Planungsleitfaden zu Microsoft Intune

Eine erfolgreiche Microsoft Intune-Bereitstellung oder -Migration beginnt mit der Planung. In diesem Leitfaden erhalten Sie eine detaillierte Anleitung zu den Zielen der mobilen Geräteverwaltung (MDM) und der mobilen Anwendungsverwaltung (MAM). Außerdem erhalten Sie u. a. eine Anleitung zum Inventarisieren Ihrer Geräte, zur Lizenzierung und Überprüfung aktueller Richtlinien und Infrastrukturen und zum Erstellen eines Rolloutplans.

Tipp

Im Intune Adoption Kit sind E-Mail-Vorlagen und weitere hilfreiche Informationen enthalten.

Dieser Leitfaden entwickelt sich weiter. Fügen Sie also Tipps hinzu, oder aktualisieren Sie vorhandene Tipps und Anleitungen, die Ihnen geholfen haben.

Aufgabe 1: Bestimmen Ihrer Ziele

Organisationen verwenden die mobile Geräteverwaltung (MDM) und die mobile Anwendungsverwaltung (MAM), um Organisationsdaten sicher kontrollieren zu können und dabei möglichst geringe Beeinträchtigungen für Benutzer hinnehmen zu müssen. Wenn eine MDM-/MAM-Lösung bewertet wird, z. B. Microsoft Intune, sollten Sie sich zunächst ansehen, worin das Ziel besteht und was Sie erreichen möchten.

In diesem Abschnitt werden allgemeine Ziele bei der Verwendung von Intune erläutert.

Ziel: Zugriff auf Organisations-Apps und -E-Mails

Benutzer möchten auf Geräten mit Organisations-Apps arbeiten, z. B. E-Mails lesen und beantworten oder Daten aktualisieren und freigeben. In Intune können Sie verschiedene App-Typen bereitstellen, darunter die folgenden:

  • Office 365-Apps
  • Win32-Apps
  • Branchenspezifische Apps
  • Custom apps (Benutzerdefinierte Apps)
  • Zulassen (oder Blockieren) des Zugriffs auf integrierte Apps oder Apps aus dem Store

Aufgabe: Erstellen Sie eine Liste der Apps, die Ihre Benutzer regelmäßig verwenden. Diese Apps sollten sich auf deren Geräten befinden. Daher sollten Sie Folgendes berücksichtigen:

  • Viele Organisationen stellen die Office-Apps auf Computern und Tablets bereit, z. B. Word, Excel, OneNote, PowerPoint und Teams. Auf kleineren Geräten wie Mobiltelefonen können individuelle Apps installiert werden, je nach Anforderungen des jeweiligen Benutzers.

    Das Vertriebsteam benötigt beispielsweise möglicherweise Teams, Excel und SharePoint. Auf mobilen Geräten können Sie dann z. B. nur diese Apps bereitstellen, anstatt alle Office-Apps bereitzustellen.

  • Benutzer möchten auf allen Geräten E-Mails lesen und beantworten sowie an Besprechungen teilnehmen können, auch auf persönlichen Geräten. Auf organisationseigenen Geräten können Sie Outlook und Teams bereitstellen. Außerdem können Sie alle Geräteeinstellungen und alle App-Einstellungen einschließlich der PIN- und Kennwortanforderungen verwalten und steuern. Auf persönlichen Geräten verfügen Sie nicht über diese Kontrolle. Bestimmen Sie also, ob Sie Benutzern Zugriff auf Organisations-Apps beispielsweise für E-Mails oder Besprechungen gewähren möchten.

    Weitere Informationen und Überlegungen finden Sie im Abschnitt Vergleich von persönlichen Geräten und organisationseigenen Geräten dieses Artikels.

Ziel: Sichern des Zugriffs auf allen Geräten

Wenn Daten auf einem mobilen Gerät gespeichert sind, müssen sie vor Angriffen geschützt werden.

Aufgabe: Bestimmen Sie, wie Sie Ihre Geräte schützen möchten, und minimieren Sie die möglichen Auswirkungen von Angriffen. Daher sollten Sie Folgendes berücksichtigen:

  • Antivirensoftware und Schutz vor Schadsoftware sind unabdingbar. Intune kann mit verschiedenen MTD-Partnern (Mobile Threat Defense) integriert werden, um den Schutz registrierter Geräte, persönlicher Geräte und Apps zu unterstützen. Auf Windows 10-Geräten können Sie Microsoft Defender für Endpoint und Intune zusammen einsetzen.

    Microsoft Defender für Endpunkt umfasst Sicherheitsfeatures und ein Portal, das Sie bei der Überwachung und Reaktion auf Bedrohungen unterstützt.

  • Wenn ein Gerät kompromittiert wird, sollten Sie die möglichen Auswirkungen mithilfe des bedingten Zugriffs möglichst gering halten. Beispiel:

    • Wenn ein Gerät eine von Ihnen festgelegte Bedrohungsstufe erreicht, können Sie den Zugriff auf Organisationsressourcen blockieren. Der bedingte Zugriff unterstützt Sie dabei, die Ausbreitung von Angriffen zu verhindern.

    • Der bedingte Zugriff unterstützt Sie dabei, Ihr Netzwerk und Ihre Ressourcen auf Geräten zu schützen, selbst wenn die Geräte nicht für Intune registriert wurden.

      Intune kann beispielsweise in Microsoft Defender für Endpunkt integriert werden. Microsoft Defender für Endpunkt untersucht ein Gerät und bestimmt, ob es kompromittiert ist. Der bedingte Zugriff kann dann automatisch den Zugriff dieses Geräts auf Organisationsressourcen einschließlich E-Mail blockieren.

  • Updates für Geräte, das Betriebssystem und für Apps sorgen ebenfalls dafür, Ihre Daten zu schützen. Erstellen Sie einen Plan, wie und wann Updates installiert werden sollen. In Intune stehen Richtlinien zur Verfügung, die Sie beim Verwalten von Updates einschließlich Updates für Store-Apps unterstützen.

  • Bestimmen Sie, wie Benutzer sich für Organisationsressourcen auf ihren Geräten authentifizieren müssen. Beispielsweise können Sie folgende Aktionen ausführen:

    • Verwenden Sie Zertifikate auf Geräten für die Authentifizierung bei Features und Apps, z. B. um eine Verbindung zu einem virtuellen privaten Netzwerk (VPN) herzustellen oder um Outlook zu öffnen. Diese Zertifikate sorgen dafür, dass Ihre Benutzer weniger Kennwörter verwenden müssen. Die Option ohne Kennwörter gilt als sicherer, als Benutzer zur Eingabe des Benutzernamens und des Kennworts für ihre Organisation aufzufordern.

