Erhalten Sie Zugang zu diesem und mehr als 300000 Büchern ab EUR 5,99 monatlich.
Microsoft aktualisiert seine Zertifizierungslinie. Was früher der "MCSE" war, ist heute der Titel "Microsoft 365 Certified: Enterprise Administrator Expert". Die Inhaber dieser Zertifizierung können eine Basiszertifizierung nachweisen und legen dann noch zwei Prüfungen ab, um ihre erweiterte Fachkompetenz im Bereich Microsoft 365 Cloud Services zu belegen. Dieses Buch bereitet Sie auf die zweite der beiden benötigten Enterprise Administrator Prüfungen vor: MS-101: Microsoft 365 Mobility and Security. Aus dem Inhalt: - Implementierung moderner Gerätedienste - Implementieren des Microsoft 365 Sicherheits-und Bedrohungs-Managements - Verwalten von Microsoft 365 Governance und Compliance
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 138
Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:
Für wen ist dieses Buch?
Anmerkungen zur Prüfung
Übungsumgebung
Microsoft 365
Einrichten der virtuellen Maschinen
Software
Danksagung
Implementierung moderner Gerätedienste
1.1 Einführung
1.2 Planen des Gerätemanagements
1.3 Azure Active Directory und On-Premise Active Directory
1.4 Co-Management
1.5 Geräte-Compliance verwalten
1.6 Planung für Apps
1.7 Bereitstellen von Windows 10
1.8 Zusammenfassung, Übungen/Aufgaben
Implementieren des Microsoft 365 Sicherheits-und Bedrohungs-Managements
2.1 Einführung
2.2 Sicherheitsberichte und Alarme verwalten
2.3 E-Mail und Zusammenarbeit
2.4 Schutz mit Windows Defender auf den lokalen Maschinen
2.5 Planen der Cloud App Security (CAS)
2.6 Microsoft Defender for Identity
2.7 Azure Active Directory Identity Protection
2.8 Zusammenfassung, Übungen/Aufgaben
Verwalten von Microsoft 365 Governance und Compliance
3.1 Einführung
3.2 Das Compliance Center
3.3 Verwalten der Updates
3.4 Zusammenfassung, Übungen/Aufgaben
Anhang A
Lösungen zu den Aufgaben
Index
Dieses Buch ist für alle diejenigen geschrieben, die sich mit dem Themengebiet „Microsoft 365“ auseinandersetzen möchten.
Dieses Themengebiet entspricht der Microsoft 365-Prüfung MS-101 „Microsoft 365 Mobility and Security“ und ist als Vorbereitung zum Bestehen dieser Prüfung zu sehen.
Ein Schulungsbuch kann nur gut sein, wenn das Erlernte sofort in praktischen Übungen ausprobiert werden kann. Aus diesem Grund werden exakte Installationsanleitungen mitgeliefert, die Ihnen die Möglichkeit geben, alle praktischen Übungen absolvieren zu können.
Mit dem Ablegen dieser Prüfung können Sie die Zertifizierung „Microsoft 365 Certified: Enterprise Administrator Expert“ erhalten, wenn Sie zuvor folgende Prüfung abgelegt haben:
• MS-100: Microsoft 365 Identity and Services
Zusätzlich benötigen Sie eine der folgenden Vorzertifizierungen:
• Microsoft 365 Certified: Modern Desktop Administrator Associate
• Microsoft 365 Certified: Security Administrator Associate
• Microsoft 365 Certified: Messaging Administrator Associate
• Microsoft 365 Certified: Teams Administrator Associate
• Microsoft 365 Certified: Identity and Access Administrator Associate
In allen diesen Vorzertifizierungen ist das Thema „Security” bereits enthalten.
Microsoft behält sich vor, alle Themen, die in den Vorzertifizierungen und auch in der Prüfung MS-100 Bestandteile sind, unter Umständen auch in dieser Prüfung abzufragen.
Aus diesem Grund sollten Sie sich vor dem Ablegen der Prüfung auch noch mit den Themen der bereits abgelegten Prüfungen beschäftigen.
