Phonecheck
Blog

Leitfaden für Microsoft Mobile Device Management

Geschäftsleute, die auf ihre Handys schauen

In der Vergangenheit verwendeten Unternehmen ein Konfigurationsmanagement-Tool, um die Daten auf ihren Geräten zu verwalten und zu schützen, da die meisten Mitarbeiter mit Geräten arbeiteten, die ihnen vom Arbeitgeber zur Verfügung gestellt wurden und in dessen Besitz waren.

Der aktuelle Trend geht hin zu einem hybriden und flexiblen Ansatz: BYOD. Das bedeutet "Bring Your Own Device". Bei dieser Regelung haben die Mitarbeiter die Flexibilität, ihre persönlichen Geräte für die Arbeit zu nutzen, entweder zu Hause oder im Büro.

Dieser Trend hat es jedoch zu einer Herausforderung gemacht, Daten auf verschiedenen mobilen Geräten zu schützen, die auf unterschiedlichen Betriebssystemen laufen. Unternehmen, die den Microsoft Configuration Manager verwenden, sind darauf beschränkt, nur Windows-, macOS- und Windows Server-Geräte zu verwalten. 

Microsoft hat ein Produkt namens Microsoft Intune eingeführt, um dieses Problem zu lösen. Mit Intune können IT-Administratoren Laptops, Tablets und Smartphones verwalten, die auf den gängigen Betriebssystemen laufen, nämlich Android, iOS/iPadOS, macOS und Windows.

Dieser Artikel ist Ihr Leitfaden für Microsoft Mobile Device Management. Sie erfahren, wie das Ökosystem von Microsoft Mobile Device Management funktioniert, welche Funktionen es bietet und wie Sie es in Ihrem Unternehmen einsetzen können.

Was ist Microsoft Mobile Device Management?

Microsoft bietet Unternehmen eine Reihe von Lösungen und Technologien für die Fernverwaltung, den Zugriff auf und den Schutz von Daten, die auf unternehmenseigenen und mitarbeitereigenen Geräten gespeichert sind. Diese Praxis der Verwaltung von Geräten und Daten wird als Mobile Device Management (MDM) bezeichnet.

Microsoft Endpoint Manager (MEM) ist ein Teil des Microsoft 365-Dienste-Stacks, und unter der MEM-Marke erhalten Sie das Configuration Manager- und Intune-Abonnement. Diese beiden Plattformen geben Ihnen die vollständige Kontrolle über Ihre Daten auf jedem Gerät, das auf die Daten Ihres Unternehmens zugreift - egal, ob es sich um ein firmeneigenes oder ein mitarbeitereigenes Gerät handelt. Neben Endpoint Manager benötigen Sie auch ein Azure Active Directory (Azure AD)-Abonnement, um Benutzer-/Mitarbeiterdaten zu speichern. 

Endpoint Manager ruft diese Daten von Azure AD ab und überprüft sie, bevor Benutzer auf Ihr Unternehmensnetzwerk zugreifen können.

Endpoint Manager, Intune und Azure Active Directory sind Cloud-native Lösungen. Beachten Sie jedoch, dass Microsoft Vorkehrungen getroffen hat, um ein lokales aktives Verzeichnis und einen lokalen Konfigurationsmanager mit Intune arbeiten zu lassen - falls Sie daran interessiert sind.

Intune verfügt außerdem über MAM-Funktionen (Mobile Application Management), die es IT-Managern ermöglichen, auf einzelne Anwendungen auf den Geräten der Benutzer zuzugreifen, sie zu aktualisieren, Fehler zu beheben und zu verwalten. 

MDM + MAM ist auch für die Mitarbeiter von Vorteil. Sie müssen sich zum Beispiel keine Sorgen mehr machen, dass sie versehentlich gegen Ihre Unternehmensrichtlinien verstoßen oder Apps manuell aktualisieren.

Zusammen mit Microsoft MDM und MAM erhalten Unternehmen die vollständige Kontrolle über Unternehmensdaten, die auf unternehmenseigenen und mitarbeitereigenen Geräten gespeichert sind, ohne die Privatsphäre der Mitarbeiter zu gefährden. 

Wozu dient Microsoft Mobile Device Management? 

Mit MDM-Diensten können Sie Sicherheitsrichtlinien erstellen, die das Verhalten eines Geräts beim Zugriff auf sensible Unternehmensdaten vorgeben. Diese Richtlinien legen fest, wie sich Benutzer bei Ihrem Unternehmensportal (Website oder Anwendung) anmelden können und was sie nach der Anmeldung tun können und was nicht. Wenn ein Mitarbeiter sein eigenes Gerät zur Arbeit mitbringen möchte, muss er diese Richtlinien akzeptieren.

