Archiv für den Autor: Sven Schmittlein

Über Sven Schmittlein

Mein Name ist Sven Schmittlein, ich bin Gastautor auf Clientmgmt.de und arbeite seit circa 10 Jahren im Bereich System Center Configuration Manager. Angefangen habe ich bei einem weltweit agierendem IT-Dienstleister, mittlerweile bin ich in der Medizintechnikbranche gelandet und beschäftige mich mit allem rund um ConfigMgr, Office 365 sowie Windows- und MacOS-Client-Systemen. Ihr findet mich auch bei Twitter und Xing.

Intune App Protection: So unterbindet Ihr Copy & Paste

Veröffentlicht am 23.10.2017 um 10:16 Uhr von

In der heutigen Zeit ist es für viele Mitarbeiter selbstverständlich mit Ihren Smartphones von überall auf Firmendaten zuzugreifen. Als IT-Administrator steht man vor der Herausforderung, die Firmendaten so gut wie möglich zu schützen. Eine gute Möglichkeit hierfür bietet Intune App Protection.

Mit Intune App Protection könnt Ihr unterbinden, dass Eure Endanwender Firmendaten aus gemanagten Apps wie Outlook, OneDrive oder Teams in nicht gemanagte Apps wie Twitter oder WhatsApp kopieren können.

Die Konfiguration der Policy ist denkbar einfach.

  1. Ihr öffnet das Azure Portal
  2. In der Navigation links öffnet Ihr den Punkt „Intune App Protection“ solltet Ihr diesen nicht sehen findet Ihr ihn unter „More Services“.
  3. Dann klickt Ihr auf „App Policy“ > „Add a Policy“
  4. Dann vergebt Ihr einen Namen und wählt die Plattform aus für welche diese Policy gelten soll (Screenshot).
  5. Im Anschluss daran wählt Ihr unter „Select required Apps“ welche Apps gemanagt werden sollen. In meinem Fall alle Apps die in Office 365 inkludiert sind wie Outlook oder OneDrive (Screenshot).
  6. Anschließend wählt ihr „Configure required settings“ wie restriktiv ihr die Settings haben wollt. Wichtig sind die folgenden Punkte: „Allow app to transfer data to other apps“, „Allow app to receive data from other apps“, „Restrict cut, copy and paste with other apps“ diese sollten auf „Policy managed apps“ bzw „Policy managed with paste“ in stehen. Denn damit erlaubt Ihr euren Usern das Sie von z.B. OneDrive nach Teams kopieren können aber nicht nach Twitter.
  7. Ihr könnt auch noch einige andere Sachen festlegen z.B. ob beim Starten der App ein Pin oder der Fingerabdruck abgefragt werden soll.
  8. Nachdem ihr das Ganze mit „Ok“ bestätigt habt geht es an das Verteilen der Policy.
  9. Ihr seht nun unter App Policy Eure neu angelegte Policy mit einem Klick darauf öffnet sich erneut ein Konfigurations Fenster dort wählt Ihr „Assignments“ und wählt dann die AD Gruppe aus auf die Eure Policy wirken soll (Screenshot).
  10. Nach einer kurzen Replikationszeit (bei mir hat es im Durchschnitt ca. 30 Minuten gedauert) werden die Policys am iOS Gerät aktiv.

Für das Beispiel habe ich mein Privates und Geschäftliches Konto in die OneDrive App eingebunden.  Aus User-Sicht sieht das ganze dann so aus (Screenshot).

Öffne ich ein Dokument aus dem privaten Konto und versuche einen Text von dort in die Twitter-App zu kopieren funktioniert das ganze einwandfrei. Öffne ich ein Dokument vom geschäftlichen Konto und versuche einen Text von dort in die Twitter-App zu kopieren erscheint eine Meldung, dass dies nicht erlaubt ist:

Fehler „No Enrollment Policy“ nach der Umstellung von Intune ConfigMgr Hybrid auf Intune Standalone

Veröffentlicht am 05.09.2017 um 11:31 Uhr von

Solltet Ihr nach der Umstellung von Hybrid-MDM mit Configuration Manager auf Intune Standalone und beim anschließenden Registrieren Eurer Apple Geräte im Unternehmens Portal die Fehlermeldung „Gerät konnte nicht registriert werden. No Enrollment Policy“ erhalten, prüft bitte folgendes:

Ist im Device Enrollment Tab das Apple MDM Push Zertifikate als aktiv markiert?

  • Wenn ja hilft es unter Enrollment restrictions einmal alle Plattformen auf „Block“ zu setzen und anschließend wieder auf „Allow“.
  • Wenn nein, dann solltet Ihr Euer altes Zertifikate unter: https://identity.apple.com neuanfordern und in Azure bzw. Intune neu einbinden.

Eine wirklich gute Anleitung zur Umstellung findet ihr hier:

Kostenlose ConfigMgr-Tools aus der Community

Veröffentlicht am 29.08.2017 um 19:14 Uhr von

Nachdem ich Euch vor kurzem meine Lieblings Reports vorgestellt habe, möchte ich Euch in diesem Blog-Post einige Tools aus der Community vorstellen die man kennen sollte.