Die Hardwarevoraussetzungen für eine Übungsumgebung sind hoch. Sie benötigen einen Computer, der folgende Mindestvoraussetzungen erfüllt:
• 32 GB Arbeitsspeicher
• 500 GB freien Festplattenspeicher
Für die Übungen installieren Sie eine Virtualisierungssoftware, hier können Sie beispielsweise Microsoft Hyper-V benutzen.
In einer Klassenumgebung sollte jeder Teilnehmer einen eigenen PC mit Hyper-V zur Verfügung haben.
Natürlich benötigen Sie für das Nachstellen der Aufgaben eine Microsoft 365 Umgebung. Sie können ein kostenloses Test-Abo abschließen.
Achten Sie aber darauf, dass Sie einen E5-Plan haben, im Idealfall auch mit dem Zusatz „Security“.
Wenn Sie auch die Übungen einer On-Premise-Domäne nachstellen möchten, benötigen Sie hierfür ebenfalls eine Übungsumgebung.
Erstellen Sie eine virtuelle Maschine mit Namen DC. Achten Sie darauf, dass der virtuelle Switch „Extern“ konfiguriert ist, denn alle virtuellen Maschinen benötigen Internetzugang.
Installieren Sie Windows Server 2016 oder 2019 und konfigurieren Sie diese Maschine als Domänencontroller.
Erstellen Sie eine virtuelle Maschine mit Namen „Server1“ mit Internetzugang.
Installieren Sie auf diesem Server ebenfalls Windows Server 2016 oder 2019 und treten Sie der Domäne bei.
Erstellen Sie die virtuelle Maschine mit Namen „W10“ mit Internetzugang. Treten Sie der Domäne bei.
Für die Übungen benötigen Sie folgende Evaluierungskopien:
• Windows Server 2016 oder 2019
• Windows 10 ab Version Enterprise
Die meisten dieser Evaluierungskopien können Sie bei Microsoft erhalten. Natürlich können Sie auch Vollversionen verwenden, die dann nicht aktiviert werden müssen.
An dieser Stelle möchte ich mich bei den vielen hilfreichen Freunden und Mitarbeitern bedanken, die erst ermöglicht haben, dass dieses Buch entstehen kann.
Sie waren mir als Betaleser eine große Hilfe und haben freiwillig ihre Freizeit geopfert. Mit ihrem großen Fachwissen waren sie ein wichtiger Bestandteil der Entstehung dieses Buches.
Prüfungsanforderungen von Microsoft:
• Planen des Gerätemanagements
• Geräte-Compliance verwalten
• Planung für Apps
• Planen der Windows 10 Masseninstallation
• Ausrollen von Geräten
Quelle: Microsoft
In einem Unternehmen ist es absolute Voraussetzung, dass alle benutzten Geräte sicher sind und nicht kompromittiert werden können.
Aus diesem Grund sollten Sie alle Möglichkeiten kennen, eine sichere Basis für Ihr Unternehmen zu schaffen.
Wichtige Bestandteile von Microsoft 365 sind MDM, Mobile Device Management und MAM, Mobile Application Management.
Bleiben wir zunächst bei MDM.
Mit MDM können Sie bestimmen, wie die Geräte Ihres Unternehmens, einschließlich Mobiltelefone, Tablets und Laptops, genutzt werden.
Hierbei ist das Registrieren der zu verwaltenden Geräte in Microsoft 365 die Grundvoraussetzung.
Auch die Planung der zentralen Verwaltung von Anwendungen ist wichtig und kann ebenfalls mithilfe von Microsoft 365 erledigt werden.
Die Vielfalt an benutzten Geräten ist enorm, angefangen bei den verschiedenen Betriebssystemen, wie
• Windows
• iOS
• Android
• macOS
bis hin zur Unterscheidung, ob ein Gerät
• Eigentum der Firma oder
• persönliches Eigentum des Benutzers
ist.
Das hat den Vorteil, dass Sie den Benutzern auch mit ihren eigenen Geräten eine bestimmte Zugriffstiefe auf die Firmenressourcen gewähren können, ohne diese Geräte zu sehr einzuschränken.
Innerhalb von Microsoft 365 steht Ihnen ein Tool für die Geräteverwaltung zur Verfügung: Microsoft Intune, auch „Endpoint Management“ genannt.
