Microsoft Intune MDM – nachträgliches Enrollment von Windows 10

Die Einführung von Microsoft Intune in einer bestehenden O365 Umgebung birgt neue Herausforderungen. Wie werden Windows 10 Computer in das Management von Intune übernommen? Im Besonderen, wenn bereits eine Verbindung mit AzureAD hergestellt wurde?

Microsoft Intune ist Bestandteil der Enterprise Mobility + Security E3 (EM+S) Lizenz. Primärer Einsatzzweck ist vielmals die Nutzung als MDM Lösung für Smartphones (Android und iOS). Darüber hinaus kann Intune auch Windows 10 Computer verwalten. Dies ist in Verbindung mit Conditional Access (ebenfalls in EM+S E3 enthalten) besonders wirkungsvoll. Conditional Access kann den Zugriff auf O365 Cloud-Dienste (Cloud Apps) aufgrund von „Conditions“ (Bedingungen) zulassen oder verweigern. Eine mögliche Bedingung kann hier die Nutzung eines „compliant device“ sein.  Ein Windows 10 Computer kann durch die Registrierung (enrollment) in Microsoft Intune als „compliant device“ gekennzeichnet werden. Es können weitere Bedingungen, wie z.B. aktivierter Virenscanner oder verschlüsselte Festplatte, hinzugefügt werden. Erst wenn diese erfüllt sind, bekommt das Gerät von Intune einen „compliant device“ Stempel. Diese Markierung wird von Conditional Access ausgewertet und kann für die Entscheidung „Block/Allow“ herangezogen werden. Wichtig ist, dass aktuell nur Intune in der Lage ist, dieses Label zu vergeben. Andere MDM Lösungen können dies momentan noch nicht bieten.

Auto Enrollment

Wie wird ein Windows 10 Computer nun nach Intune enrolled? Intune bietet die Möglichkeit eines automatischen Enrollments, welches ausgelöst wird, sobald der Computer AzureAD Joined wird. Auch ein sogenannter Hybrid Join über AzureAD Connect löst das Enrollment nach Intune aus.

Eine AzureAD Registrierung hingegen löst kein automatisches Enrollment aus. Hier ist es notwendig, das Gerät vorher über die Option „Nur bei Geräteverwaltung registrieren“ bzw. „Enroll only in device management“ zu Intune hinzuzufügen.

 Auto Enrollement
Abbildung 1: Auto Enrollement

AzureAD Joined vs. AzureAD Registered?

Viele fragen sich gerade: was war noch mal der Unterschied zwischen Joined und Registered? Daher eine kurze Zusammenfassung:

  • AzureAD Joined: Windows 10 Computer, die nicht Mitglied einer OnPrem Active Directory Domain sind, können AzureAD Joined werden.
  • AzureAD Registered: wenn ein PC bereits Mitglied einer OnPrem AD Domain ist, so kann er nur AzureAD Registered werden.
  • Hybrid Joined: Geräte die bereits Mitglied einer OnPrem AD Domain sind, können mittels AzureAD Connect AzureAD Hybrid Joined werden.

Ein wesentlicher Unterschied zwischen Joined und Registered ist, dass es möglich ist, sich an einem AzureAD Joined Gerät direkt mit einem AzureAD Konto anzumelden.

Der Windows 10 Computer ist bereits AzureAD Joined oder Registered?

Kommen wir nun zu der eigentlich kniffligen Frage dieses Artikels: „Wie lösen wir nachträglich ein Intune Enrollment aus, falls der PC bereits AzureAD Joined oder Registered ist?“.

Beispiel: Ein Unternehmen nutzt bereits die Möglichkeiten der Microsoft Cloud und hat sogar die Windows 10 Computer nach AzureAD hinzugefügt (Joined oder Registered). Somit wurde der Prozess, welcher das Auto-Enrollment nach Intune auslöst, bereits durchgeführt. Nachdem das Device zu AzureAD hinzugefügt wurde, verschwindet auch meistens die Option „Nur bei Geräteverwaltung registrieren“ bzw. „Enroll only in device management“ aus den Einstellungen. Das Unternehmen entschließt sich, die O365 Lizensierung um EM+S E3 zu erweitern und Intune für die Verwaltung von Windows 10 zu nutzen. Dafür müssten die Windows 10 PCs in Intune registriert werden. Wie kann der Enrollment Prozess für Microsoft Intune nachträglich ausgelöst werden?

Lösung: Intune Enrollment über einen „Deep Link“

Der Prozess „Nur bei Geräteverwaltung registrieren“ bzw. „Enroll only in device management“ lässt sich über einen sog. Deep Link auslösen. Der Deep Link ist eine URL, welche im Browser aufgerufen wird:

ms-device-enrollment:?mode=mdm

 ms-device-enrollement
Abbildung 2: ms-device-enrollement

Lediglich der Internet Explorer oder der Edge Browser unterstützen diese Funktion.

Der Dialog „Microsoft-Konto“ wird geöffnet und der Anwender kann sein Windows 10 Device in Intune registrieren. Hierzu muss er sich mit seinen AzureAD Anmeldeinformationen authentifizieren.

 Registrierung des Microsoft-Kontos
Abbildung 3: Registrierung des Microsoft-Kontos

Achtung bei Conditional Access

Abschließend ein Hinweis aus der Praxis. Conditional Access Policies kontrollieren den Zugriff auf Cloud Anwendungen (Cloud Apps) aufgrund von Bedingungen. Das „Intune Enrollment“ ist aus Sicht von Conditional Access ebenfalls eine Cloud App. Sollte eine Conditional Access Policy so konfiguriert sein, dass sie für „All Cloud Apps“ gilt, so schließt dies auch das Intune Enrollment ein. Das verhindert dann unter Umständen das Enrollment von Windows 10 Computern. (Henne-Ei Problem: ohne „compliant device“ kein Zugriff – Zugriff wird benötigt um das Device zu registrieren, damit es compliant wird).

Eine Ausnahmeregel (Exclude) in der Conditional Access Policy löst dieses Problem:

Die Cloud App „Microsoft Intune Enrollment“ wird von der Conditional Access Policy ausgeschlossen.

Microsoft Intune Enrollment
Abbildung 4: Microsoft Intune Enrollment

Das Enrollment mit einem Deep Link ermöglicht das Hinzufügen von Windows 10 PCs zu Intune, auch wenn diese bereits AzureAD Joined oder Registered sind. Wobei der Enrollment Prozess mittels Deep Link einen manuellen Eingriff des Benutzers benötigt. Bei größeren Roll Outs stellt dies sicher ein Problem dar. Hier dürfen wir auf neue Lösungen von Microsoft gespannt sein.