      Wenn Sie Zertifikate verwenden möchten, sorgen Sie dafür, über eine unterstützte Public Key-Infrastruktur (PKI) zu verfügen, um Zertifikatprofile erstellen und bereitstellen zu können.

    • Wenn Sie eine zusätzliche Authentifizierungsebene für organisationseigene Geräte benötigen, können Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden. Sie können die MFA auch verwenden, um Apps auf persönlichen Geräten zu authentifizieren. Biometrie, in Form von Gesichtserkennung oder Fingerabdrücken, kann ebenfalls genutzt werden.

      Wenn Sie Biometrie für die Authentifizierung verwenden, müssen Sie darauf achten, dass Ihre Geräte Biometrie unterstützen. Bei den meisten modernen Geräten ist das der Fall.

    • Implementieren Sie eine Zero Trust-Bereitstellung. Bei Zero Trust verwenden Sie die Features in Azure AD und Microsoft Intune, um beispielsweise alle Endpunkte zu sichern und die kennwortlose Authentifizierung zu verwenden. Weitere Informationen finden Sie im Zero Trust-Bereitstellungscenter.

Ziel: Verteilung der IT

Viele Organisationen möchten verschiedenen Administratoren die Kontrolle über Standorte und Abteilungen geben. Die Gruppe Charlotte IT Admins steuert und überwacht beispielsweise die Richtlinien des Campus in Charlotte. Die IT-Administratoren in Charlotte können nur die Richtlinien für den Standort in Charlotte anzeigen und verwalten. Sie können nicht die Richtlinien für den Standort in Redmond anzeigen und verwalten. Dieser Ansatz wird als verteilte IT bezeichnet.

In Intune werden für eine verteilte IT Bereichstags und Geräteregistrierungskategorien verwendet. Für Bereichstags wird die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet. So haben nur Benutzer in einer bestimmten Gruppe die Berechtigung, Richtlinien und Profile für Benutzer und Geräte in ihrem Bereich zu verwalten.

Wenn Gerätekategorien verwendet werden, werden Geräte automatisch Gruppen hinzugefügt. Dies geschieht auf Grundlage von Kategorien, die Sie erstellen. Wenn Benutzer ihr Gerät registrieren, wählen sie eine Kategorie aus, z. B. Vertrieb, IT-Administrator oder Gerät am Verkaufsort. Diese Gerätegruppen können dann die Profile und Richtlinien aufnehmen, die Sie erstellen.

Zur einfacheren Geräteverwaltung können Sie Intune-Gerätekategorien verwenden, um Geräte automatisch zu Gruppen hinzuzufügen, die auf von Ihnen definierten Kategorien basieren.

Aufgabe: Bestimmen Sie, wie Ihre Regeln und Einstellungen (Richtlinien und Profile) verteilt werden sollen. Daher sollten Sie Folgendes berücksichtigen:

  • Bestimmen Sie Ihre Administratorenstruktur. Sie können die Struktur beispielsweise nach Standort aufteilen, also z. B. Charlotte IT Admins und Redmond IT Admins. Sie könnten die Aufteilung auch nach Rolle vornehmen, z. B. Netzwerkadministratoren, die den gesamten Netzwerkzugriff steuern, einschließlich VPNs.

    Bei diesen Kategorien handelt es sich dann um Ihre Bereichstags.

  • Viele Organisationen teilen Gruppen nach Gerätetyp auf, z. B. iOS-, iPadOS-, Android- oder Windows-Geräte. Einige Beispiele:

    • Sie verteilen bestimmte Apps auf bestimmten Geräten. Sie können beispielsweise die Shuttle-App von Microsoft auf Geräten im Redmond-Netzwerk bereitstellen.
    • Sie stellen Richtlinien für bestimmte Standorte bereit. Sie können beispielsweise ein VPN-Profil auf Geräten im Charlotte-Netzwerk bereitstellen, sodass sich diese automatisch verbinden, sobald sie in Reichweite sind.
    • Sie steuern die Einstellungen auf bestimmten Geräten. Sie können beispielsweise die Kamera auf Android Enterprise-Geräten deaktivieren, die in einer mit der Herstellung befassten Etage verwendet werden, ein Antivirusprofil von Windows Defender für alle Windows-Geräte erstellen oder eine Exchange-Einstellung für E-Mails auf allen iOS-/iPadOS-Geräten hinzufügen.

    Diese Kategorien sind dann Ihre Geräteregistrierungskategorien.

Ziel: Sicherstellen des Verbleibs von Organisationsdaten in der Organisation

Wenn Daten auf einem mobilen Gerät gespeichert sind, müssen sie geschützt werden, um versehentlichen Datenverlust oder versehentliche Freigabe zu verhindern. Dieses Ziel umfasst, Organisationsdaten von persönlichen und organisationseigenen Geräten zu löschen.

Aufgabe: Erstellen Sie einen Plan, der verschiedene Szenarios berücksichtigt, die sich auf Ihre Organisation auswirken. Daher sollten Sie Folgendes berücksichtigen:

Weitere Informationen und Überlegungen finden Sie im Abschnitt Vergleich von persönlichen Geräten und organisationseigenen Geräten dieses Artikels.

Aufgabe 2: Inventarisieren Ihrer Geräte

Organisationen verfügen über eine Vielzahl an Geräten, einschließlich Desktopcomputer, Laptops, Tablets und Mobiltelefone. Diese Geräte gehören entweder der Organisation oder dem Benutzer. Bei der Planung Ihrer Geräteverwaltungslösung sollten Sie alle Geräte berücksichtigen, über die auf Ihre Organisationsressourcen zugegriffen werden kann, einschließlich der persönlichen Geräte Ihrer Benutzer.

In diesem Abschnitt finden Sie Geräteinformationen, die Sie berücksichtigen sollten.

Unterstützte Plattformen

Intune unterstützt Android-Geräteadministrator-, Android Enterprise-, iOS-, iPadOS-, macOS- und Windows-Geräte. Die konkreten Versionen finden Sie unter In Intune unterstützte Betriebssysteme und Browser.

Aufgabe: Wenn Ihre Geräte nicht unterstützte Versionen verwenden, wobei es sich hauptsächlich um ältere Betriebssysteme handelt, sollten Sie das Betriebssystem aktualisieren oder die Geräte ersetzen. Für diese älteren Betriebssysteme und Geräte steht möglicherweise nur eingeschränkte Unterstützung zur Verfügung, und sie sind ein mögliches Sicherheitsrisiko. Bei dieser Aufgabe sollten z. B. Geräte wie Desktopcomputer, auf denen Windows 7 ausgeführt wird oder iPhone 7-Geräte, auf denen das ursprüngliche Betriebssystem (Version 10.0) ausgeführt wird, berücksichtigt werden.