Microsoft Intune können Sie sehr leicht über das Microsoft 365 Admin Center erreichen, wenn Sie Azure Active Directory in der Premium-Variante benutzen.
Wählen Sie dafür „Endpoint Management“.
Abbildung 1.1: Intune
Die Konsole für die Geräteverwaltung öffnet sich.
Im Idealfall muss der Benutzer nicht viel tun, um seine Geräte bei Microsoft Intune zu registrieren.
Um den Benutzern zu gestatten, Geräte zu registrieren, müssen Sie in folgende Konsole wechseln:
• Geräte
• Geräte registrieren
• Windows-Registrierung
• Automatische Registrierung
Der obere Bereich ist der MDM Bereich (Mobile Device Management).
Sie können festlegen, dass „Keine Geräte“, „Einige“ oder „Alle Geräte“ von Microsoft Intune verwaltet werden.
Wenn Sie „Einige“ wählen, müssen Sie noch Gruppen angeben.
Abbildung 1.2: MAM Konfiguration
Sie sollten wissen, dass dieser Bereich für unternehmenseigene Geräte Vorrang hat, falls sowohl MDM als auch MAM konfiguriert ist.
Für BYOD-Geräte (Bring your own Device) dagegen haben die MAM-Einstellungen Vorrang, wenn sowohl MDM als auch MAM konfiguriert ist.
Diese Einstellungen gelten allerdings nur für Windows 10 Geräte.
Um Geräte bei Microsoft 365 registrieren zu können, müssen die Benutzer noch zusätzlich die entsprechenden Berechtigungen erhalten.
Wenn eine oder mehrere Personen sehr viele Geräte in Microsoft 365 registrieren sollen, besteht die Möglichkeit, diesen Personen die Berechtigung „Device Enrollment Manager, DEM, Geräteregistrierungsmanager“ zuzuweisen.
Mit dieser Berechtigung können Sie bis zu 1.000 Geräte registrieren.
Dies wird dann der Fall sein, wenn jemand mehrere Geräte registrieren muss, bevor sie den zukünftigen Benutzern übergeben werden.
Bevor Sie einem Konto die Berechtigung „DEM“ zuweisen können, muss dieses Konto natürlich eine Microsoft 365-Lizenz haben.
Dafür öffnen Sie das Microsoft 365 Admin Center, navigieren zu „Benutzer“ und wählen den entsprechenden Benutzer aus.
Abbildung 1.3: Lizenzen
Klicken Sie auf „Lizenzen“ und überprüfen Sie, ob der Benutzer eine Lizenz für Microsoft 365 hat. Sollte das nicht der Fall sein, klicken Sie auf „Zuweisen“ und geben Sie ihm eine Lizenz.
Nun können Sie einen DEM hinzufügen.
Dazu öffnen Sie die Microsoft Intune-Konsole (Endpoint-Management), wählen
• Geräte
• Geräte registrieren
• Geräteregistrierungs-Manager
• Hinzufügen
Hier fügen Sie nun den gewünschten Benutzer hinzu.
Abbildung 1.4: Benutzer wird hinzugefügt
Auch wenn ein Benutzer kein Device Enrollment Manager ist, kann er natürlich trotzdem Geräte registrieren.
Wie es auch in einer On-Premise Domäne geregelt ist, so ist es auch in Microsoft Intune, auch der normale Benutzer hat das Recht, eine bestimmte Anzahl an Geräten zu registrieren. Bei einer Domäne ist dies der Beitritt zur Domäne, in Microsoft Intune ist es im Endeffekt genauso.
Wichtig ist, dass Sie als Microsoft Intune Administrator die Möglichkeit haben, Registrierungsbeschränkungen zu definieren, also die Möglichkeit der Benutzer einzuschränken, Geräte zu registrieren.
Sie können folgende Einschränkungen definieren:
• Maximale Anzahl der registrierten Geräte
• Geräteplattformen (Windows, iOS etc.)
• Einschränken von privaten Geräten
Um diese Einschränkungen zu definieren, erstellen Sie eine Registrierungsbeschränkungsrichtlinie, die Sie dann einer Gruppe zuweisen können.
