Operations & Support
Runbooks, Troubleshooting-Guides und Berechtigungskonzepte fĂŒr den laufenden Betrieb eines Microsoft Intune Modern Workplace nach dem Concat Standard.
Ăbergang vom Projekt in den Betrieb (Transition)
Nach Abschluss der Projektabwicklung (siehe Projektabwicklung) wird die Umgebung in den regulĂ€ren Betrieb ĂŒbergeben. Die folgenden Punkte aus der Phase 5: Transition & Operations der Migrations-Roadmap sind die Grundlage fĂŒr einen erfolgreichen Betriebsstart:
Handover-Checkliste (aus der Migrations-Roadmap)
| AktivitÀt | Beschreibung | Status |
|---|---|---|
| Wissenstransfer | Schulung des 1st/2nd Level Supports â z. B. GerĂ€te-Wipe, BitLocker-Key auslesen, App-Zuweisung prĂŒfen | â |
| MSP-Onboarding | (Falls zutreffend) Aufschaltung via GDAP / Azure Lighthouse fĂŒr den Managed Service | â |
| Dekommissionierung | Abschaltung der Alt-Systeme (WSUS, lokale Printserver, SCCM) nach vollstĂ€ndiger Migration | â |
| Projektabnahme | Offizielles Abnahmeprotokoll durch den Kunden | â |
| Runbook-Ăbergabe | Alle operativen Anleitungen an den Support ĂŒbergeben und zugĂ€nglich machen | â |
| Eskalationspfade | Definition der Eskalationswege (1st â 2nd â 3rd Level / Concat Technical Lead) | â |
Der Ăbergang in den Betrieb darf erst erfolgen, wenn die Go-Live Checkliste vollstĂ€ndig abgearbeitet und von der Projektleitung abgenommen wurde.
Operative Kernbereiche im Ăberblick
1. GerÀte-Lifecycle (aus Windows Management)
Im laufenden Betrieb sind die folgenden Konfigurations- und Verwaltungsbereiche (aus Windows Management) tÀglich relevant:
| Bereich | Operative Aufgabe | Referenz |
|---|---|---|
| Autopilot | Neue GerÀte registrieren (Hardware-Hash Import), Autopilot-Profile zuweisen | Autopilot Profile |
| GerĂ€te-Reset | Wipe, Retire oder Fresh Start bei GerĂ€tewechsel, Verlust oder Offboarding | Runbooks â GerĂ€t zurĂŒcksetzen |
| BitLocker | Recovery-Keys im Entra ID auslesen und an User herausgeben | Runbooks â BitLocker |
| LAPS | Lokales Admin-Passwort bei Bedarf aus Entra ID abrufen (Vier-Augen-Prinzip) | LAPS & Admin-Rechte |
| Compliance | Non-Compliant Devices identifizieren und MaĂnahmen einleiten | Konfiguration |
2. Patch Management (laufender Betrieb)
Die Verwaltung von Windows-Updates ist eine der wichtigsten wiederkehrenden Aufgaben. Der Concat Standard unterscheidet:
| Methode | Voraussetzung | Automatisierungsgrad |
|---|---|---|
| Windows Autopatch (Standard) | M365 E3/E5 oder Windows Enterprise E3/E5 | Vollautomatisch (4 Ringe, automatisches Roll-back) |
| Manuelle Update-Ringe (Fallback) | Jede Intune-Lizenz | Manuell konfiguriert (Pilot â Fast â Broad) |
| Treiber-Updates | Intune Driver Update Management | Genehmigungs-Workflow |
Out-of-Band Patches: Notfall-Patches (Zero-Day-LĂŒcken) werden von automatisierten Routinen nicht abgedeckt und erfordern manuelles Eingreifen via Intune Expedited Updates. Siehe Patch Management.
