Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird die Architektur einer Microsoft Intune-Bereitstellung beschrieben: die Cloud- und lokalen Komponenten sowie die Microsoft- und Drittanbieterprodukte, in die Intune integriert werden.
Eine Einführung in die Funktionsweise Intune finden Sie unter Was ist Microsoft Intune?. Eine konzeptionelle exemplarische Vorgehensweise zur Verwaltung von Identitäten, Geräten und Apps durch Intune finden Sie unter Microsoft Intune Kernkonzepte.
Das Diagramm organisiert eine typische Intune Bereitstellung in sieben Ebenen:
- Cloudsteuerungsebene: Von Microsoft gehostete Intune Dienste.
- Verwaltete Endpunkte: Geräte, die Intune verwaltet.
- Diensten der Endpunktfamilie: Microsoft-Produkte, deren Hauptzweck die Endpunktverwaltung ist.
- Connectors und Erweiterungen: cloudbasierte externe Dienste, mit denen Intune integriert werden können.
- Peerintegrationen: andere Microsoft-Produkte, die in Intune integriert werden.
- Partnerökosystem: Produkte und Dienste von Drittanbietern, die in Intune integriert werden können.
- Lokale Dienste: vom Kunden betriebene Infrastruktur, die in die Intune Cloud integriert ist.
Jede Ebene wird in den folgenden Abschnitten beschrieben.
Cloudsteuerungsebene
Die Cloudsteuerungsebene ist die Gruppe der von Microsoft gehosteten Dienste, die den Intune Mandanten bilden. Sie speichern Konfigurationen, stellen Richtlinien bereit, machen programmgesteuerte Schnittstellen verfügbar und zeigen die Administrator- und Benutzeroberflächen an.
| Komponente | Rolle |
|---|---|
| Microsoft Intune-Dienst | Die Cloudsteuerungsebene, die Konfigurationen speichert und die Richtlinienübermittlung orchestriert. |
| Microsoft Intune Admin Center | Webkonsole für Administratoren. |
| Microsoft Graph-API | Öffentliche Programmierschnittstelle. Jede Admin Center-Aktion wird durch einen Graph-API-Aufruf unterstützt. |
| Microsoft Intune Unternehmensportal App und Website | Benutzerseitige Oberfläche, die Geräte registriert, erforderliche Apps anzeigt und Compliance-status anzeigt. |
Verwaltete Endpunkte
Intune unterstützt die folgenden Plattformen: Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS und Windows. Spezielle Szenarien umfassen Kioske, Frontline-Geräte und robuste Hardware, die über plattformspezifische Registrierungspfade verwaltet wird.
Geräte werden über mehrere Modi unter verwaltung:
- Verwaltung mobiler Geräte (MDM): typisch für organization geräteeigene Geräte; Intune verwaltet das gesamte Gerät.
- Verwaltung mobiler Anwendungen (MAM): typisch für persönliche (BYOD)-Geräte; Intune verwaltet nur Arbeits-Apps und -Daten.
- Automatisierte Registrierung für hardwareeigene organization: Windows Autopilot, Apple Automated Device Enrollment und Android Enterprise.
Die vollständige Unterstützte Betriebssystemmatrix finden Sie unter Unterstützte Betriebssysteme und Browser für Intune.
Diensten der Endpunktfamilie
Endpunktfamiliendienste sind Microsoft-Produkte, deren Hauptzweck die Endpunktverwaltung ist. Jede ist auf einen bestimmten Aspekt des Endpunktlebenszyklus spezialisiert.
| Dienst | Funktion der Einstellung | Geeignet in folgender Situation |
|---|---|---|
| Windows Autopilot | Cloudbasierte Bereitstellung für neue und vorhandene Windows-Geräte mit Optionen für benutzergesteuerte, selbst bereitstellende (Zero-Touch), Vorabbereitstellung und Zurücksetzen | Senden von Geräten direkt vom OEM an Endbenutzer oder Erneutes Umverwenden vorhandener Geräte im großen Stil |
| Windows 365 | In der Cloud gehostete Windows-Desktops (Cloud-PCs) | Remoteworker, BYOD, Auftragnehmer, regulierte Workloads |
| Automatisches Windows-Patchen | Verwalteter Updatedienst für Windows, Microsoft 365 Apps for Enterprise, Microsoft Edge, Microsoft Teams und Gerätetreiber und Firmware | Reduzieren der manuellen Updateverwaltung |
| Endpunktanalyse | Telemetriedaten und Empfehlungen zur Geräteintegrität und -leistung | Identifizieren von Leistungsproblemen und Reduzieren des Helpdeskvolumens |
Connectors und Erweiterungen
Connectors und Erweiterungen sind cloudbasierte externe Dienste, mit denen Intune integriert werden können. Sie haben keinen lokalen Speicherbedarf. Intune kommuniziert mit ihnen über das Internet.