Hier sind einige Anwendungsfälle für die Verwaltung mobiler Geräte: 

  • Beschränkung des Zugriffs auf Wi-Fi-Netzwerke. Sie können Ihren Mitarbeitern vorschreiben, dass sie nur über Wi-Fi- oder VPN-Netzwerke auf dem Gelände Ihres Unternehmens auf das Unternehmensportal zugreifen dürfen. Sie können auch den Zugriff auf das Unternehmensportal über öffentliche Netze beschränken, da diese anfällig für Hackerangriffe sind. 
  • Löschung von Daten. IT-Administratoren können ein Gerät vollständig löschen, indem sie es auf die Werkseinstellungen zurücksetzen, oder selektiv Unternehmensdaten löschen. Diese Aktion kann aus der Ferne durchgeführt werden, falls das Gerät verloren geht oder gestohlen wird oder ein Mitarbeiter das Unternehmen verlässt. 
  • Daten aktualisieren. Intune MAM ermöglicht die Veröffentlichung von unternehmensinternen und -internen Anwendungen im Unternehmensportal. Sobald sich Mitarbeiter für die Verwaltung mobiler Geräte angemeldet haben, können IT-Administratoren diese Anwendungen pushen, aktualisieren, selektiv löschen, konfigurieren, sichern und überwachen.
  • Datenschutz. Besides wiping data on-demand, Intune equips you with other tools and methods to protect data. 

Einige Beispiele für den Schutz von Daten sind:

  • Erlauben Sie nur bedingten Zugriff auf sensible Daten
  • Beschränkung des Exports von Unternehmensdaten auf persönliche Speichermedien durch die Nutzer
  • Einführung strenger Sicherheitsrichtlinien zum Schutz der Daten, z. B. das Verbot, E-Mails an Personen außerhalb des Unternehmens zu senden
  • Integrieren Sie eine Anwendung zur Abwehr mobiler Bedrohungen, die Ihre Netzwerke und Benutzeranwendungen ständig auf Schwachstellen überprüft. 
  • Blockieren Sie die Verwendung der Kamera vor Ort
  • Beschränkung des Zugangs zu WLAN-Netzwerken für Benutzer, die sich außerhalb des Unternehmensgebäudes befinden
  • Blockieren des Herunterladens bösartiger Anwendungen
  • Sperren Sie Geräte mit Jailbreak aus Ihrem Netzwerk aus
  • Zuweisung einer rollenbasierten Zugriffskontrolle für IT-Administratoren in der Endpoint Manager-Konsole
  • Richten Sie die Anforderung einer Multi-Faktor-Authentifizierung für bestimmte Aktionen ein

Außerdem können Sie Datenverluste verhindern, indem Sie Richtlinien erstellen, die Intune anweisen, Daten automatisch in einer Cloud oder auf dem zentralen Server Ihres Unternehmens zu speichern. Sie können Mitarbeitern auch die Berechtigung entziehen, sensible Daten zu löschen. 

Microsoft-Funktionen zur Verwaltung mobiler Geräte

Hier sind die Funktionen der Microsoft-Lösung für die Verwaltung mobiler Geräte: 

  • Mobile Management einfach gemacht mit Intune. Intune unterstützt alle wichtigen Betriebssysteme, die auf dem Markt erhältlich sind. Es kann Telefone, Tablets, Laptops und PCs mit den wichtigsten Betriebssystemen auf dem Markt verwalten. Von einem einzigen Verwaltungsbereich (Endpoint Manager) aus können Sie Benutzer und Gruppen für eine einfache Verwaltung kategorisieren - egal wie groß Ihr Unternehmen ist.
  • Co-management und Tenant Attach Optionen. Die Funktionen Co-Management und Tenant Attach sind für Unternehmen gedacht, die bereits On-Premise-Konfigurationsmanager verwenden und entweder nur langsam oder gar nicht auf die Microsoft-Dienste migrieren möchten. Mit Co-Management können Sie Intune und den On-Premise-Konfigurationsmanager verwenden, um MDM-Arbeitslasten zu teilen. Dieses Setup eignet sich hervorragend für BYOD-Umgebungen, da die Verwendung eines Konfigurationsmanagers allein die Anzahl der zu verwaltenden Geräte einschränken kann. Der Microsoft Configuration Manager unterstützt beispielsweise nur Windows-, macOS- und Windows Server-basierte Geräte vor Ort. Sie können auch die Tenant-Attach-Funktionalität aktivieren, um Ihren lokalen Konfigurationsmanager mit dem Microsoft Endpoint Manager aus der Ferne zu steuern.
  • Integriert mit Sicherheits- und Schutzdiensten. Zusätzlich zur Integration von Microsoft Defender und Windows Defender in Ihr MDM-Ökosystem können Sie ein mobiles Bedrohungsabwehrsystem eines Drittanbieters anschließen, um die Sicherheit zu erhöhen. 

