Ich habe Intune – brauche ich noch ein UEM?

«Wozu noch ein UEM – wir haben ja Intune? Können wir das bestehende UEM-System zur Verwaltung der mobilen Geräte nicht einfach mit Intune ablösen?»

Viele der Systemverantwortlichen unserer Kund:innen wurden bereits vor diese Frage gestellt – auch Sie? Mit der grossflächigen Umstellung von traditionellen Infrastrukturen auf moderne Cloud-Umgebungen und der Umstellung auf Microsoft Azure erwerben viele unserer Kund:innen auch gleichzeitig Microsoft Lizenzen, bei welchen bereits Intune als Geräteverwaltungslösung inkludiert sind.

Meist geht es nicht lange, bis die Geschäftsleitung oder die Finanzabteilung die Frage stellt, warum sie denn noch eine UEM-Lösung zur Verwaltung der mobilen Geräte betreiben, wenn die Firma doch nun über «gratis» Lizenzen zu Intune verfügt, da lasse sich doch viel Geld sparen!

Wie so oft, lässt sich diese Frage nicht so einfach beantworten. Ein paar Gedanken und Tipps zur Diskussion wollen wir ihnen hier vorstellen.

Riesige Datenquelle

Zuerst sollten wir betrachten, welche Rolle Intune im Microsoft-Ökosystem spielt. Microsoft Intune soll dazu dienen, unterschiedlichste Endpunkte an die Microsoft Cloud Services anzubinden und dabei möglichst viele Informationen in die Plattform einzubringen. Diese Informationen bieten für den Kunden ein Geräte-Inventar sowie die Möglichkeit, diese Geräte zu installieren und konfigurieren. So weit, so gut. Zudem erschliesst sich damit aber auch eine riesige Datenquelle zur Auswertung des Nutzer:innenverhaltens.

Diese Daten sind wertvoll, sowohl für die Kund:innen, welche damit bestimmte Konstellationen im Nutzer:innenverhalten erkennen und damit die Sicherheit optimieren können (Stichwort Conditional Access), aber auch für Microsoft. Denn damit lassen sich weitere (kostenpflichtige) Services anbieten. Für die meisten erweiterten Sicherheitsfunktionen müssen weitere Lizenzpakete aktiviert werden (z.B. Security und Compliance). Weiter soll Intune in Zukunft SCCM zur Verwaltung der Windows Clients direkt aus der Cloud ablösen.

Unterschied zu UEM-System

Bei all diesen wichtigen und gut implementierten Funktionen nimmt die Verwaltung von mobilen Endgeräten eine Nebenrolle ein. Oder anders ausgedrückt, solche Funktionen stehen nicht im Zentrum und werden auch nicht mit hoher Priorität behandelt. Und genau hier kommt der Unterschied zu einem vollwertigen UEM-System zum Tragen. Einige kleine Beispiele:

• Mit Intune werden Inventardaten (App, App-Versionen, Gerätedaten) nur verzögert in der Konsole dargestellt. Ein tagesaktuelles Inventar der Gerätezustände gibt es nicht und die Möglichkeit, entsprechend auf ihre Geräteflotte einzuwirken, existiert mit Intune nicht so wie in anderen UEM-Lösungen.
• Wenn dynamische Gruppen eingesetzt werden müssen, ist dies mit Intune schwierig umzusetzen. Diese werden nicht in real-time aktualisiert, sondern im schlimmsten Fall nur einmal täglich.
• Die Anbindung von on-premises Services in einem hybriden Umfeld gestaltet sich bei Intune komplizierter als bei anderen UEM-Anbietern. Microsoft hat mit Intune klar eine Cloud-First Strategie verfolgt.
• Intune funktioniert grundsätzlich benutzerorientiert. Wenn sie Anwendungsfälle, Gruppen oder Konfigurationen auf bestimmte Hardwareeigenschaften und Gerätetypen steuern müssen, werden Sie mit Intune Schwierigkeiten haben.
• Durch die starke Benutzerorientierung ist die Realisierung von Anwendungsfällen mit unpersönlichen Geräten schwieriger abzubilden.
• Intune unterstützt für mobile Endgeräte weniger Enrollment-Möglichkeiten als andere UEM Systeme. Es fehlen z.B. NFC, PIN, Barcode und weitere. Gerade bei spezifischer Hardware oder Rollouts in grossen Stückzahlen sind solche Möglichkeiten zentral.

Es gibt zahlreiche weitere Funktionen, welche in Intune fehlen, respektive noch nicht verfügbar sind. Es ist durchaus wahrscheinlich, dass diese Funktionen von Microsoft irgendwann mal nachgereicht werden aber unter der Berücksichtigung der Rolle welche Intune im Microsoft Ökosystem einnimmt ist fraglich, ob bei Weiterentwicklung des Produktes diese Funktionen wirklich Priorität haben.

Intune – oder doch nicht?

Wenn sie also in Ihrem Unternehmen mobile Geräte einsetzen und deren tiefgreifende Steuerung, Absicherung und Verwaltung wichtig sind (wie z.B. Blaulicht-Organisationen, Medizin, Behörden, Industrie, Sicherheitsbereich), werden Sie höchstwahrscheinlich mit dem heutigen Funktionsumfang von Intune nicht alle Anwendungsfälle abdecken können. Und dann?

Sie haben folgende drei Optionen:

1. Auf Intune setzen und auf die zusätzlichen Anwendungsfälle und Features verzichten.
2. Zwei Systeme einsetzen. Einmal Intune für die «einfachen» Anwendungsfälle und ein zweites System für die komplexen Anwendungsfälle. Dies bedeutet auch, zweifaches Know-How, doppelte Dokumentation, umständlichere Prozesse, usw.
3. Das bestehende UEM-System für die Verwaltung der mobilen Geräte weiterhin einzusetzen und zu betreiben.

In jedem Fall sollten Sie vermeiden, nur aus «Kostengründen» vorschnell auf Intune zu wechseln, um dann festzustellen, dass sich nicht alle Anwendungsfälle und Funktionen abbilden lassen. Dies kann sehr schnell noch teurer und aufwändiger werden.

Intune bietet im Zusammenhang mit der Azure Plattform und deren Diensten unschlagbare Vorteile und kann für zahlreiche Firmen das richtige Werkzeug zum Verwalten der mobilen Geräte sein, aber eben nicht für alle. Hier den Durchblick zu behalten ist anspruchsvoll. Falls Sie dazu Unterstützung benötigen, stehen Ihnen unsere Mobile-Experten mit ihrer Erfahrung zu verschiedenen UEM-Systemen und Intune gerne zur Verfügung. Wir freuen uns darauf, Sie dabei zu unterstützen, die richtige Entscheidung zu treffen.