Intune und Gruppenrichtlinien: Systeme im Griff behalten

Was ist eine Gruppenrichtlinie und wie funktioniert sie?

Gruppenrichtlinien werden manchmal als veraltete Technologie angesehen, da es sie seit der Einführung von Windows 2000 gibt. Microsoft hat es jedoch geschafft, sie relevant zu halten, indem es bei Bedarf neue Richtlinieneinstellungen eingeführt hat.

Der Hauptvorteil der Verwendung von Gruppenrichtlinien zur Anwendung von Sicherheitseinstellungen auf Ihre Geräte besteht darin, dass sie in ihrem Umfang äußerst granular sind. Es gibt viele einzelne Richtlinieneinstellungen, die es einem Unternehmen ermöglichen, seine Geräte in dem Umfang zu sperren, den es für angemessen hält.

Leider haben Gruppenrichtlinien einen großen Nachteil: Sie gelten nur für Windows-Geräte. Andere Betriebssysteme wie Linux oder macOS werden nicht unterstützt.

Um Gruppenrichtlinien optimal nutzen zu können, müssen die Windows-Geräte innerhalb eines Unternehmens einer Domäne angehören. Wenn ein Unternehmen eigenständige – oder nicht domänengebundene – Windows-Geräte sperren muss, kann es lokale Sicherheitsrichtlinien verwenden. Diese lokalen Richtlinien sind fast identisch mit Gruppenrichtlinien, basieren jedoch nicht auf Active Directory (AD).

Mit lokalen Sicherheitsrichtlinien kann ein Unternehmen fast dieselben Sicherheitseinstellungen wie mit Gruppenrichtlinien anwenden. Der Unterschied besteht jedoch darin, dass die IT diese Richtlinien nicht wie bei Gruppenrichtlinien zentral verwalten und anwenden kann.

Gruppenrichtlinien sind hierarchisch aufgebaut, was bedeutet, dass die IT Gruppenrichtlinienobjekte auf verschiedenen Ebenen der Hierarchie anwenden kann und alle relevanten GPOs zusammen die resultierende Richtlinie bilden. Diese GPOs können Computer- und Benutzereinstellungen enthalten, und IT-Administratoren können sie auf der Ebene der Domäne, des Standorts und der Organisationseinheit von AD anwenden. Lokale Sicherheitsrichtlinien sind ebenfalls in der Gruppenrichtlinienhierarchie enthalten und einige Organisationen verwenden sowohl lokale Sicherheitsrichtlinien als auch Gruppenrichtlinien zusammen. Der Grund für diese Vorgehensweise ist, dass bei einer Manipulation der Gruppenrichtlinien und dem Löschen kritischer Sicherheitseinstellungen die mit der Domäne verbundenen PCs durch die lokalen Sicherheitsrichtlinien geschützt bleiben. Dies gilt jedoch nur, solange die entsprechenden Einstellungen vorhanden sind und nicht durch übergeordnete Gruppenrichtlinieneinstellungen überschrieben werden.

Was ist Microsoft Intune und wie funktioniert es?

Microsoft Intune ist eine Cloud-basierte Plattform für die Geräteverwaltung. Der Hauptvorteil von Intune besteht darin, dass es nicht Windows-spezifisch ist. Microsoft Intune kann Sicherheitseinstellungen auf eine Vielzahl von Gerätetypen und Betriebssystemen anwenden. Diese Geräte müssen nicht mit einer Domäne verbunden sein. Sie müssen jedoch registriert sein, damit die IT-Abteilung sie mit Intune verwalten kann. Je nach Plattform unterscheidet sich die Funktionalität von Intune aber.

Ein weiterer großer Vorteil der Verwendung von Microsoft Intune besteht darin, dass es Benutzer, die von privaten Geräten aus arbeiten, sehr gut unterstützt. Benutzer können das Intune-Portal über den Webbrowser ihres Geräts öffnen und den einfachen Registrierungsprozess selbst durchführen, ohne dass die IT-Abteilung eingreifen muss. Wenn ein Benutzer von einem neuen oder zusätzlichen Gerät aus arbeiten möchte, registriert er das Gerät einfach und kann es dann sofort verwenden.