Wie verwaltet man Geräte mit Microsoft MDM?

Unabhängig davon, ob Sie Ihr MDM-Ökosystem von Grund auf neu aufbauen wollen oder bereits einen MDM-Dienst vor Ort einsetzen, haben Sie mehrere Möglichkeiten, zu Microsoft MDM zu migrieren.

Wenn Sie bereits über Systeme verfügen, können Sie aus 4 Optionen wählen: 

  • Tenant Attach hinzufügen. Wenn Sie Geräte mit einem Konfigurationsmanager vor Ort verwalten, können Sie die Tenant Attach-Funktion in Endpoint Manager aktivieren, um den Konfigurationsmanager vor Ort aus der Ferne zu steuern.
  • Co-Verwaltung einrichten. Teilen Sie die Arbeitslast zwischen Ihrem Kontrollmanager vor Ort und Intune. Empfohlen für Unternehmen, die auf ein BYOD-Modell umstellen möchten.
  • Wechseln Sie vom Konfigurationsmanager zu Intune. Empfohlen, wenn die meisten Benutzergeräte mit Windows-Betriebssystemen laufen. Nicht so gut für das BYOD-Ökosystem
  •  Beginnen Sie von vorne mit Microsoft 365 und Intune. Angenommen, die meisten Client-Geräte im Ökosystem Ihres Unternehmens laufen unter Windows. In diesem Fall können Sie Microsoft 365 bereitstellen, um die Vorteile der gesamten Palette von Microsoft-Produkten und -Diensten wie Office 365 und Cloud-Speicher in vollem Umfang zu nutzen, und diese mit Intune integrieren.

Wenn Sie MDM von Grund auf neu einführen, haben Sie diese beiden einfachen Optionen:

  • Intune + Endpoint Manager. Das gesamte MDM-System wird Cloud-nativ sein. Geräte können aus der Ferne verwaltet werden. Das ist großartig für BYOD.
  • Konfigurationsmanager + Endpoint Manager. Kombinieren Sie Ihren On-Premise-Konfigurationsmanager mit dem Cloud-nativen Endpoint Manager.

Microsoft Intune einrichten 

Intune und Configuration Manager werden unter der Marke Microsoft Endpoint Manager verkauft, die in Microsoft 365-Lösungen enthalten ist. Um Intune bereitzustellen, benötigen Sie daher eine der folgenden Lizenzen

  • Microsoft 365 E5
  • Microsoft 365 E3
  • Unternehmensmobilität und Sicherheit E5
  • Mobilität und Sicherheit im Unternehmen E3
  • Microsoft 365 Business Premium
  • Microsoft 365 F1
  • Microsoft 365 F3
  • Microsoft 365 Verwaltung G5
  • Microsoft 365 Verwaltung G3
  • Microsoft 365 Bildung A5
  • Microsoft 365 Bildung A3

Der nächste Schritt besteht darin, sich bei Endpoint Manager anzumelden und sich für Intune zu registrieren. 

Gehen Sie dann wie folgt vor: 

  1. Konfigurieren Sie den Domänennamen Ihres Unternehmens mit Intune. 
  2. Fügen Sie Benutzer oder Gruppen hinzu, oder synchronisieren Sie Active Directory mit Intune. 
  3. Weisen Sie Benutzern und Mitarbeitern Lizenzen zu, damit sie sich bei Intune anmelden können, wenn sie dies wünschen.
  4. Weisen Sie Intune oder Configuration Manager Berechtigungen für die Verwaltung mobiler Geräte zu.
  5. Fügen Sie Anwendungen hinzu, die Sie auf die Geräte der Benutzer übertragen und verwalten möchten. 
  6. Konfigurieren Sie Geräte, um festzulegen, was Benutzer mit ihren Geräten tun können und was nicht, nachdem sie sich bei Intune angemeldet haben. 
  7. Passen Sie das Unternehmensportal an, auf das Ihre Benutzer zur Registrierung von Geräten und zur Installation von Apps zugreifen. 
  8. Aktivieren Sie die Geräteregistrierung über das Portal.
  9. Konfigurieren Sie Richtlinien, um Datenverluste und -löschungen zu verhindern. 