Vergleich von persönlichen Geräten und organisationseigenen Geräten

Auf persönlichen Geräten ist es normal und zu erwarten, dass Benutzer beispielsweise nach empfangenen E-Mails sehen, an Besprechungen in Teams teilnehmen oder SharePoint-Dateien aktualisieren. Viele Organisationen lassen persönliche Geräte zu. Viele Organisationen lassen jedoch möglicherweise auch nur organisationseigene Geräte zu.

Als Organisation und als Administrator entscheiden Sie, ob Sie persönliche Geräte zulassen.

Aufgabe: Bestimmen Sie, wie Sie mit persönlichen Geräten umgehen möchten. Wenn Mobilität für Ihre Organisation entscheidend ist, sollten Sie die folgenden Ansätze beachten:

  • Geben Sie Benutzern die Möglichkeit, sich auf persönlichen Geräten bei Intune zu registrieren. Nach erfolgter Registrierung können Administratoren diese Geräte vollständig verwalten, einschließlich dem Pushen von Richtlinien, der Steuerung von Gerätefeatures und -einstellungen, und sie können Daten auf den Geräten sogar löschen. Als Administrator erscheint diese Art der Kontrolle für Sie wünschenswert.

    Wenn Benutzer ihre persönlichen Geräte registrieren, ist ihnen möglicherweise nicht gänzlich klar, dass Administratoren sämtliche Berechtigungen für das Gerät haben, es also auch versehentlich auf Werkseinstellungen zurücksetzen oder Daten löschen könnten. Als Administrator möchten Sie diese Verantwortung mit ihren möglichen Auswirkungen auf Geräte, die nicht Eigentum Ihrer Organisation sind, möglicherweise nicht tragen müssen.

    Außerdem weigern sich viele Benutzer auch, ihr Gerät zu registrieren. Sie finden dann andere Möglichkeiten, um auf Organisationsressourcen zuzugreifen. Sie könnten beispielsweise erzwingen, dass Geräte registriert sein müssen, um die Outlook-App zum Überprüfen auf Organisations-E-Mails verwenden zu können. Benutzer könnten diese Anforderung jedoch umgehen, indem sie einen beliebigen Webbrowser auf dem Gerät öffnen und sich über Outlook Web Access anmelden, was Sie natürlich nicht möchten. Benutzer könnten auch Screenshots erstellen und die Bilder auf dem Gerät speichern, was Sie ebenfalls nicht möchten.

  • Verwenden Sie auf persönlichen Geräten deshalb App-Konfigurationsrichtlinien und App-Schutzrichtlinien. Benutzer registrieren ihre Geräte nicht bei Intune. Diese Geräte werden nicht von Ihnen verwaltet.

    Verwenden Sie eine Anweisung mit Geschäftsbedingungen zusammen mit einer Richtlinie für bedingten Zugriff. Wenn Benutzer diesen Bedingungen nicht zustimmen, erhalten sie keinen Zugriff auf Apps. Wenn Benutzer der Anweisung zustimmen, wird in Azure AD ein Geräteeintrag hinzugefügt, und das Gerät wird zu einer bekannten Entität. Wenn das Gerät bekannt ist, können Sie nachverfolgen, auf was über das Gerät zugegriffen wird.

    Als nächsten Schritt können Sie den Zugriff und die Sicherheit über App-Richtlinien steuern.

    Sehen Sie sich die Aufgaben an, die in Ihrer Organisation am meisten durchgeführt werden, z. B. das Senden von E-Mails oder das Teilnehmen an Besprechungen. Verwenden Sie App-Konfigurationsrichtlinien, um App-spezifische Einstellungen zu konfigurieren. Mithilfe von App-Schutzrichtlinien können Sie die Sicherheit und den Zugriff auf diese Apps steuern.

    Benutzer können beispielsweise die Outlook-App auf ihrem persönlichen Gerät verwenden, um arbeitsrelevante E-Mails anzusehen. Mithilfe von Intune erstellen Administratoren eine Schutzrichtlinie für die Outlook-App, für die z. B. jedes Mal die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwendet wird, wenn die Outlook-App geöffnet wird und mit der Kopier- und Einfügevorgänge verhindert werden.

  • Jedes Gerät sollte vollständig verwaltet werden. Geben Sie in diesem Szenario Benutzern alle Geräte, die sie benötigen, einschließlich Mobiltelefonen. Investieren Sie in einen Hardwaremodernisierungsplan, damit Benutzer weiterhin produktiv und effektiv arbeiten können. Registrieren Sie diese organisationseigenen Geräte in Intune, und verwalten Sie sie mithilfe von Richtlinien.

    Bei dieser Option sind persönliche Geräte nicht relevant.

Als Best Practice gilt, als Grundprämisse anzunehmen, dass Daten das Gerät verlassen. Sorgen Sie deshalb dafür, dass Nachverfolgungs- und Überwachungsmethoden implementiert sind. Weitere Informationen finden Sie im Zero Trust-Bereitstellungscenter.

Verwalten von Desktopcomputern

Intune kann Desktopcomputer verwalten, auf denen Windows 10 und neuere Betriebssysteme ausgeführt werden. Das Windows 10-Betriebssystem umfasst moderne integrierte Features für die Geräteverwaltung und entfernt Abhängigkeiten von lokalen Gruppenrichtlinien in Active Directory (AD). Sie können von den Vorteilen der Cloud profitieren, wenn Sie Regeln und Einstellungen in Intune erstellen, und Sie können diese Richtlinien auf allen Ihren Windows 10-Geräten bereitstellen, einschließlich Desktopcomputern und anderen PCs.

Weitere Informationen finden Sie unter Geführtes Szenario: Über die Cloud verwalteter moderner Desktop.

Wenn Ihre Windows 10-Geräte aktuell mit Configuration Manager verwaltet werden, können Sie diese Geräte dennoch in Intune registrieren. Dieser Ansatz wird als „Co-Verwaltung“ bezeichnet. Co-Verwaltung bietet viele Vorteile, z. B. das Ausführen von Remoteaktionen auf dem Gerät (Neustart, Remotesteuerung, Zurücksetzen auf Werkseinstellungen) oder bedingten Zugriff mit Gerätekonformität. Sie können Ihre Geräte auch in der Cloud an Intune anfügen.

Weitere Informationen finden Sie unter Was ist Co-Verwaltung?, Pfade zur Co-Verwaltung und Mandantenanfügung im Microsoft Endpoint Manager: Gerätesynchronisierung und Geräteaktionen.