Öffnen Sie dafür
• Geräte
• Geräte registrieren
•Registrierungsbeschränkungen
Abbildung 1.5: Registrierungsbeschränkungen
Sie sehen, es existiert bereits eine Standardrichtlinie für die Gerätetypbeschränkung und eine Standardrichtlinie für das Gerätelimit.
Diese Richtlinien sind bereits an „alle Benutzer“ zugewiesen und erlauben allen Benutzern alle Geräte zu registrieren, mit dem Limit von 5 Geräten.
Wenn Sie neue Beschränkungen erstellen möchten, klicken Sie auf „Einschränkung erstellen“.
Wählen Sie, ob Sie eine „Gerätelimiteinschränkung“ oder eine „Gerätetypeinschränkung“ definieren wollen und geben Sie der Richtlinie einen Namen.
Wenn Sie „Gerätelimiteinschränkung“ wählen, definieren Sie die maximale Anzahl der Geräte, die hinzugefügt werden dürfen.
Wenn Sie dagegen „Gerätetypeinschränkung“ wählen, können Sie zunächst die Plattformen wählen.
Abbildung 1.6: Plattformen
Alle gebräuchlichen Plattformen sind hier aufgelistet.
Sie sehen, hier wird zwischen „Android“ und „Android Arbeitsprofil“ unterschieden.
Ein „Android Arbeitsprofil“ ist eine vom Administrator eingerichtete Teilung auf einem Android Gerät.
Mit ihm werden geschäftliche Daten verwaltet, ohne die privaten Daten zu betreffen.
Im letzten Schritt weisen Sie die Richtlinie noch einer Gruppe zu.
Prioritäten
Nachdem die Richtlinie zugewiesen ist, sehen Sie, dass ihr eine Priorität zugewiesen wurde.
Abbildung 1.7: Priorität
Diese Prioritäten kommen dann zum Tragen, wenn ein Benutzer in mehreren Gruppen ist.
Für ihn gilt dann immer die Einschränkung mit der höchsten Priorität.
Wenn Sie mehrere Richtlinien haben, können Sie die Priorität ändern, indem Sie mit der Maus in der Liste auf die Beschränkung zeigen. Es erscheint dann vor der Zahl ein Symbol mit drei Punkten.
An diesem Symbol können Sie die Richtlinien „greifen“ und an eine andere Stelle ziehen. Damit können Sie die Prioritäten nach Ihren Wünschen anpassen.
Android ist bekanntlich das Betriebssystem von Google.
Um die automatische Registrierung von Android-Geräten zu aktivieren, bleiben Sie in der gleichen Konsole und wählen „Android-Registrierung“.
Abbildung 1.8: Android-Registrierung
Hier ist selbstverständlich, dass Sie zunächst ein Google-Play Konto benötigen, das Sie mit Microsoft Intune verknüpfen müssen.
Klicken Sie auf „Starten Sie Google, um jetzt eine Verbindung herzustellen“.
Abbildung 1.9: Herstellen einer Verbindung
Es öffnet sich ein Browserfenster, und Sie können sich mit Ihrem Google-Play Konto anmelden.
Abbildung 1.10: Anmeldung
Nun können Sie sich anmelden.
Abbildung 1.11: Unternehmensdaten
Hier geben Sie den Namen Ihres Unternehmens ein. Für den Enterprise Mobility Verwaltungsanbieter (EMM) sollte Microsoft Intune angezeigt werden.
Das Konto wird nun verknüpft. Dies sehen Sie in der Konsole.
Abbildung 1.12: Konto ist verknüpft
Danach beginnt die weitere Einrichtung, die stark von den Google-Einstellungen abhängig ist.
Abbildung 1.13: Weitere Einrichtung
Natürlich können Sie das Konto auch jederzeit wieder trennen.
Abbildung 1.14: Trennen
Mit Microsoft Intune können Sie natürlich auch iOS-Geräte automatisch registrieren.
Die Vorgehensweise umfasst mehrere Schritte.
Anfordern eines Apple-DEP-Tokens
Der erste Schritt bei der Registrierung von Apple-Geräten ist das Anfordern eines DEP (Device Enrollment Program) Tokens.
Es hat das Format .p7m. Mithilfe dieses Tokens können Informationen von Microsoft Intune mit Apple-Geräten interagieren.