| Connector | Rolle |
|---|---|
| Microsoft Cloud PKI | In der Cloud gehostete PKI, die SCEP-Zertifikate für Intune verwaltete Geräte ausstellt, verlängert und widerruft, ohne dass lokale AD CS, NDES oder der Zertifikatconnector erforderlich sind. Unterstützt eine vollständig in der Cloud gehostete Hierarchie oder Verankerung in Ihrem vorhandenen privaten Stamm (BYOCA). |
| Apple Business/VPP | Tokenbasierte Integration für die Apple-App-Übermittlung. |
| Apple Push Notification Service (APNs) | Erforderlich für die Apple-Geräteverwaltung. |
| Managed Google Play | Android Enterprise-App-Katalog. |
| Microsoft Store | Integrierter Katalog für Windows-Apps. |
Peerintegrationen
Peerintegrationen sind Microsoft-Produkte, die zusammen mit Intune funktionieren. Sie haben ihren eigenen Hauptzweck; Die Integration mit Intune ist eine von vielen Verwendungsmöglichkeiten.
| Produkt | Rolle |
|---|---|
| Microsoft 365-Apps | Bereitstellung auf verwalteten Endpunkten über Intune. |
| Endpunktsicherheit in Microsoft Defender | Leitet Echtzeit-Geräterisikosignale in Intune Entscheidungen zur Konformitätsbewertung und zum bedingten Zugriff ein. Dient auch als MTD-Quelle (Mobile Threat Defense) für iOS, iPadOS und Android. |
| Copilot in Intune | Microsoft Security Copilot Funktionen werden im Microsoft Intune Admin Center angezeigt. |
| Microsoft Purview | Vertraulichkeitsbezeichnungen und DLP-Richtlinien (Endpoint Data Loss Prevention), die für Daten auf Intune verwalteten Geräten gelten. |
Partnerökosystem
Das Partnerökosystem umfasst Produkte und Dienste von Drittanbietern, die über dokumentierte APIs, Connectors oder Konfigurationsmuster in Intune integriert werden können.
| Kategorie | Beschreibung und Beispiele |
|---|---|
| Mobile Threat Defense-Partner (MTD) | Drittanbieterdienste, die Geräterisikosignale in Intune einspeisen. Beispiele: Lookout, Zimperium, Check Point. Endpunktsicherheit in Microsoft Defender ist auch eine MTD-Quelle: siehe Peerintegrationen. |
| Geräte-Compliance-Partner | Nicht Intune MDMs, die zur MDM-Autorität für zugewiesene Benutzergruppen werden und den Gerätekonformitätsstatus für Intune bedingten Zugriff in Microsoft Entra ID melden. Unterstützt unter Android, iOS, iPadOS und macOS. Beispiele: Jamf Pro, Ivanti EPMM, BlackBerry UEM, Omnissa Workspace ONE, Kandji, SOTI MobiControl. |
| IT Service Management-Partner (ITSM) | Integration von Incidents und Ressourcen. Beispiele: ServiceNow, Jira. |
| Remotesupportpartner | Remotesteuerung und Unterstützung. Beispiel: TeamViewer. |
| Geräteanbieterportale | Anbieterspezifische Verwaltung für Spezialhardware. Beispiele: Surface Management Portal, Lenovo, Intel vPro. |
| Partner für die Netzwerkzugriffssteuerung (Network Access Control, NAC) | Erzwingung des Zugriffs auf Netzwerkebene. Beispiele: Cisco ISE, Aruba ClearPass. |
Lokale Dienste
Lokale Dienste sind vom Kunden betriebene Infrastruktur, die in Ihrem Netzwerk ausgeführt wird und in die Intune Cloudsteuerungsebene integriert ist.
| Komponente | Rolle |
|---|---|
| Microsoft Tunnel Gateway | VPN-Gateway für iOS-, iPadOS- und Android Enterprise-Geräte und -Apps. Wird in einem Container auf Linux ausgeführt. |
| Microsoft Intune Certificate Connector | Brücken Intune zu Ihren lokalen Zertifikatdiensten, um SCEP- und PKCS-Zertifikate auszustellen, PFX-Zertifikate für S/MIME zu importieren und Zertifikate zu widerrufen. |
| Microsoft Configuration Manager | Lokales Peer zu Intune für Windows-Clients und -Server. Integration in Intune durch Co-Verwaltung und Mandantenanfügung. Weitere Informationen finden Sie unter Co-Verwaltung und Mandantenanfügung. |
Co-Verwaltung und Mandantenanfügung
Microsoft Configuration Manager ist der lokale Peer zu Intune für Windows-Clients und -Server. Es verwaltet Desktops, Windows-Server und Laptops in Ihrem Netzwerk oder über das Internet über das Cloudverwaltungsgateway. Konfigurations-Manager und Intune integration über:
- Co-Verwaltung: Ermöglicht Konfigurations-Manager und Intune die Verwaltung von Windows-Clients. Sie verschieben Workloads in Ihrem eigenen Tempo in die Cloud.
- Mandantenanfügung: Bringt Konfigurations-Manager verwaltete Geräte in das Intune Admin Center für Sichtbarkeit, Remoteaktionen, cloudbasierte Berichterstellung, Erstellung von Endpunktsicherheitsrichtlinien (Antivirus, ASR), CMPivot, PowerShell-Skripts, Anwendungsinstallationen und ein einheitliches Gerät Zeitleiste.
Mithilfe von Co-Verwaltung und Mandantenanfügung können Organisationen, die bereits Konfigurations-Manager ausführen, Intune Funktionen hinzufügen, ohne ihre Umgebung neu zu erstellen.