Microsoft Intune App Management: Ultimate MEM Tour Part 2

Intune App Management: MEM Tour Teil 2

In dieser Blogserie nehme ich dich mit auf eine Tour durch die Funktionen, die Microsoft Intune uns bietet. In meinem ersten Blog haben wir uns die Funktionen rund um das Device Management angesehen. In diesem Blog möchte ich alle Funktionen rund um das Application Management behandeln. Gute Apps sind eine der Grundlagen für ein erfolgreiches Unternehmen. Mit Intune kannst du sicherstellen, dass Endbenutzer Zugriff auf die Apps haben, die sie für ihre Arbeit benötigen.

Weitere Blogs aus dieser Serie:

Also los geht’s, viel Spaß mit dem Blog

Intune bietet die Möglichkeit, Apps für Windows, iOS/iPadOS, macOS und Android zu verteilen. In diesem Blog behandle ich alle Funktionen und Features rund um das Application Management. Diese Funktionen sind alle im Menü Apps gebündelt.

Übersichts-Dashboard der Microsoft Intune Apps im Endpoint Manager

Übersicht

Genau wie beim Device Management beginnt alles mit einem Übersichts-Dashboard. In diesem Dashboard erhältst du einen kurzen Überblick über den Installationsstatus und den Status der App Protection Policy (mehr dazu später). Außerdem bekommst du einige Informationen über deinen Tenant und die MDM-Authority. Als MDM-Authority hast du die folgenden Optionen: – –

  • Intune (reines Cloud-Management)
  • Intune Co-Management (Integration des Configuration Managers)
  • Basic Mobility and Security for Microsoft 365 (Office 365 als MDM-Authority. Wenn du Intune nutzen möchtest, musst du Intune-Lizenzen erwerben)
  • Basic Mobility and Security for Microsoft 365 Coexistence (die Authority wird anhand der dem Benutzer zugewiesenen Lizenz festgelegt)

All Apps

In diesem Menü erhältst du einen Überblick über alle Apps, die sich im App-Portfolio deines Unternehmens befinden – über alle Plattformen hinweg. Du kannst pro App erkennen, um welchen Typ es sich handelt. Außerdem siehst du die Version, den Status und ob die App zugewiesen ist.

Hier erhältst du nicht nur einen Überblick über die Apps im Portfolio, du kannst auch neue hinzufügen. Intune unterstützt die folgenden App-Typen:

Store App

  • Android store app
  • iOS store app
  • Microsoft store app
  • Managed Google Play app

Microsoft 365 Apps

  • Windows 10 and later
  • macOS

Microsoft Edge, version 77 and later

  • Windows 10 and later
  • macOS

Microsoft Defender for Endpoint

  • macOS

Other

Microsoft Intune Seite zur Verwaltung aller Apps

Monitor

Wie im Device-Menü gibt es auch hier einen Monitor-Bereich, in dem du verschiedene Reports findest. Welche Reports verfügbar sind und wofür sie dienen, erkläre ich jetzt.

Monitoring-Dashboard für Intune App-Lizenzen

App licenses

  • Dieser Report bietet dir einen Überblick über die pro App genutzten Lizenzen. Wenn du eine App erstellst, kannst du angeben, wie viele Lizenzen du für diese App hast.

Discovered apps

  • Hier siehst du eine Erkennung der verwalteten und nicht verwalteten Apps, die auf einem Gerät installiert sind, mit der Version und der Anzahl der Geräte, auf denen die App installiert ist.

App installation status

  • Hier siehst du pro App einen Prozentwert, wie oft die Installation fehlgeschlagen ist.

App protection status

  • In diesem Report erhältst du viele Informationen über die App Protection. Du kannst verschiedene Reports herunterladen oder über die Schaltfläche „Reports” zusätzliche Reports anzeigen. Was App Protection ist, sehen wir uns weiter unten an.

By Platform

Bei By Platform hast du die Wahl zwischen Windows, iOS/iPadOS, macOS und Android. Was du innerhalb der Kategorien findest, ist dasselbe wie bei All Apps, jedoch gefiltert nach OS-Typ.
Für iOS kannst du hier zusätzlich ein App Provisioning Profile erstellen.

Intune Admin Console mit iOS- und iPadOS-Apps

App protection policies

Mit App Protection Policies kannst du deine Daten für bestimmte Apps unter iOS, Android und Windows verwalten und schützen und sicherstellen, dass keine Daten verloren gehen – ganz ohne Device Management. Diese Richtlinien greifen, sobald ein Benutzer auf Unternehmensdaten zugreift. Apps, denen über MAM (Mobile Application Management) Richtlinien zugewiesen werden, nennt man managed Apps. Dies lässt sich jedoch nicht auf jede App anwenden, da die App eine Unterstützung für MAM bieten muss. Eine Liste der unterstützten Apps findest du in der Microsoft-Dokumentation. Für Apps, die keine ootb-Unterstützung haben, kann eine XML hochgeladen werden, um sie hinzuzufügen.

Es können mehrere Richtlinien definiert werden, die erfüllt sein müssen, bevor der Zugriff gewährt wird. Du kannst zum Beispiel festlegen, dass der Zugriff nur aus bestimmten Netzwerken erlaubt ist.

Es gibt 2 Möglichkeiten, diese Richtlinien zu erstellen:

  • With enrollment (mit Intune enrollte Geräte).
  • Without enrollment (nicht enrollte Geräte, z. B. BYOD)
    • Du kannst außerdem den Zugriff auf Unternehmensdaten für nicht enrollte Geräte blockieren
Dashboard zur Anwendungsverwaltung im Microsoft Endpoint Manager

App configuration policies

Mit App Configuration Policies kannst du Einstellungen innerhalb von Apps unter iOS/iPadOS oder Android vornehmen. Diese Einstellungen werden angewendet, sobald ein Benutzer die App ausführt. Intune bietet ootb eine Unterstützung für viele Anwendungen. Es ist aber möglich, weitere hinzuzufügen.

Ein Beispiel für App Configuration Policies sind Sicherheitseinstellungen oder Branding-Einstellungen innerhalb von Apps. Der Einsatz von App Configuration Policies kann den Rollout neuer Apps vereinfachen und beschleunigen.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

iOS app provisioning profiles

Im Menü iOS app provisioning profiles können Provisioning Profiles hochgeladen werden.

Aber wofür sind diese Profile da?
Anders als unter Android kannst du unter iOS nicht einfach jede beliebige App installieren. Die App muss von Apple signiert sein. Beim Ausführen von Apps auf iOS-Geräten werden verschiedene Prüfungen durchgeführt, etwa die Integrität der Installationsdatei und die Durchsetzung von Funktionen aus dem Provisioning Profile. Wenn dein Unternehmen jedoch selbst Apps entwickelt und diese nicht öffentlich im Public App Store bereitstellen möchte, kannst du sie über eine IPA-Datei verteilen. Provisioning Profiles helfen dabei, sicherzustellen, dass diesen Apps vertraut wird, selbst wenn sie nicht von Apple signiert sind.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

S mode supplemental policies

Windows S Mode ist eine Windows-Version, bei der aus Performance- und Sicherheitsgründen nur Windows Store Apps erlaubt sind. Um Win32-Apps in der S-Version zu installieren, hat Microsoft die S Mode Policies eingeführt. Diese Richtlinien setzen Windows Build 18363 oder höher voraus.
Mit den S mode supplemental policies kannst du Windows Defender Application Control Policies definieren, um Win32-Apps auszuführen. Eine solche Richtlinie wird über PowerShell erstellt und muss anschließend signiert werden.

Eine detaillierte Anleitung, wie du eine solche Richtlinie erstellst, findest du in der Microsoft-Dokumentation.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

Policies for Office apps

Mit diesen Richtlinien kannst du die Office-Apps konfigurieren und schützen. Einige der hier verfügbaren Office-Richtlinien lassen sich auch über Configuration Profiles erstellen. Die Anzahl der Richtlinien und Optionen ist in diesem Menü jedoch größer.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

Policy sets

Wir haben uns die Option für Policy Sets bereits in der Device Configuration angesehen. Aber hier der Vollständigkeit halber noch einmal:

Policy Sets sind eine Sammlung verschiedener Verwaltungsobjekte und Apps, die gruppiert und gemeinsam zugewiesen werden können. Das Policy Set ist eine Referenz auf die verschiedenen Objekte, die du hinzugefügt hast. Diese Funktion wurde Ende 2019 eingeführt.

Im folgenden Blogbeitrag erkläre ich Policy Sets im Detail.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

App selective wipe

Mit App Selective Wipe kannst du Unternehmensdaten von Geräten löschen, wenn beispielsweise ein Mitarbeiter das Unternehmen verlässt. Diese Daten werden dann aus den MAM-verwalteten Apps gelöscht, ohne dass das Gerät gewiped werden muss. Das ist nützlich z. B. bei einem BYOD-Konzept, bei dem sich auch private Daten auf dem Gerät befinden können.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

App categories

In diesem Menü kannst du bestehende App-Kategorien umbenennen oder löschen, aber auch neue Kategorien erstellen. Diese kannst du dann Apps zuweisen, wenn du sie erstellst. Im Company Portal werden die Apps anschließend übersichtlich nach den Kategorien aufgelistet.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

Diese Option ermöglicht es dir, E-Books, die über eine Volumenlizenz erworben wurden, auf von Intune verwaltete iOS/iPadOS-Geräte zu verwalten und zuzuweisen. Hierfür muss ein VPP-Token in Intune hinterlegt werden.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

Mit Assignment Filter kannst du die Zuweisungen komfortabler gestalten. Diese Funktion war zuerst für Configuration Profiles verfügbar und wurde später auf Apps und Update Rings erweitert.

Was Assignment Filter sind und wie du sie nutzen kannst, erkläre ich in use assignment filter for the update ring assignment.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

Help and Support ist über das gesamte Intune Admin Center verteilt. Auch hier im Application-Menü gibt es diese Option erneut. Hier hast du die Möglichkeit, Hilfe zu erhalten, Tickets zu eröffnen oder auf bereits eröffnete Tickets zuzugreifen.

Microsoft Intune App Management: Ultimate MEM Tour Teil 2

Auch im Bereich des Application Managements bietet Intune viele Funktionen und Features. Hier gibt es jedoch eine größere Mischung an Funktionen, die vom Betriebssystem abhängig sind. Nicht jedes Feature ist auf jeder Plattform anwendbar. Das liegt meist an der Abhängigkeit vom Anbieter bei der Implementierung der Features im OS.

Im nächsten Blog werfen wir einen genaueren Blick auf die Security-Funktionen von Intune.

Vielen Dank fürs Lesen dieses Blogs. Wenn dir dieser Blog gefällt, würde ich mich sehr über ein Like oder ein Teilen freuen.

Wir sehen uns im nächsten Teil dieser Serie.
Bleib gesund, Cheers
Jannik