Aufgabe: Sehen Sie sich an, welche Lösung Sie aktuell für die mobile Geräteverwaltung verwenden und welche Ziele gesetzt sind, und bestimmen Sie den besten Pfad. Daher sollten Sie Folgendes berücksichtigen:

  • Wenn Sie aktuell keine mobile Geräteverwaltung nutzen, können Sie von vornherein Intune verwenden.

  • Auch für neue Geräte, die nicht für Configuration Manager oder eine andere MDM-Lösung registriert sind, ist eine direkte Verwendung von Intune die beste Lösung.

  • Wenn Sie aktuell Configuration Manager nutzen, haben Sie die folgenden Optionen:

    • Wenn Sie Ihre vorhandene Infrastruktur weiter nutzen möchten und einige Workloads in die Cloud migrieren möchten, eignet sich die Co-Verwaltung für Sie. Sie erhalten dabei die Vorteile beider Dienste. Vorhandene Geräte können Richtlinien von Configuration Manager erhalten (lokal) und andere Richtlinien von Intune (Cloud).
    • Wenn Sie Ihre vorhandene Infrastruktur weiter verwenden möchten und mithilfe von Intune lokale Geräte überwachen möchten, können Sie die Mandantenanfügung nutzen. Sie erhalten den Vorteil der Verwendung des Endpoint Manager Admin Center, können aber weiterhin Configuration Manager nutzen, um Geräte zu verwalten.
    • Wenn Sie für die Geräteverwaltung eine reine Cloudlösung verwenden möchten, migrieren Sie zu Intune. Dieses Szenario kommt selten vor. Wenn Benutzer bereits Configuration Manager nutzen, möchten Sie oftmals Configuration Manager weiterhin nutzen. Im Bereitstellungsleitfaden: Einrichten von oder Migrieren zu Microsoft Intune finden Sie hilfreiche Informationen.

    Weitere Informationen finden Sie unter Workloads für die Co-Verwaltung.

Aufgabe 3: Kostenbestimmung und Lizenzierung

Beim Verwalten von Geräten kommen verschiedene Dienste zum Einsatz. In Intune sind die Einstellungen und Features enthalten, die Sie auf verschiedenen Geräten steuern können. Weitere Dienste spielen ebenfalls eine wichtige Rolle:

  • Azure Active Directory (AD) Premium umfasst mehrere Features, die wichtig für die Geräteverwaltung sind. Dazu gehören die folgenden:

    • Windows Autopilot: Windows 10-Geräte können automatisch in Intune registriert werden und ihre Richtlinien automatisch erhalten.
    • Mehrstufige Authentifizierung (MFA): Hierbei müssen Benutzer mindestens zwei Verifizierungsmethoden verwenden, z. B. eine PIN, eine Authentifikator-App oder einen Fingerabdruck. MFA eignet sich ideal, wenn App-Schutzrichtlinien für persönliche Geräte verwenden werden, oder für organisationseigene Geräte, für die zusätzliche Sicherheit erforderlich ist.
    • Bedingter Zugriff: Wenn Benutzer und Geräte Ihre Regeln befolgen, z. B. einen sechsstelligen Passcode, erhalten sie Zugriff auf Organisationsressourcen. Wenn Benutzer oder Geräte Ihre Regeln nicht befolgen, erhalten sie auch keinen Zugriff.
    • Dynamische Benutzergruppen und dynamische Gerätegruppen: Sie können Benutzer oder Geräte automatisch Gruppen hinzufügen, wenn diese bestimmte Kriterien erfüllen, sich z. B. in einer bestimmten Stadt befinden, eine bestimme Position im Unternehmen innehaben oder einen bestimmten Betriebssystemtyp oder eine bestimmte Betriebssystemversion verwenden.
  • In Office 365 sind die Apps enthalten, mit denen die Benutzer arbeiten, z. B. Outlook, Word, SharePoint, Teams und OneDrive. Sie können diese Apps mithilfe von Intune auf Geräten bereitstellen.

  • Microsoft Defender für Endpunkt unterstützt Sie bei der Überwachung und Überprüfung von Windows 10-Geräten auf schädliche Angriffe. Sie können auch eine akzeptable Bedrohungsstufe festlegen. In Kombination mit bedingtem Zugriff können Sie den Zugriff auf Organisationsressourcen blockieren, wenn die Bedrohungsstufe überschritten wird.

  • Azure Information Protection klassifiziert und schützt Dokumente und E-Mails, indem Label angewendet werden. Für Office-Apps können Sie diesen Dienst verwenden, um nicht autorisierten Zugriff auf Organisationsdaten zu verhindern, einschließlich des Zugriffs auf Apps auf persönlichen Geräten.

Alle diese Dienste sind in der Microsoft 365 E5-Lizenz enthalten. Weitere Informationen finden Sie unter Mit Microsoft 365 zum digitalen Unternehmen.

Aufgabe: Bestimmen Sie, welche Dienste und Programme Ihre Organisation benötigt und verwendet, um produktiv und sicher arbeiten zu können. Daher sollten Sie Folgendes berücksichtigen:

  • Wenn Ihr Ziel darin besteht, Richtlinien (Regeln) und Profile (Einstellungen) bereitzustellen, ohne sie erzwingen zu müssen, benötigen Sie mindestens Intune. Intune ist in verschiedenen Abonnements enthalten, ist aber auch als eigenständiger Dienst verfügbar. Weitere Informationen finden Sie unter Microsoft Intune-Lizenzierung.

    Sie verwenden aktuell Configuration Manager und möchten die Co-Verwaltung für Ihre Geräte einrichten. Intune ist in der Configuration Manager-Lizenz bereits enthalten. Wenn Sie möchten, dass neue Geräte oder vorhandene Geräte der Co-Verwaltung vollständig von Intune verwaltet werden, benötigen Sie eine eigene Intune-Lizenz.

  • Sie möchten Compliance- oder Kennwortregeln erzwingen, die Sie in Intune erstellen. Sie benötigen mindestens Intune und Azure AD Premium. Intune und Azure AD Premium sind in der Lösung Enterprise Mobility + Security enthalten.

    Weitere Informationen finden Sie unter Preisoptionen für Enterprise Mobility + Security.

  • Sie möchten nur Office 365-Apps auf Geräten verwalten. Sie benötigen mindestens Office 365. Weitere Informationen finden Sie im Artikel zur MDM für Office 365 vs. Microsoft Intune und in den häufig gestellten Fragen zur mobilen Geräteverwaltung für Office 365.