ConfigMgr Task Sequence Monitor von Trevor Jones (@trevor_smsagent)

Mit dem Task Sequence Monitor habt Ihr eure OSD-Installationen jederzeit im Blick und könnt bei Fehlern sofort reagieren. Es zeigt Euch detailliert welcher Step gerade ausgeführt wird, sowie die Start und Endzeit.

Solltet Ihr MDT in Eure ConfigMgr-Instanz integriert haben, greift das Tool auch diese Daten ab. Damit Ihr das Tool nutzen könnt müsst Ihr mindestens Powershell 3.0 auf Eurem Rechner installiert haben und der Account mit dem Ihr das Programm startet muss mindestens „db_reader“-Zugriff auf die ConfigMgr-Datenbank haben.

Link: ConfigMgr Task Sequence Monitor

ConfigMgr Client Health von Anders Rodland (@andersrodland)

Mit diesem Tool könnt ihr die Gesundheit der ConfigMgr-Clients überprüfen und defekte Clients automatisiert reparieren lassen. Das Tool erkennt und repariert u.a. folgende Dinge: kein Client installiert, falscher Sitecode, falsche Client Version, falsche Cache Größe, HW-Inventur fehlt, fehlerhafte WMI. Ihr könnt Euch die Ergebnisse anschließend entweder in eine SQL-Datenbank schreiben lassen oder die Log-Files auf einem Share ablegen.

Link: ConfigMgr Client Health

Driver Automation Tool von Maurice Daly (@modaly_it)

Momentan eines der angesagtesten Tools in der Community ist das „Driver Automation Tool“ von Maurice Daly. Es automatisiert den langwierigen Prozess, Treiber in die ConfigMgr-Umgebung einzubinden. Außerdem erlaubt es Euch Treiber direkt während einer Tasksequenz herunterzuladen und somit immer die aktuellsten Treiber in euer Image einzubinden. Momentan werden die Geräte von Acer, Dell, Lenovo, HP und Microsoft unterstützt.

Link: Driver Automation Tool

ConfigMgr Prerequisites Tool von Nickolaj Andersen (@NickolajA)

Sehr hilfreich wenn Ihr eine neue ConfigMgr-Infrastruktur aufbauen wollt oder eine bestehende umbauen. Es überprüft und installiert automatisiert alle Komponenten die für eine ausgewählte „Site System“-Rolle benötigt werden.

Link: ConfigMgr Prerequisites Tool

Dell Warranty Tool 3.0 console extension for ConfigMgr von Nickolaj Andersen (@NickolajA)

Ein weiteres Tool von Nickolaj Andersen, es integriert sich direkt in die ConfigMgr-Konsole und Ihr könnt Euch mit einem Klick den Garantiestatus Eurer Dell-Systeme anzeigen lassen. Eine gute Ergänzung zu den „Dell Warranty Reports“ von Garry Town.

Link: Dell Warranty Tool 3.0 console extension for ConfigMgr

Client Center for Configuration Manager von Roger Zander (@roger_zander)

Das „Client Center for Configuration Manager“ ist ein Allzwecktool für jeden ConfigMgr-Admin. Das Tool erlaubt Euch Remote und ohne den Anwender zu beeinträchtigen, den ConfigMgr-Client zu reparieren, Inventuren sowie Policy Downloads zu triggern und vieles mehr. Des Weiteren könnt Ihr auslesen welche Software dem Client gerade angeboten wird und z.B. eine sofortige Installation erzwingen. Beachtet das hierfür WinRM aktiviert sowie Powershell 4.0 installiert sein muss.

Link: Client Center for Configuration Manager

Log Launcher von Robert Marshall (@RobMVP)

Der „Log Launcher“ von Robert Marshall  stellt ebenfalls ein sehr nützliches Tool für diejenigen unter Euch da, die gern mal vergessen in welchem Ordner wichtige Logfiles liegen. Damit Ihr dieses Tool benutzen könnt müsst Ihr einen Logfile Viewer wie CMTrace auf eurem Rechner installiert haben.

Link: LogLauncher

Ihr kennt weitere hilfreiche Tools aus der Community? Lasst es mich über die Kommentarfunktion wissen.

Applikation wird trotz gelöschtem Deployment noch im Softwarecenter angezeigt

Veröffentlicht am 28.07.2017 um 15:14 Uhr von

Vor kurzem bat mich ein befreundeter ConfigMgr-Admin um Rat, da ein von ihm gelöschtes Deployment immer noch auf seinen Clients im Softwarecenter angezeigt wurde. Im Policy Spy, sowie im AppIntentEval.log konnten wir sehen, dass der Client immer noch die Policy mit der ID: „ScopeId_C99A464B-3E07-49AA-AF04-B875D5562376/RequiredApplication_1598d8fd-c03b-4a79-9559-5ce66d417917/VI“ heruntergeladen hat, obwohl die dazugehörige Application aus der ConfigMgr-Console gelöscht war. Auch das erneute Anfordern der Policys sowie ein Policy Reset mittels Client Center for Configuration Manager brachte keine Besserung. Mit den folgenden SQL Statements haben wir herausgefunden, dass die Policys immer noch in der Datenbank der CAS und der Primary Sites vorhanden waren.

