bei vielen Kunden der primären Zielgruppe von Windows Intune nicht der Fall sein.
Windows Intune
Features

- Steuerung der Endpoint-Protection-Funktionen von Windows-Systemen

- Inventarisierung von Hard- und Software-Informationen sowie Basisfunktionen in der Software-Verteilung

- Management von Updates und Patches



Positiv

+ Einfache und schnelle Einsetzbarkeit im Unternehmen, insbesondere für KMU

+ Übersichtliche und intuitiv zu bedienende Verwaltungskonsole

+ Übersichtliche Richtlinien für die Endpoint Protection



Negativ

- Eingeschränkte Funktionalität für Software und Updates von Drittanbietern

- Kein Management von Gruppenrichtlinien

- Nur grundlegende Überwachungs- und Reporting-Funktionen



Hersteller/Anbieter

Microsoft



Preis

17 Franken pro Monat und Gerät, inklusive Upgrade-Lizenz auf Windows 7 Enterprise



Wertung: 4

Breiter Funktionsumfang – aber begrenzte Funktionstiefe

Nun kann es losgehen. Die Funktionen von Windows Intune sehen auf den ersten Blick durchaus beeindruckend aus. Das Management von Updates, die Endpoint Protection, Hard- und Software-Inventarisierung, Remote Assistance, Überwachungs-Dienste und die Software-Verteilung zählen dazu. Bei näherer Betrachtung zeigt sich aber, dass die Tiefe vieler dieser Funktionen begrenzt ist. Und einige, wie das Management von Server-Betriebssystemen, älteren Windows-Versionen oder mobilen Endgeräten, die in vielen Projekten verlangt werden, fehlen vollständig. Das Thema der älteren Windows-Versionen wird durch die enthaltene Upgrade-Lizenz adressiert, was aber das Vorhandensein geeigneter Hardware und den Willen zu einer Windows-Migration voraussetzt. Ausserdem kann Windows Intune derzeit auch noch keine Betriebssysteme verteilen und unterstützt – wenig überraschend – aktuell auch nur Windows-Systeme.
Aber auch bei den enthaltenen Funktionen muss man genau hinschauen. Microsoft sagt selbst, dass das Produkt nur grundlegende Software-Verteilungsfunktionen unterstützt, die aber beispielsweise für die aktuellen Office-Versionen ausreichend sind. Und auch bei den Überwachungsfunktionen ist der Umfang weit von einem System Center Operations Manager entfernt und beschränkt sich auf vordefinierte Ereignisse. Auch das Lizenzmanagement und die Inventarisierung bieten nur eine eingeschränkte Funktionalität – bis zu einem echten Asset- und Vertragsmanagement ist noch ein weiter Weg zu gehen. Und es gibt beispielsweise auch keine integrierte Unterstützung für das Management von Einstellungen in Gruppenrichtlinien. Bei all diesen Punkten muss man aber immer die Zielgruppe im Blick behalten: Windows Intune ist sicherlich keine Lösung, die sich an Grossunternehmen richtet, die ohnehin bereits entsprechende Programme in Betrieb haben, sondern ist auf KMU zugeschnitten. Microsoft gibt zwar eine maximale Zahl von 20’000 Computern an, die mit Intune verwaltet werden können. Das ist allerdings ein eher theoretischer Höchstwert, weil für grössere Umgebungen einige grundlegende Funktionen wie ein differenziertes Berechtigungsmanagement für Dienstadministratoren fehlen – dort wird derzeit nur zwischen dem Vollzugriff und dem schreibgeschützten Zugriff unterschieden.

Einfache Verwaltungskonsole

Sehr einfach nutzbar ist die Verwaltungskonsole. Auf der linken Seite finden sich verschiedene Symbole für die Verwaltungsbereiche, von der Übersicht über die verwalteten Systeme und das Update-Management bis hin zur Konfiguration von Richtlinien und das Reporting. Nach Auswahl eines der Bereiche werden dann die detaillierten Verwaltungsfunktionen angezeigt. Dort finden sich, bei den Updates, beispielsweise alle von Microsoft bereitgestellten Updates, deren Installationsstatus sich nach Verteilung der Client-Komponenten auch einfach überwachen lässt. Schade ist, dass es keine Spalte mit dem Datum gibt, an welchem Microsoft die Updates bereitgestellt hat. Damit kann man sich nicht einfach ohne Weiteres auf die neuesten Updates und deren Status fokussieren. Zusätzlich zu den Microsoft-Updates, die von Intune automatisch bereitgestellt werden, gibt es auch die Möglichkeit, Updates von anderen Anbietern hochzuladen und für die Installation bereitzustellen. Dieser Upload wird – wie auch derjenige von Software-Paketen, die über Windows Intune installiert werden sollen – über einen Assistenten unterstützt. Windows Intune ist dabei sehr einfach und fast schon intuitiv nutzbar. Allerdings stösst man, wie bereits erwähnt, dann doch immer wieder an die Grenzen dessen, was die Lösung kann. So lassen sich beispielsweise Software-Lizenzverträge anderer Hersteller hinzufügen. Dabei können aber nur die Lizenzanzahl sowie ein Start- und Ablaufdatum konfiguriert werden. Komplexere Anforderungen wie die Konfiguration unterschiedlicher Lizenztypen, beispielsweise solcher, bei denen es um die gleichzeitigen (konkurrierenden Benutzer zur Laufzeit) und anderer, bei denen es um die potentiellen Benutzer geht (also die Installationen), werden nicht unterstützt. Über die Richtlinien lassen sich die Einstellungen für die Windows-Firewall, für das Windows Intune Center und für den Windows Intune Agent vornehmen. Beim Intune Center werden URLs für den Zugriff auf die Intune-Plattform konfiguriert, beim Agent die Einstellungen für denselben und für die Endpoint Protection vorgenommen. Letztere sind schon recht umfassend, ebenso wie die Firewall-Einstellungen. Zu beachten ist allerdings auch hier, dass die Funktionen nur im Zusammenspiel mit Windows- und Microsoft-Diensten laufen und nicht auf die Verwaltung von Produkten von Drittherstellern ausgerichtet sind. Gut gefallen die Standard-Reports, die eine Menge an Informationen liefern und einfach nutzbar sind. Allerdings fehlt die Erweiterbarkeit, was insbesondere in etwas grösseren Umgebungen durchaus ein Problem werden kann.

Fazit: Anschauen lohnt sich

Windows Intune ist eine Lösung, die vor allem für KMU Sinn macht und hier für diejenigen, die entweder bisher keine Lösungen im Bereich Client Lifecycle Management einsetzen oder über einen Wechsel von der bisher genutzten Lösung nachdenken. Sie sollten sich die Lösung auf jeden Fall anschauen. Man kann mit wenig administrativem Aufwand – aber bei einem durchaus vorsichtigen Blick auf die laufenden Kosten – schnell zu einem funktionsfähigen Client Lifecycle Management und einer zentralen Verwaltung von Updates und Sicherheitseinstellungen für seine Windows-Endgeräte kommen. Man muss sich aber im Klaren darüber sein, dass Windows Intune nicht alles kann. Es ist eine Cloud-Lösung, die einen genau definierten Funktionsumfang bietet, der geringer ist als das, was man mit den gängigen On-Premise-Lösungen erhält. Dafür hat man aber eine Lösung, die sich praktisch sofort einsetzen lässt und die gut mit anderen Windows-Funktionen und Microsoft-Produkten integriert ist.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER