Erleichtertes Client- und Servermanagement für Microsoft Intune & Defender for Endpoint

In Kundengesprächen, die ich in den letzten Jahren geführt habe, kam immer wieder die Frage auf: Wie manage ich meine Server, wenn ich meine Clients mit Intune verwalte? Kann Intune auch meine Server verwalten? Bis vor einigen Monaten war meine Antwort immer ‚Nein‘, Intune ist eine reine Client-Management-Lösung und Server können nicht registriert werden.“ Daran hat sich grundsätzlich auch nichts geändert, aber ein „wenig“ Server-Management ist nun mit Intune möglich. Was dies mit dem o.g. Security-Management mit Defender for Endpoint zu tun hat, möchte ich hier näher ausführen.

Seit einigen Jahren existiert in Microsofts Client-Management-Suite „Intune“ die Möglichkeit, sicherheitsrelevante Einstellungen auf Endpoints zu deployen, wie z.B. Antivirus-Einstellungen oder auch Settings zur Festplatten-Verschlüsselung „BitLocker“. Diese Möglichkeit wurde sukzessive erweitert, sodass diese Einstellungen auch auf Windows Server und Linux/Macs nun verteilt werden können.

Da, wie weiter oben erwähnt, Server jedoch nicht in Intune registriert werden konnten, hatte Microsoft vorher eine Änderung im Cloud-Backend vornehmen müssen:

Es wurde eine Schnittstelle zwischen Intune und MDE geschaffen, das sog. „Configuration Management“, einzuschalten in den Settings jeweils von Intune und MDE.

Dadurch ist nun möglich, in Intune angelegte Security Policies nicht nur auf Windows Server zu deployen, sondern z.B. auch auf Workgroup-Windows-Clients.

Da Windows Server, anders als Windows Clients, wie schon erwähnt, nicht in Intune registriert werden können, wurde diese Schnittstelle auch genutzt, um Server in Intune verwaltbar zu machen

Viele Kunden wollten ihre Server jedoch nicht in die Cloud syncen, wodurch diese Voraussetzung zum Nachteil für das „Configuration Management“ wurde und die Server weiterhin mit Gruppenrichtlinien verwaltet wurden.

Seit April 2023 habe ich als Cloud Security Architect an zwei von Microsoft sog. „Private Previews” teilgenommen: zum einen „MDE Attach V2“ und „MDE Intune UX Integration“. Die Essenz dieser spannenden Previews will ich im Folgenden kurz erläutern.

 

MDE Intune UX Integration

Letzteres vereinfacht die Verwaltung von Servern und Workgroup-Clients dahingehend, dass der Security-Spezialist nun nicht mehr das M365Defender-Portal verlassen muss, um sicherheitsrelevante Richtlinien zu erstellen, zu bearbeiten und zu deployen. Dafür gibt es nun den Bereich „Configuration Management“ unterhalb der „Endpoints“-Node.

Diese Endpoint Security Policies werden in Realtime zwischen beiden Portalen synchronisiert, sodass in MDE erstellte Policies direkt in Intune auftauchen und umgekehrt.

Folglich muss der Security Spezialist seine gewohnte Arbeitsumgebung nicht mehr verlassen und seine in MDE angelegten oder editierten Richtlinien tauchen sofort in Intune auf.

 

MDE Attach V2

Ersteres, also „MDE Attach V2“ soll es in Zukunft überflüssig machen, die Server nach Entra ID zu syncen, um sie mit dem „Configuration Management“ zu verwalten.
Dazu muss in den Endpoint-Settings unter „Advanced features“ der Schalter „Preview features” auf “On” geschoben werden.

Danach tauchen alle bisher nicht in Intune angezeigten Computer-Objekte dort auf.

Wie ist das möglich, werden sich einige jetzt fragen? Es existiert KEIN Objekt in Entra ID, jedoch wird im Zuge des Onboardings nach MDE und Einschalten des Configuration Managements/Zuweisen einer Policy ein sog. „synthetisches Objekt“ in Entra ID angelegt, sozusagen ein Platzhalter für ein „richtiges“ Computer-Objekt. Da der Server in diesem Fall ein Objekt in der Cloud besitzt, kann er nun auch über Intune/MDE verwaltet werden, s. Schritt 3 „Synthetic registration“ im u.a. Schaubild.

Sollte in Zukunft ein Umdenken stattfinden und die Server werden doch in die Cloud gesynct, wird aus dem „synthetischen“ Objekt dann ein reales, hochgesynctes Objekt.

 

Fazit

Mit beiden Features kommt Microsoft den Wünschen von sehr vielen Kunden nach, denn sie vereinfachen das Security Management erheblich.
In der nachfolgenden Grafik wird das auch noch mal deutlich:

Der Kunde kann nun entscheiden, wie er in Zukunft das sicherheitsrelevante Management seiner Geräte handhaben möchte.

Hat er eine IT-Abteilung, welche das komplette Management der Geräte unter sich hat, wird weiterhin Intune genutzt.

Gibt es aber eine Trennung zwischen Client-Management und Client-Security, kann nun aus dem Microsoft 365 Defender-Portal heraus das sicherheitsrelevante Management mitübernommen werden. Dadurch ist es in Zukunft auch nicht mehr nötig, dass Security Spezialisten im Active Directory berechtigt werden müssen, um dort Gruppenrichtlinien anzulegen und zu bearbeiten, welche sicherheitsrelevante Einstellungen auf Clients/Server deployen, wie z.B. Antivirus-Einstellungen.

 

Ein weiterer Sicherheitsbenefit, und auch ein datenschutzrelevanter, ist das nicht mehr benötigte Syncen der Server in das Entra ID. Dies mag für einige Server unproblematisch sein, jedoch in Kritis-Umgebungen oder sonstigen wichtigen Server-Umgebungen ein Problem darstellen. Aber auch dieses Problemfeld ist Microsoft angegangen und hat auf Kundenwünsche reagiert, sodass das Management der Server oder auch Workgroup-Clients nun aus der Cloud ohne Syncen möglich ist.

Der Weg hin zu „Single pane of glass“ wird von Microsoft weitergegangen und die Kunden können den Nutzen daraus ziehen, wenn sie den gleichen Weg gehen wollen.