  • Sie möchten Office 365-Apps auf Ihren Geräten bereitstellen und Richtlinien erstellen, die Sie beim Schützen der Geräte unterstützen, auf denen diese Apps ausgeführt werden. Sie benötigen mindestens Intune und Office 365.

  • Sie möchten Richtlinien in Intune erstellen, Office 365-Apps bereitstellen und Ihre Regeln und Einstellungen erzwingen. Sie benötigen mindestens Intune, Office 365 und Azure AD Premium. Da alle diese Dienste in Microsoft 365 enthalten sind, ist die kostengünstigste Möglichkeit hier, die Microsoft 365-Lizenz zu verwenden.

    Weitere Informationen finden Sie unter Mit Microsoft 365 zum digitalen Unternehmen.

Aufgabe 4: Überprüfen vorhandener Richtlinien und der bestehenden Infrastruktur

Viele Organisationen verfügen bereits über Richtlinien und eine Infrastruktur für die Geräteverwaltung, die lediglich noch „gewartet“ wird. Sie könnten beispielsweise über 20 Jahre alte Gruppenrichtlinien verfügen, wissen aber nicht wirklich, welche Aufgaben diese erfüllen. Wenn Sie eine Migration in die Cloud in Erwägung ziehen, anstatt sich nur auf Altbewährtes zu verlassen, müssen Sie ein neues Ziel bestimmen.

Diese Ziele stellen dann die Ausgangsbasis für Ihre Richtlinien dar. Wenn Sie über mehrere Geräteverwaltungslösungen verfügen, wäre nun ein geeigneter Zeitpunkt, zu einer einzelnen Lösung für die mobile Geräteverwaltung zu wechseln.

Aufgabe: Sehen Sie sich zunächst die Aufgaben an, die lokal ausgeführt werden, jedoch in die Cloud verschoben werden könnten. Denken Sie daran, nicht altbewährte Lösungen zu untersuchen, sondern bestimmen Sie ein neues Ziel. Daher sollten Sie Folgendes berücksichtigen:

  • Sehen Sie sich vorhandene Richtlinien und deren Struktur an. Manche Richtlinien gelten möglicherweise global, andere gelten nur für bestimmte Standorte und manche auch nur für ein einzelnes Gerät. Das Ziel besteht darin, die Absichten z. B. hinter globalen Richtlinien oder hinter lokalen Richtlinien zu kennen und zu verstehen.

    AD-Gruppenrichtlinien werden in der Reihenfolge LSDOE (lokal, Standort, Domäne und Organisationseinheit) angewendet. In dieser Hierarchie überschreiben z. B. Richtlinien für Organisationseinheiten lokale Richtlinien, und Domänenrichtlinien überschreiben Standortrichtlinien.

    In Intune werden Richtlinien auf Benutzer und von Ihnen erstellte Gruppen angewendet. Es gibt keine Hierarchie. Wenn in zwei Richtlinien dieselbe Einstellung aktualisiert wird, wird diese Einstellung als Konflikt angezeigt. Weitere Informationen finden Sie unter Häufige Fragen, Probleme und entsprechende Behebungen mit Geräterichtlinien und -profilen in Microsoft Intune.

    Wenn bisher AD-Gruppenrichtlinien verwendet wurden und nun Intune, werden ihre globalen AD-Richtlinien logisch auf Gruppen, die Sie haben, oder Gruppen, die Sie benötigen, angewendet. Zu diesen Gruppen gehören Benutzer und Geräte, die z. B. auf globaler Ebene oder auf Standortebene als Ziel verwendet werden sollen. Diese Aufgabe gibt Ihnen eine Vorstellung von der Gruppenstruktur, die Sie in Intune benötigen.

  • Gegebenenfalls müssen Sie in Intune neue Richtlinien und Profile erstellen. In Intune sind mehrere Features enthalten, die auf Szenarios abzielen, die möglicherweise von Interesse für Sie sind. Einige Beispiele:

    • Sicherheitsbaselines: Auf Windows 10-Geräten handelt es sich bei Sicherheitsbaselines um Sicherheitseinstellungen, die vorab auf empfohlene Werte konfiguriert wurden. Wenn Sie noch keine Erfahrung beim Schützen von Geräten haben oder eine umfassende Baseline benötigen, sollten Sie sich Sicherheitsbaselines ansehen.
    • Administrative Vorlagen: Auf Windows 10-Geräten können Sie ADMX-Vorlagen verwenden, um Gruppenrichtlinieneinstellungen für Windows, Internet Explorer, Office und die Microsoft Edge-Version 77 oder höher zu konfigurieren. Diese ADMX-Vorlagen sind identisch mit den in AD-Gruppenrichtlinien verwendeten ADMX-Vorlagen. In Intune sind sie jedoch zu 100 Prozent cloudbasiert.
    • Gruppenrichtlinie: Verwenden Sie die Gruppenrichtlinienanalyse, um Ihre GPOs zu importieren und zu analysieren. Dieses Feature unterstützt Sie dabei, zu bestimmen, wie GPOs in die Cloud übersetzt werden. Die Ausgabe zeigt, welche Einstellungen von MDM-Anbietern (Mobile Device Management, Verwaltung mobiler Geräte) unterstützt werden, einschließlich Microsoft Intune. Sie enthält außerdem veraltete Einstellungen bzw. Einstellungen, die für MDM-Anbieter nicht verfügbar sind.
    • Geführte Szenarios: Bei geführten Szenarios handelt es sich um eine angepasste Schrittfolge, bei der der Fokus auf End-to-End-Anwendungsfällen liegt. Im Rahmen der geführten Szenarios werden Richtlinien, Apps, Zuweisungen und andere Verwaltungskonfigurationen automatisch eingeschlossen.
  • Erstellen Sie eine Richtlinienbaseline, die Ihre Mindestziele einschließt. Beispiel:

    • Sichere E-Mail: Sie sollten mindestens für Folgendes sorgen:

      • Aktiveren Sie den bedingten Zugriff für Exchange Online, oder stellen Sie eine Verbindung zu einer lokalen E-Mail-Lösung her.
      • Erstellen Sie Outlook-App-Schutzrichtlinien.
    • Geräteeinstellungen: Sie sollten mindestens für Folgendes sorgen:

      • Fordern Sie eine sechsstellige PIN an, um Geräte entsperren zu können.
      • Verhindern Sie Sicherungen in persönlichen Clouddiensten wie iCloud oder OneDrive.
    • Geräteprofile: Sie sollten mindestens für Folgendes sorgen:

      • Erstellen Sie ein WLAN-Profil mit den vorkonfigurierten Einstellungen zum Herstellen der Verbindung mit dem Drahtlosnetzwerk „Contoso-WLAN“.
      • Erstellen Sie ein VPN-Profil mit einem Zertifikat für die automatische Authentifizierung, und stellen Sie eine Verbindung zu einem Organisations-VPN her.
      • Erstellen Sie ein E-Mail-Profil mit den vorkonfigurierten Einstellungen zum Herstellen der Verbindung zu Office 365 oder einer E-Mail-Lösung in Gmail.
    • Apps: Sie sollten mindestens für Folgendes sorgen:

      • Stellen Sie Office 365 mit App-Schutzrichtlinien bereit.
      • Stellen Sie eine branchenspezifische App mit App-Schutzrichtlinien bereit.
  • Überprüfen Sie die aktuelle Struktur Ihrer Gruppen. In Intune können Sie Richtlinien erstellen und sie Benutzergruppen, Gerätegruppen sowie dynamischen Benutzer- und Gerätegruppen zuweisen. Dafür ist Azure AD Premium erforderlich.