Erstellen des Apple-MDM-Push-Zertifikats
In diesem ersten Schritt öffnen Sie die Microsoft Intune-Konsole und gehen zu
• Geräteregistrierung
• Apple-Registrierung
• Apple-MDM-Push-Zertifikat
Abbildung 1.15: Anfordern des Zertifikats
Sie bestätigen die Berechtigung, Benutzer- und Geräteinformationen an Apple zu senden.
Dann laden Sie die Zertifikatssignierungsanforderung herunter und speichern sie auf dem Rechner.
Diese Datei hat die Endung csr.
Abbildung 1.16: Zertifikatssignierungsanforderung
Nun klicken Sie auf „Eigenes MDM-Push-Zertifikat erstellen“.
Abbildung 1.17: MDM-Push-Zertifikat
Während der Erstellung des Zertifikats werden Sie nach der Zertifikatssignierungsanforderung gefragt, die Sie zuvor heruntergeladen haben.
Wählen Sie diese aus und laden Sie sie zur Erstellung des Zertifikats hoch.
Abbildung 1.18: Hochladen der Zertifikatssignierungsanforderung
Nun ist das Push-Zertifikat erstellt und Sie können es herunterladen.
Abbildung 1.19: Push-Zertifikat ist erstellt
Es hat die Endung .pem.
Nun geben Sie nur noch Ihre Apple-ID an und laden das Push-Zertifikat zu Apple hoch.
Abbildung 1.20: Hochladen des Zertifikats
Erstellen des DEP-Tokens
Nachdem das Push-Zertifikat zu Apple hochgeladen wurde, können Sie nun das DEP-Token erstellen.
Wählen Sie dafür „Token für das Registrierungsprogramm“.
Abbildung 1.21: Token erstellen
Erteilen Sie wieder die Erlaubnis, Daten zu senden und laden Sie den öffentlichen Schlüssel herunter.
Abbildung 1.22: Herunterladen des öffentlichen Schlüssels
Er hat die Endung .pem.
Die weitere Konfiguration erfolgt auf der Apple-Seite und ist relativ komplex. Sie ist nicht Bestandteil dieses Kurses.
Nachdem Sie alle Schritte abgeschlossen haben, können Sie ein Apple-Token herunterladen.
Erstellen eines Apple-Registrierungsprofils
Nachdem Sie alle Schritte ausgeführt haben, und das DEP-Token auf dem Rechner installiert ist, können Sie ein Apple-Registrierungsprofil erstellen.
Dazu öffnen Sie im Microsoft Intune-Portal
• Geräteregistrierung
•Apple-Registrierung
• Token für Registrierungsprogramm
Abbildung 1.23: Token
Sie sehen nun alle verfügbaren Token. Wählen Sie das Token aus, das Sie benutzen wollen und klicken Sie auf „Profile-Profil erstellen“.
Abbildung 1.24: Profil
Hier wählen Sie „macOS“ aus.
Abbildung 1.25: macOS
Nun geben Sie dem Profil einen Namen.
Danach wechseln Sie auf „Geräteverwaltungseinstellungen“.
Abbildung 1.26: Geräteverwaltungseinstellungen
Hier können Sie wählen, ob Sie mit oder ohne Benutzeraffinität registrieren möchten.
Abbildung 1.27: Benutzeraffinität
Mit Benutzeraffinität registrieren:
Das bedeutet, dass diese Einstellungen für Geräte gelten, die bestimmten Benutzern zugeordnet sind.
Ohne Benutzeraffinität registrieren:
Dies gilt für Geräte, die keinem Benutzer zugewiesen sind.
Sie können noch wählen, ob die Registrierung gesperrt sein soll.
Dies verhindert, dass ein Benutzer dieses Profil entfernen kann.
Im letzten Schritt legen Sie noch die Anpassungen für den Setup-Assistenten fest.
Abbildung 1.28: Anpassungen
Dies sind die Einstellungen, die der Benutzer sehen wird, wenn er sein Gerät anmeldet.
Klicken Sie nun auf „Überprüfen und erstellen“, damit das Profil erstellt wird.
Zuweisen des Registrierungsprofils an Geräte
Dies ist der letzte Schritt, den Sie ausführen müssen, Sie müssen das erstellte Profil an die gewünschten Geräte zuweisen.
