In einem Mobile Device Mamangement System wie Microsoft Intune können mobile Endgeräte grundsätzlich in zwei Kategorien aufgeteilt werden, die den Besitzzustand beschreiben: Persönlich und Unternehmen. Typischerweise werden Geräte, die dem Unternehmen gehören auch als unternehmenseigen (company owned) definiert. Bringt ein Mitarbeiter beispielsweise sein eigenes Smartphone mit und unterzieht dies der Verwaltung durch das Unternehmen, wird es meist als persönlich (personal) kategorisiert.
Bei Microsoft Intune kann diese Unterscheidung bereits beim Geräteregistrierungsprozess (device enrollment) mitgegeben werden. Das hängt nämlich davon ab, wer das Gerät registriert. Üblicherweise kann das der Mitarbeiter selber. Jeder lizenzierte Intune-Benutzer darf (standardmäßig) bis zu fünf Geräte auf sich registrieren. Der Administrator kann die Anzahl nach unten, jedoch nicht nach oben anpassen. Sofern manche Mitarbeiter ihre Geräte nicht selber registrieren sollen, kann das beispielsweise durch die interne IT übernommen werden. Damit in diesem Fall aber nicht die Zugangsdaten des eigentlichen Benutzers ausgehändigt werden müssen, kann man in Intune einen Geräteregistrierungsmanager (Device Enrollment Manager) festlegen. Dieser Benutzer darf eine unbegrenzte Anzahl an Geräte registrieren und kann sich mit seinem Konto am Unternehmensportal anmelden, um Apps auf den mobilen Endgeräten zu installieren. Folgendes gilt es noch beim Einsatz des Geräteregistrierungsmanager zu beachten:
- Der Geräteregistrierungsmanager kann kein Intune Administrator sein
- Es wird eine Intune Lizenz benötigt
- Der Benutzeraccount muss vor der Einrichtung des Geräteregistrierungsmanager im Intune Kontenportal angelegt worden sein
- Der Geräteregistrierungsmanager kann keine Geräte über das Unternehmensportal zurücksetzen
- Richtlinien von zB dem Apple Store werden dadurch nicht außer Kraft gesetzt
Ein mobiles Gerät kann nicht “umregistriert” werden. Ein Wechsel von “Unternehmen” zu “Persönlich” ist nicht möglich; auch kann der Geräteregistrierungsmanager nicht durch den eigentlichen Benutzer ersetzt werden. Dies würde eine neue Registrierung zur Folge haben, die dann mit dem Konto des Benutzers und der Kategorisierung “Persönlich” durchgeführt wird.
Im obigen Beispiel wurden die Geräte “iPhone 6S” und “iPad mini 2” mit dem Geräteregistrierungsmanager bei Intune registriert, das iPhone 4S mit einem “normalen” Benutzerkonto.
Abgrenzung zu Intune in Verbindung mit dem System Center Configuration Manager 2012 R2:
Im SCCM gibt es aktuell keinen Geräteregistrierungsmanager. Dafür kann dort jederzeit der Gerätebesitzer (device owner) geändert werden.
Im SCCM können dafür Regeln basierend auf dem Gerätebesitzer angewendet werden. Man kann beispielsweise eine Devicecollection anlegen, die automatisch Geräte anhand dieser Kategorie aufnimmt.
Anschließend können Richtlinien auf diese Collection angewendet werden.
Diese Möglichkeit gibt es aktuell im Intune standalone nicht.
Viele Grüße
Dieter
—
Dieter Rauscher
MVP Enterprise Security