    Wenn Sie Gruppen in der Cloud erstellen, z. B. in Intune oder Microsoft 365, werden diese in Azure AD erstellt. Auch wenn das Azure AD-Branding möglicherweise nicht zu sehen ist, verwenden Sie dennoch diesen Dienst.

  • Wenn Sie über mehrere Geräteverwaltungslösungen verfügen, können Sie nun zu einer einzelnen Lösung für die mobile Geräteverwaltung wechseln. Die Verwendung von Intune wird empfohlen, um Organisationsdaten in Apps und auf Geräten zu schützen.

Aufgabe 5: Erstellen eines Rolloutplans

Die nächste Aufgabe besteht darin, zu planen, wie und wann Ihre Benutzer und Geräte Ihre Richtlinien erhalten. Bei dieser Aufgabe sollten Sie außerdem Folgendes beachten:

  • Definieren Sie Ihre Ziele und Erfolgsmetriken. Verwenden Sie diese Datenpunkte, um weitere Rolloutphasen zu erstellen. Stellen Sie sicher, dass Ihre Ziele spezifisch, messbar, erreichbar, realistisch und zeitgerecht sind. Planen Sie in allen Phasen Vergleichsmessungen mit Ihren Zielen ein, um sicherzustellen, dass Ihr Rolloutprojekt auf Kurs bleibt.
  • Sorgen Sie für klar definierte Ziele. Beziehen Sie diese in alle Sensibilisierungs- und Trainingsaktivitäten ein, um sicherzustellen, dass den Benutzern klar ist, warum das Unternehmen sich für Intune entschieden hat.

Aufgabe: Erstellen Sie einen Plan für den Rollout Ihrer Richtlinien, und entscheiden Sie sich, wie Ihre Benutzer die Registrierung ihrer Geräte bei Intune durchführen sollen. Daher sollten Sie Folgendes berücksichtigen:

  • Führen Sie den Rollout Ihrer Richtlinien in Phasen durch. Beispiel:

    • Starten Sie mit einer Pilot- oder Testgruppe. Die Benutzer in diesen Gruppen sollten sich darüber im Klaren sein, dass sie die ersten Benutzer sind, und sie sollten bereit dazu sein, Feedback zu geben. Verbessern Sie auf Grundlage dieses Feedbacks die Konfiguration, Dokumentation und Benachrichtigungen, und erleichtern Sie zukünftige Rollouts für Benutzer. Bei diesen Benutzern darf es sich nicht um Führungskräfte handeln.

      Nach ersten Tests können Sie der Pilotgruppe weitere Benutzer hinzufügen. Alternativ können Sie weitere Pilotgruppen erstellen, deren Fokus auf anderen Rollouts liegt:

      • Abteilungen: Für Abteilung kann es eine eigene Rolloutphase geben. Sie können dann eine gesamte Abteilung gleichzeitig als Zielgruppe festlegen. Bei dieser Art von Rollout nutzen Benutzer in den einzelnen Abteilungen meist das Gerät auf dieselbe Weise und greifen auf dieselben Anwendungen zu. Für Benutzer gelten womöglich auch dieselben Arten von Richtlinien.

      • Geografie: Stellen Sie Ihre Richtlinien für alle Benutzer in einer bestimmten Geografie, ob auf demselben Kontinent, in demselben Land, derselben Region oder demselben Unternehmensgebäude, bereit. Diese Art des Rollouts ermöglicht, sich auf einen bestimmten Benutzerstandort zu konzentrieren. Wenn Sie einen Bereitstellungsansatz mit Vorabbereitstellung wünschen, könnten Sie eine Windows Autopilot-Instanz bereitstellen, da die Anzahl an Standorten, die Intune zur selben Zeit bereitstellen, geringer ist. Es besteht die Möglichkeit verschiedener Abteilungen oder unterschiedlicher Anwendungsfälle am selben Standort. Sie könnten verschiedene Anwendungsfälle also gleichzeitig testen.

      • Plattform: Bei diesem Rollout werden ähnliche Plattformen zur selben Zeit bereitgestellt. Sie könnten beispielsweise Richtlinien für alle iOS-/iPadOS-Geräte im Februar bereitstellen, für alle Android-Geräte im März und für alle Windows-Geräte im April. Dieser Ansatz kann den Helpdesksupport unterstützen, da nur Support für eine Plattform zur selben Zeit gegeben sein muss.

      Bei einem gestaffelten Ansatz erhalten Sie Feedback von einer großen Bandbreite an Benutzertypen.

    • Nach einer erfolgreichen Pilotphase können Sie ein vollständiges Produktionsrollout durchführen. Das folgende Beispiel zeigt einen Intune-Rolloutplan, der Zielgruppen und Zeitskalen umfasst:

    Rolloutphase Juli August September Oktober
    Begrenztes Pilotprojekt IT (50 Benutzer)
    Erweitertes Pilotprojekt IT (200 Benutzer), IT-Führungskräfte (10 Benutzer)
    Produktionsrolloutphase 1 Vertrieb und Marketing (2.000 Benutzer)
    Produktionsrolloutphase 2 Einzelhandel (1.000 Benutzer)
    Produktionsrolloutphase 3 Personalabteilung (50 Benutzer), Finanzabteilung (40 Benutzer), Führungskräfte (30 Benutzer)

    Diese Vorlage kann hier heruntergeladen werden.