Abbildung 1.29: Zuweisen des Profils
Im Endeffekt gibt es drei wichtige Punkte, die Sie bearbeiten müssen, wenn Sie ein Apple-Gerät registrieren möchten:
• Erstellen eines Device Enrollment Program (DEP)-Token
• Erstellen eines Apple-Registrierungsprofils
• Zuweisen des Apple-Registrierungsprofils
Eine letzte Frage stellt sich:
Wie können sich die Geräte registrieren?
Ganz einfach, dafür laden Sie auf die Geräte aus den jeweiligen App-Stores die „Microsoft Intune-Unternehmensportal-App“ herunter.
Abbildung 1.30: App
Diese können Sie auf den Geräten starten und Sie werden mit einem Assistenten durch die Registrierung geleitet.
Sollten Sie nicht die Premium Version von Azure Active Directory benutzen, also beispielsweise das Azure AD von Office 365, steht Ihnen die automatische MDM-Registrierung nicht zur Verfügung.
In diesem Fall müssen die Benutzer, die eine Verbindung mit Intune herstellen möchten, während der Registrierung den Intune-Servernamen eingeben.
Das ist nicht sehr benutzerfreundlich, deswegen sollten Sie hier einige Konfigurationsschritte vornehmen, um eine Registrierung trotzdem auf einfache Art und Weise und ohne Eingabe des Servernamens zu ermöglichen.
Die automatische Registrierung der Premium-Variante ist im Prinzip nichts anderes, als eine Weiterleitung der Anfragen an
•EnterpriseEnrollment-s.manage.microsoft.com
•EnterpriseRegistration.windows.net
Diese URL können anhand des E-Mail-Domänennamens die Registrierungsanfragen an den richtigen Intune-Dienst weiterleiten.
Die Lösung für die nicht vorhandene automatische Registrierung ist das Erstellen von CNAME DNS-Einträgen, die an die oben genannten Microsoft-Domänen weiterleiten.
Es werden zwei CNAMEs benötigt:
CNAME Eintrag
Verweist auf
EnterpriseEnrollment.company_domain.com
EnterpriseEnrollments.manage.microsoft.com
EnterpriseRegistration.company_domain.com
EnterpriseRegistration.windows.net
Microsoft 365 bietet eine vollständige Verwaltung aller Identitäten, also aller Benutzerkonten.
Die Konten werden in Azure AD angelegt und können dort verwaltet und bearbeitet werden.
Abbildung 1.31: Kontenverwaltung in Azure AD
Der Vorteil hierbei ist es, dass Sie alle Konten an einer zentralen Stelle verwalten können, die von jedem Standort aus zugänglich ist, da sie in der Cloud gespeichert ist.
Dieses Szenario eignet sich besonders, wenn Sie bisher keine lokale Kontenverwaltung hatten und somit eine Verwaltung neu erstellen möchten.
Abbildung 1.32: Kontenverwaltung in Active Directory
Allerdings wird es häufig eher so sein, dass Sie bereits einen lokalen Verzeichnisdienst betreiben und alle Benutzerkonten dort verwalten.
Dies ist die bisher gängige Benutzerverwaltung, nämlich mithilfe des Active Directorys in einer On-Premise Domäne.
Zum Glück ist es nicht so, dass Sie sich entscheiden müssen, welche Art der Kontenverwaltung Sie benutzen möchten, denn das würde ja unter Umständen bedeuten, dass Sie eine bestehende Active Directory Domäne auflösen, alle Konten zu Azure AD umziehen und neu konfigurieren müssen.
Dieser Aufwand wäre unendlich groß, unter Umständen würde sogar ein kompletter Stillstand des Unternehmens nötig werden. Das wäre keine gute Strategie.
Microsoft bietet Ihnen die Möglichkeit, beide Arten der Kontenverwaltung parallel zu nutzen, indem Sie die On-Premise Active Directory Domäne mithilfe eines Tools mit Namen „AD-Connect“ an Azure AD anschließen.
Durch eine solche Verbindung können Sie die Identitäten aus der On-Premise Domäne in die Cloud zu Azure AD replizieren lassen.
Abbildung 1.33: Replikation der Konten