3. Identity & Security Monitoring
Aus den in IdentitĂ€t & Sicherheit definierten Konfigurationen ergeben sich folgende operative Ăberwachungsaufgaben:
| Monitoring-Bereich | Was wird ĂŒberwacht? | Reaktion |
|---|---|---|
| Conditional Access | Anmeldefehler durch blockierte Legacy-Auth, nicht-konforme GerĂ€te | CA-Policy Logs in Entra ID prĂŒfen, User-Kommunikation |
| Break-Glass Accounts | Jede Anmeldung eines Break-Glass-Accounts | Sofortiger E-Mail-Alarm an Security-Team, Ursache klÀren |
| Defender for Endpoint | Alerts, Incidents, Threat Analytics | Automatische Investigation, bei Bedarf Live Response |
| ASR Rules | Blockierte Prozesse (False Positives?) | Audit-Log prĂŒfen, ggf. Ausnahmen dokumentieren |
| MFA-Registrierung | Neue User ohne MFA-Registrierung | Registrierungskampagne nachverfolgen |
Defender-Alerts priorisieren: Nicht jeder Alert erfordert sofortiges Handeln. Die automatische Investigation von Defender for Endpoint löst die Mehrzahl der Low/Medium-Severity-Alerts eigenstÀndig. Fokus sollte auf High-Severity und Incidents liegen.
4. User Lifecycle (On-/Offboarding)
Aus der Prozessualen Analyse ergeben sich klare operative AblĂ€ufe fĂŒr den laufenden Betrieb:
Onboarding (Joiner)
| Schritt | Verantwortlich | Details |
|---|---|---|
| Account-Erstellung | IT-Admin / HR-Schnittstelle | User in Entra ID anlegen (oder via Entra Connect Sync) |
| Gruppenzuweisung | IT-Admin | Dynamische Gruppen oder manuelle Zuweisung (Lizenz, Policies, Apps) |
| Lizenz-Zuweisung | Automatisch | Gruppenbasierte Lizenzierung (M365 E3/E5, Intune) |
| GerÀtebereitstellung | IT / Logistik | Autopilot User-driven oder Pre-provisioned |
| MFA-Einweisung | 1st Level / User selbst | Microsoft Authenticator registrieren, WHfB einrichten |
Offboarding (Leaver)
| Schritt | Verantwortlich | Details |
|---|---|---|
| Account-Sperrung | IT-Admin | Entra ID Account deaktivieren zum Stichtag |
| GerÀte-Wipe | IT-Admin | Remote Wipe via Intune (siehe Runbooks) |
| Lizenzentzug | Automatisch | Durch Entfernung aus Lizenzgruppe |
| Postfach-Handling | IT + Fachabteilung | Weiterleitung / Shared Mailbox nach Bedarf |
| Drittsysteme | IT-Admin | Zugriff auf Systeme auĂerhalb SSO manuell entziehen |
| Revisionssichere Dokumentation | IT-Admin | Alle Schritte im Ticketsystem protokollieren (DSGVO / ISO 27001) |
Sofortige Freistellungen: Bei auĂerordentlichen KĂŒndigungen muss ein Notfall-Prozess definiert sein. Die IT muss in der Lage sein, innerhalb von 30 Minuten den Account zu sperren, aktive Sessions zu invalidieren (Revoke-AzureADUserAllRefreshToken) und das GerĂ€t remote zu wipen.
Connector-Monitoring (On-Premises)
Sofern beim Kunden Intune Connectoren im Einsatz sind, mĂŒssen diese im laufenden Betrieb ĂŒberwacht werden:
| Connector | Monitoring-MaĂnahme | HĂ€ufigkeit |
|---|---|---|
| Intune Connector for AD | Service-Status auf dem Host-Server prĂŒfen, Event Logs ĂŒberwachen | TĂ€glich |
| Certificate Connector | Zertifikatsausstellung prĂŒfen, Event Logs unter Microsoft > Intune > CertificateConnectors | TĂ€glich |
| Entra Connect Sync | Sync-Fehler im Entra Connect Health Dashboard prĂŒfen | TĂ€glich |
Langfristiges Ziel: GemÀà der Concat-Strategie sollten On-Premises-Connectoren langfristig abgelöst werden (Cloud-native Ansatz mit Entra ID Join). Die Migration weg von Hybrid Entra Join reduziert die BetriebskomplexitÀt und den Wartungsaufwand erheblich.
Unterseiten
| Seite | Inhalt |
|---|---|
| Runbooks | Schritt-fĂŒr-Schritt-Anleitungen fĂŒr hĂ€ufige operative Aufgaben (Wipe, Autopilot-Registrierung, BitLocker-Key) |
| Troubleshooting | Bekannte Fehler und deren Lösungen (Autopilot-Timeout, Sync-Probleme, App-Installationsfehler) |
| RBAC Rollen | Berechtigungskonzept nach dem Least Privilege Prinzip (Wer darf was im Tenant?) |