  • Entscheiden Sie sich, wie Benutzer ihre persönlichen und organisationseigenen Geräte registrieren. Es gibt verschiedene Registrierungsmethoden:

    • Self-Service für Benutzer: Benutzer registrieren ihre eigenen Geräte, indem sie Schritte befolgen, die von ihrer IT-Organisation bereitgestellt wurden. Dieser Ansatz wird am häufigsten verwendet und ist skalierbarer als die Registrierung mit Benutzerunterstützung.
    • Registrierung mit Benutzerunterstützung: Bei diesem Bereitstellungsansatz mit Vorabbereitstellung unterstützt ein Mitarbeiter der IT-Abteilung Benutzer während des Registrierungsprozesses, entweder persönlich oder über Teams. Dieser Ansatz wird häufig bei Führungskräften und anderen Gruppen befolgt, die ggf. mehr Unterstützung benötigen.
    • IT-Hausmesse: Bei dieser Veranstaltung richtet die IT-Gruppe einen Stand ein, der Unterstützung bei der Intune-Registrierung bietet. Benutzer erhalten Informationen zur Intune-Registrierung, können Fragen stellen und erhalten Unterstützung bei der Registrierung ihrer Geräte. Diese Option kann sowohl für die IT-Abteilung als auch für den Benutzer von Vorteil sein, insbesondere in den frühen Phasen des Rollouts von Intune.

    Im folgenden Beispiel sind die verschiedenen Registrierungsansätze dargestellt:

    Rolloutphase Juli August September Oktober
    Begrenztes Pilotprojekt
    Self-Service IT
    Erweitertes Pilotprojekt
    Self-Service IT
    Vorabbereitstellung IT-Führungskräfte
    Produktionsrolloutphase 1 Vertrieb, Marketing
    Self-Service Vertrieb und Marketing
    Produktionsrolloutphase 2 Retail
    Self-Service Retail
    Produktionsrolloutphase 3 Führungskräfte, Personalwesen, Finanzen
    Self-Service Personalabteilung, Finanzabteilung
    Vorabbereitstellung Führungskräfte

Aufgabe 6: Kommunizieren der Änderungen

Gutes Change Management ist abhängig von einer klaren und nützlichen Kommunikation bezüglich kommender Änderungen. Der Gedanke dahinter ist der, die Intune-Bereitstellung möglichst reibungslos ablaufen zu lassen und dafür zu sorgen, dass Ihre Benutzer über die Änderungen Bescheid wissen und auch mögliche Einschränkungen kennen.

Aufgabe: Im Kommunikationsplan für Ihren Rollout sollten wichtige Informationen enthalten sein, z. B. wie Benutzer informiert werden und wie die Kommunikation erfolgt. Daher sollten Sie Folgendes berücksichtigen:

  • Bestimmen Sie, welche Informationen kommuniziert werden sollen. Führen Sie die Kommunikation in Phasen für Ihre Gruppen und Benutzer durch. Beginnen Sie dabei mit dem eigentlichen Start des Intune-Rollouts, der Phase vor der Registrierung und einer Phase nach der Registrierung:

    • Startphase: Hierbei ist allgemeine Kommunikation erforderlich, die das Intune-Projekt an sich vorstellt. In dieser Phase sollten wichtige Fragen wie die folgenden beantwortet werden:

      • Was ist Intune?
      • Warum führt die Organisation Intune ein, welche Vorteile entstehen für die Organisation und die Benutzer?
      • Stellen Sie einen möglichst allgemeinen Plan der Bereitstellung und des Rollouts vor.
      • Wenn persönliche Geräte nur zulässig sind, wenn sie registriert sind, erklären Sie, warum Sie diese Entscheidung getroffen haben.
    • Phase vor der Registrierung: In dieser Phase ist eine allgemeine Kommunikation erforderlich, die Informationen zu Intune und weiteren Diensten (wie Office, Outlook und OneDrive), zu Benutzerressourcen und konkreten Zeitskalen enthält, wann Benutzer und Gruppen Intune erhalten werden.

    • Phase der Registrierung: Hier ist die Kommunikation mit Organisationsgruppen und -benutzern wichtig, die Intune erhalten sollen. Benutzer sollten darüber informiert werden, dass Intune nun für sie eingeführt werden kann. Außerdem sollten sie über Registrierungsschritte und darüber informiert werden, wer bei Fragen oder benötigter Unterstützung Ansprechpartner ist.

    • Phase nach der Registrierung: Die Kommunikation in dieser Phase betrifft Organisationsgruppen und -benutzer, die in Intune registriert wurden. Hier sollten zusätzliche Ressourcen bereitgestellt werden, die nützlich für die Benutzer sein könnten. Darüber hinaus kann Feedback zu den Erfahrungen während und nach der Registrierung gesammelt werden.

    Das Intune Adoption Kit kann sich als hilfreich erweisen. Sie können es so verwenden, wie es vorliegt, oder an Ihre Organisation anpassen.

  • Entscheiden Sie sich, wie Sie die Informationen zum Intune-Rollout für Ihre Zielgruppen und -benutzer kommunizieren möchten. Beispiel:

    • Setzen Sie eine persönliche Besprechung mit der gesamten Organisation an, oder verwenden Sie Microsoft Teams.

    • Entwerfen Sie eine E-Mail für die Phase vor der Registrierung, eine für die Registrierung selbst und eine für die Phase nach der Registrierung. Beispiel:

      • E-Mail 1: Erläutern Sie die Vorteile, Erwartungen und den Zeitplan. Nutzen Sie die Gelegenheit, um andere neue Dienste vorzustellen, deren Zugriff auf durch Intune verwalteten Geräten gewährt wird.
      • E-Mail 2: Geben Sie bekannt, dass Dienste nun für den Zugriff über Intune bereit sind. Fordern Sie die Benutzer auf, sich nun zu registrieren. Stellen Sie Benutzern eine Zeitachse bereit, bevor deren Zugriff betroffen ist. Erinnern Sie die Benutzer an die Vorteile und strategischen Gründe für die Migration.
    • Über eine Organisationswebsite können Sie die Rolloutphasen erläutern und darüber informieren, was Benutzer erwartet und wer bei benötigter Hilfe kontaktiert werden kann.

    • Entwerfen Sie Poster, nutzen Sie die Social-Media-Plattformen der Organisation (z. B. Yammer) oder verteilen Sie Flyer, um die Phase vor der Registrierung anzukündigen.

  • Erstellen Sie eine Zeitskala, in der wichtige Datumsangaben und Ansprechpartner enthalten sind. Die anfängliche Kommunikation zum Intune-Start kann an die gesamte Organisation gerichtet sein, jedoch auch nur an Teile davon. Sie kann bereits mehrere Wochen vor dem eigentlichen Intune-Rollout beginnen. Danach könnten die Informationen dem Intune-Rolloutzeitplan entsprechend in Phasen an Gruppen und Benutzer kommuniziert werden.