Nachdem wir diese Einträge gelöscht hatten und die Clients ihre Policys erneuerten, wurde die gelöschte Applikation nicht mehr angezeigt. Solltet ihr mehreren Primary Sites im Einsatz haben müsst ihr die SQL Statments natürlich an allen Primary Sites ausführen.

ConfigMgr + Intune: MDM Authority-Fehler im Azure-Portal

Veröffentlicht am 09.07.2017 um 20:47 Uhr von

Kurz notiert: Solltet Ihr eine hybride ConfigMgr-Umgebung mit Microsoft Intune im Einsatz haben und Euch wundern warum ihr im Intune-Tab des Azure-Portals folgende Fehlermeldung bekommt:

Diese Meldungen sind normal, da der ConfigMgr als MDM-Authority gesetzt ist. Damit hat der ConfigMgr die Hoheit über Eure Intune-Umgebung und alle wichtigen Daten befinden sich in der ConfigMgr-Console.

Kostenlose ConfigMgr-Reports aus der Community

Veröffentlicht am 21.06.2017 um 22:00 Uhr von

Das Thema ConfigMgr-Reports ist ja immer so eine Sache, jeder kennt sie, die meisten nutzen sie und  einige erstellen sich sogar ihre eigenen. Genauso ist es auch bei mir, allerdings sind meine selbst erstellten Reports aus Zeitgründen meist eher als rudimentär zu bezeichnen. Ich bekomme zwar alle notwendigen Informationen, aber besonders chic sehen sie nicht aus. Deshalb möchte ich Euch heute einige Reports vorstellen, die direkt aus der ConfigMgr-Community kommen und ich für besonders empfehlenswert halte.

Distribution Point Dashboard Reports von Thomas Larsen (@kakemonstre)

Beim Distribution Point Dashboard Reports sieht man alle Informationen zu seinen Distribution Points. Des Weiteren helfen sie auch Fehler zu finden, wenn man z.B. erkennt das ein Distribution Point gar keine Client-Verbindungen besitzt, obwohl es Clients an diesem Standort vorhanden sind. Mein absoluter Favorit.

Link: Distribution Point Dashboard Reports

OS Deployment Dashboard von Thomas Larsen (@kakemonstre)

Ein weiterer Report von Thomas Larsen. Mit diesem Report könnt ihr sehen wie viele Rechner an einem Tag / in einer Woche installiert wurden, wie lange es gedauert hat und wie viele Installationen davon erfolgreich waren.

Link: OS Deployment Dashboard

SCCM Office 365 Inventory Report von den Systemcenterdudes (@scdudes)

Wer Office 365 nutzt und per ConfigMgr verteilt, möchte in der Regel auch wissen welche Versionen im Einsatz sind. Darüber hinaus ist oftmals interessant, welche Sprache installiert ist, ob Updates erlaubt sind usw. Mit diesem Report der Systemcenterdudes seht ihr fast alles auf einem Blick. Bitte beachtet, dass ihr bevor ihr diesen Report nutzen könnt, die Hardwareinventur um die Klasse „Office365ProPlusConfiguration“ erweitern müsst.

Link: SCCM Office 365 Inventory Report

Client Health Report von Trevor Jones (@trevor_smsagent)

„Client Health“ zählt in Zeiten von WannaCry und Co. zu einen der wichtigsten Aufgaben eines jeden ConfigMgr-Admins. Denn nur wenn die Clients „healthy“ sind, kann garantiert werden, dass sie alle sicherheitsrelevanten Updates bekommen. Mit diesem Report von Trevor Jones bekommt Ihr einen schnellen Überblick wie „healthy“ Eure ConfigMgr-Clients tatsächlich sind und müsst Euch die Informationen nicht mühsam aus mehreren Standard-Reports heraussuchen.

Link: Client Health Report

SCCM Configmgr Software update Compliance Report for multiple Software Update groups per collection von Eswar Koneti (@eskonr)

Das schon zuvor erwähnte Patchen von Clients und Server spielt natürlich auch beim Reporting eine große Rolle. Der Report von Eswar Koneti erlaubt es Euch die Compliance von mehreren Software Update Groups auf einer Seite darzustellen.

Link: SCCM Configmgr Software update Compliance Report for multiple Software Update groups per collection

Dell Warranty Report von Gary Town (@gwblok)

Meine „Service Desk“-Kollegen lieben diesen Report. Mit dem Dell Warranty Report lassen sich schnell und einfach die Support-Status von Dell-Geräten herausfinden. Damit Ihr den Report nutzen könnt, müsst Ihr bei Dell eine API beantragen und eine eigene Hardwareinventur-Klasse erstellen. Wenn dies erst einmal erledigt ist, dann erleichtern diese drei Reports von Gary Town auch Euren „Service Desk“-Kollegen das Leben ungemein.

Link: Dell Warranty Reporting via ConfigMgr – Dell Warranty API

Ihr kennt noch mehr hilfreiche Reports? Lasst es mich in den Kommentaren wissen.