Geräte einschreiben 

Für BYOD-Arbeitsplatz-Ökosysteme muss Intune als MDM-Autorität festgelegt werden. Intune kann sowohl Mitarbeiter- als auch unternehmenseigene Geräte registrieren. Intune unterstützt Windows-, iOS-, macOS- und Android-Plattformen. Sehen Sie sich diese Liste der unterstützten Plattformen und ihrer jeweiligen Versionen an. 

Ihre Benutzer müssen bei Azure AD registriert sein. 

Hier finden Sie Anleitungen zum Erwerb von Lizenzen für verschiedene Geräte und zur Registrierung dieser Geräte in Intune:

Verwalten von Geräten und Anwendungen 

IT-Administratoren können Geräte über den Microsoft Endpoint Manager verwalten. Hier können sie unter anderem folgende Aktionen durchführen: 

  • Daten löschen
  • Neustart eines Geräts
  • Den Namen des Gerätebesitzers anzeigen
  • Ein Gerät lokalisieren
  • Ein Gerät synchronisieren
  • Aktualisieren eines mobilen Datentarifs

Hier finden Sie die vollständige Liste der Aktionen, die Sie durchführen können.

Intune verfügt über Funktionen zur Verwaltung mobiler Anwendungen, die es Administratoren ermöglichen, Anwendungen auf registrierten Geräten zu übertragen, zu konfigurieren, zu schützen und zu verwalten. 

Beginnen Sie mit dem Hinzufügen der Apps, die Sie in Intune verwalten möchten. Erstellen Sie anschließend Richtlinien für die Apps, um den Datenschutz zu gewährleisten. Die Intune-Konsole zeigt den Installations- und Verwundbarkeitsstatus der Apps an. Hier finden Sie die Microsoft-Anleitung zur Verwaltung von Apps mit Intune

Informieren Sie Ihre Nutzer 

Ihre Mitarbeiter verstehen möglicherweise nicht ganz, wie die Verwaltung mobiler Geräte für BYOD funktioniert. Der Eingriff in die Privatsphäre kann die Mitarbeiter beunruhigen. 

Die Aufklärung der Endbenutzer darüber, was Intune auf ihren persönlichen Geräten sehen kann und was nicht, kann das Benutzererlebnis und die Compliance verbessern. So hat Intune beispielsweise keinen Zugriff auf persönliche Daten wie Fotos, Textnachrichten, E-Mails, Anrufe, Webverläufe, Dateien oder nicht verwaltete App-Bestände. Auf der anderen Seite können IT-Administratoren den Namen des Gerätemodells, den Hersteller und den Namen des Gerätebesitzers sehen und den App-Bestand verwalten. 

Sie können dieses Dokument darüber, worauf Intune auf einem Gerät zugreifen kann, an Ihre Mitarbeiter weitergeben und sie entscheiden lassen, ob sie ihre persönlichen Geräte registrieren möchten oder nicht. 

Wenn sie sich anmelden möchten, werden sie diese Videoanleitungen zur Anmeldung von Geräten äußerst hilfreich finden. 

Nach der Anmeldung können Ihre Mitarbeiter mit Hilfe der folgenden Anleitungen Apps aus dem Unternehmensportal herunterladen und die Vorteile des BYOD-Modells nutzen: 

Sie möchten ein Gerät überprüfen? Erhalten Sie einen detaillierten Verlaufsbericht von Phonecheck

Die Weitergabe sensibler Unternehmensdaten kann die Karriereaussichten einer Person gefährden. Wenn Sie ein altes Telefon kaufen oder verkaufen, können Sie sich daher vergewissern, dass das Telefon vollständig gelöscht wurde und sich im Werkszustand befindet.

Mit einem Bericht von Phonecheck können Sie feststellen, ob das Gerät sicher gelöscht und auf die Werkseinstellungen zurückgesetzt wurde. Sie möchten kein Gerät kaufen, das noch mit MDM-Software registriert ist.

Phonecheck bietet eine Komplettlösung für die Verarbeitung mobiler Geräte, die unter anderem prüft, ob ein Gerät entsperrt ist, als verloren oder gestohlen gemeldet wurde, einen intakten Akku hat, repariert wurde oder auf einer schwarzen Liste steht. Wiederverkäufer können mit der Phonecheck Zertifizierung vertrauensvoll alte Handys kaufen und verkaufen.

Verwandte Artikel

Geräte in großem Umfang mit Phonecheck zertifizieren

Diagnose, Datenlöschung und Geräteverlaufsberichte – die Plattform der Wahl für Händler von Gebrauchtgeräten.

Demo anfordern