    Es folgt ein Beispiel eines allgemeinen Kommunikationsplans für den Intune-Rollout:

    Kommunikationsplan Juli August September Oktober
    Phase 1 Alle
    Besprechung zu Projektbeginn Erste Woche
    Phase 2 IT Vertrieb und Marketing Einzelhandel Personalabteilung, Finanzabteilung und Führungskräfte
    E-Mail 1 vor dem Rollout Erste Woche Erste Woche Erste Woche Erste Woche
    Phase 3 IT Vertrieb und Marketing Einzelhandel Personalabteilung, Finanzabteilung und Führungskräfte
    E-Mail 2 vor dem Rollout Zweite Woche Zweite Woche Zweite Woche Zweite Woche
    Phase 4 IT Vertrieb und Marketing Einzelhandel Personalabteilung, Finanzabteilung und Führungskräfte
    E-Mail zur Registrierung Dritte Woche Dritte Woche Dritte Woche Dritte Woche
    Phase 5 IT Vertrieb und Marketing Einzelhandel Personalabteilung, Finanzabteilung und Führungskräfte
    E-Mail nach der Registrierung Vierte Woche Vierte Woche Vierte Woche Vierte Woche

Aufgabe 7: Supporthelpdesk und Endbenutzer

Der IT-Support und der Helpdesk sollten an den frühen Planungsphasen der Intune-Bereitstellung und während ersten Pilotversuchen beteiligt werden. Bei einer frühen Beteiligung beschäftigen sich die Supportmitarbeiter mit Intune und können Wissen und Erfahrung dafür ansammeln, Probleme effektiver zu erkennen und zu lösen. Außerdem werden sie so dafür vorbereitet, den vollständigen Produktionsrollout in der Organisation zu unterstützen. Ein fachkundiger Helpdesk und kompetente Supportteams helfen Benutzern auch dabei, sich diesen Änderungen anzupassen.

Aufgabe: Integrieren Sie Schulungen für den Support. Überprüfen Sie die Endbenutzererfahrung anhand der Erfolgsmetriken in Ihrem Bereitstellungsplan. Daher sollten Sie Folgendes berücksichtigen:

  • Bestimmen Sie, wer Endbenutzer unterstützen wird. Organisationen verfügen möglicherweise über verschiedene Ebenen (1–3). Die Ebenen 1 und 2 könnten beispielsweise dem Supportteam zugerechnet werden. Zu Ebene 3 gehören Mitglieder des MDM-Teams, das für die Intune-Bereitstellung verantwortlich zeichnet.

    Bei Ebene 1 handelt es sich in der Regel um die erste Supportebene und die erste Ebene, die kontaktiert wird. Wenn Ebene 1 ein Problem nicht lösen kann, wird an Ebene 2 eskaliert. Ebene 2 eskaliert Probleme bei Bedarf an Ebene 3. Darüber hinaus kann der Microsoft-Support als Ebene 4 betrachtet werden.

    • Sorgen Sie während der ursprünglichen Rolloutphasen dafür, dass alle Ebenen Ihres Supportteams Probleme und Lösungen dokumentieren. Suchen Sie nach Mustern, und nehmen Sie Anpassungen an der Kommunikation für die jeweils anschließende Rolloutphase vor. Beispiel:
      • Wenn verschiedene Benutzer oder Gruppen ihre persönlichen Geräte nur zögerlich registrieren, könnten Sie einen Anruf in Teams erwägen, um häufig auftretende Fragen zu klären.
      • Wenn Benutzer bei der Registrierung von organisationseigenen Geräten dieselben Probleme haben, können Sie Benutzer in einer persönlichen Veranstaltung dabei unterstützen, ihre Geräte zu registrieren.
  • Erstellen Sie einen Workflow für den Helpdesk, und kommunizieren Sie Supportprobleme, Trends und weitere wichtige Informationen regelmäßig an alle Ebenen des Supportteams. Halten Sie beispielsweise tägliche oder wöchentliche Besprechungen in Teams ab, damit alle Ebenen über Trends und Muster informiert sind und die erforderliche Unterstützung suchen können.

    Im folgenden Beispiel sehen Sie, wie Contoso Workflows für den IT-Support oder den Helpdesk implementiert:

    1. Der Endbenutzer kontaktiert den IT-Support bzw. das Helpdesk der Ebene 1 mit einem Registrierungsproblem.
    2. Ebene 1 des IT-Supports bzw. Helpdesks kann die Grundursache nicht ermitteln und eskaliert an Ebene 2.
    3. Der IT-Support oder Helpdesk der Ebene 2 untersucht das Problem. Ebene 2 kann das Problem nicht lösen und eskaliert an Ebene 3. Außerdem werden weitere Informationen zum Problem übermittelt.
    4. Ebene 3 des IT-Supports bzw. Helpdesks führt weitere Untersuchungen durch, ermittelt die Grundursache und kommuniziert die Lösung an Ebene 2 und 1.
    5. Ebene 1 des IT-Supports/Helpdesks wendet sich dann an die Benutzer und löst das Problem.

    Diese Vorgehensweise bringt vor allem in den frühen Phasen des Intune-Rollouts viele Vorteile mit sich:

    • Unterstützung beim Kennenlernen der Technologie
    • Schnelles Identifizieren und Lösen von Problemen
    • Verbessern der Servicequalität insgesamt
  • Trainieren Sie Ihren Helpdesk und Ihre Supportteams. Lassen Sie sie Geräte registrieren, auf denen die verschiedenen in Ihrer Organisation verwendeten Plattformen (Android, iOS/iPadOS, macOS, Windows) ausgeführt werden, damit sie sich mit dem Prozess vertraut machen können. Erwägen Sie es, den Helpdesk und die Supportteams als Pilotgruppe für Ihre Szenarios zu nutzen.

    Verschiedene Trainingsressourcen stehen zur Verfügung, einschließlich YouTube-Videos, Microsoft-Tutorials zur Registrierung, Compliance und Konfiguration sowie Kurse über Trainingspartner.

    Beim folgenden Beispiel handelt es sich um einen Trainingsplan für den Intune-Support:

    • Überprüfung des Intune-Supportplans
    • Übersicht über Intune
    • Behandlung häufig auftretender Probleme
    • Tools und Ressourcen
    • Q & A

Unter So informieren Sie Ihre Endbenutzer über Microsoft Intune, im communitybasierten Intune-Forum und in der Dokumentation für Endbenutzer finden Sie außerdem hilfreiche Informationen.

Nächste Schritte

Erstellen Sie App- und Geräterichtlinien, und registrieren Sie Ihre Geräte.

Weitere Informationen finden Sie auch unter Intune Adoption Kit.