Intune funktioniert auch gut in hybriden Arbeitsumgebungen, in denen einige Benutzer remote arbeiten. Da Intune ein Cloud-basiertes Verwaltungssystem ist, kann es Sicherheitseinstellungen auf ein Gerät anwenden, unabhängig davon, wo das Gerät über das Internet verwendet wird. Im Vergleich dazu kann ein Benutzer, der remote mit einem domänengebundenen Gerät arbeitet, möglicherweise nicht immer eine Verbindung zu AD herstellen, um die neuesten Gruppenrichtlinieneinstellungen herunterzuladen. In einer solchen Situation müssen die lokalen Sicherheitsrichtlinien des Computers ausreichend sein, um den Computer auch ohne AD-Verbindung zu schützen. Mit Intune kann die IT-Abteilung jedoch festlegen, dass Richtlinieneinstellungen – oder sogar Aktualisierungen von Richtlinieneinstellungen – in Echtzeit auf die Geräte der Endbenutzer übertragen werden.

Obwohl Intune Geräte verwalten kann, ohne dass diese einer Domäne angehören, verwendet Intune Entra ID, früher bekannt als Azure AD. Intune kann die Vorteile von verzeichnisfähigen Funktionen wie Richtlinien für bedingten Zugriff oder Multifaktor-Authentifizierung nutzen.

Trotz seiner vielen Vorteile kann die Verwendung von Microsoft Intune auch einige Nachteile mit sich bringen. Ein potenzieller Nachteil sind die Kosten. Da Intune ein Cloud-Dienst ist, verkauft Microsoft ihn auf Abonnementbasis. Ein weiterer möglicher Nachteil ist die Lernkurve, die mit der Verwendung von Intune für die Geräteverwaltung verbunden ist. Die Verwendung von Intune ist zwar nicht besonders schwierig, unterscheidet sich jedoch erheblich von den Gruppenrichtlinien-Verwaltungstechniken, an die erfahrene Administratoren gewöhnt sind.

Schließlich bietet Intune nicht das gleiche Maß an Granularität wie Gruppenrichtlinien. GPOs können eine Vielzahl von Einstellungen umfassen, und Intune verfügt nicht über diese Tiefe. Intune bietet in vielen Anwendungsfällen ausreichende Verwaltungsfunktionen, aber IT-Administratoren müssen die verfügbaren Einstellungen überprüfen, um sicherzustellen, dass Intune ausreichende Kontrollmöglichkeiten bietet.

Microsoft Intune oder Gruppenrichtlinien verwenden?

Sowohl Intune als auch Gruppenrichtlinien haben ihre Vor- und Nachteile und keine der beiden Technologien ist in jeder Situation die bessere Wahl. Gruppenrichtlinien eignen sich besser für Windows-Umgebungen, in denen Benutzer hauptsächlich On Premises arbeiten. Intune eignet sich eher für Unternehmen, die eine Vielzahl von Gerätetypen verwenden und in denen Benutzer häufig remote und von privaten Geräten aus arbeiten.

Einige Unternehmen verfolgen einen hybriden Ansatz für die Gerätesicherheit und verwenden sowohl Gruppenrichtlinien als auch Intune. Nehmen wir zum Beispiel ein Unternehmen mit einer Sammlung Cloud-basierter virtueller Desktops, auf die Benutzer von ihren persönlichen Geräten aus zugreifen. Ein solches Unternehmen könnte Gruppenrichtlinieneinstellungen auf die virtuellen Desktops anwenden und Intune zur Sicherung der physischen Geräte verwenden. Es kann jedoch zu Problemen kommen, wenn diese beiden Richtlinien in irgendeiner Weise miteinander in Konflikt stehen.

Was passiert, wenn Gruppenrichtlinien und Intune widersprüchliche Richtlinien haben?

Wenn ein Unternehmen sowohl Gruppenrichtlinien als auch Intune verwendet, ist es für IT-Administratoren wichtig zu wissen, was passieren kann, wenn – aufgrund menschlicher Fehler oder technischer Probleme – eine GPO und eine Intune-Richtlinie miteinander in Konflikt stehen.

Laut Microsoft hat bei einem Konflikt die Gruppenrichtlinieneinstellung auf Domänenebene Vorrang vor der Intune-Einstellung. Windows 10 (1803 und höher) und Windows 11 enthalten jedoch eine Richtlinieneinstellung namens MDMWinsOverGP. Wenn diese Richtlinie aktiviert ist, stellt sie sicher, dass im Falle eines Konflikts die Intune-Einstellung Vorrang vor der Gruppenrichtlinieneinstellung hat.