Skip to content

beem Device Management konfigurieren – Microsoft Intune

Dieses Handbuch führt Sie durch die Verbindung von beem mit Microsoft Intune für das beem Device Management, damit der Konformitätsstatus der Geräte beim Netzwerkzugriff durchgesetzt werden kann.

Voraussetzungen

  • Der Benutzer, der die Anwendung in Microsoft Entra ID erstellt, muss über die Rolle Global Administrator, Application Administrator oder Cloud Application Administrator verfügen.
  • Der Benutzer, der das beem Device Management in Concerto anlegt, muss über die Berechtigung zum Anlegen des Profils verfügen (Rolle Enterprise Administrator).

Um das beem Device Management in Concerto anzulegen, benötigen Sie die folgenden Informationen aus der neu erstellten Entra-ID-Anwendung:

FeldWert
Directory (tenant) IDVerzeichnis-ID (Mandant) aus der Microsoft Entra ID-Anwendung
Application (client) IDApplication (client) ID aus der Microsoft Entra ID-Anwendung
Client SecretWert des Client-Geheimnisses

Erstellen Sie die Anwendung in Microsoft Entra ID

Melden Sie sich beim Microsoft Entra ID-Portal als Global Administrator, Application Administrator, oder Cloud Application Administrator an.

  1. Öffnen Sie Microsoft Entra ID – klicken Sie auf das Microsoft Entra ID-Symbol oder geben Sie „Microsoft Entra“ in das Suchfeld ein und wählen Sie das Microsoft Entra ID-Symbol aus.

  2. Klicken Sie auf App registrations.

  3. Wählen Sie All applications aus.

  4. Wählen Sie New registration aus.

  5. Geben Sie einen Namen für die Anwendung ein. Lassen Sie die übrigen Einstellungen unverändert und klicken Sie auf Register.

  6. Klicken Sie auf Manage.

  7. Wählen Sie API permissions aus.

  8. Wählen Sie Add a permission aus.

  9. Wählen Sie im Abschnitt Microsoft APIs die Anwendung Intune aus.

  10. Wählen Sie Application permissions aus.

  11. Geben Sie im Suchfeld für Berechtigungen get_device_compliance ein, wählen Sie die Berechtigung get_device_compliance aus und klicken Sie auf Add permissions.

  12. Wählen Sie erneut Add a permission aus.

  13. Wählen Sie Microsoft Graph aus.

  14. Wählen Sie Delegated permissions aus.

  15. Geben Sie in das Suchfeld für Berechtigungen AdministrativeUnit.Read.All ein, öffnen Sie den Container und wählen Sie die Berechtigung aus. Fügen Sie die folgenden Berechtigungen auf dieselbe Weise hinzu, falls sie bei der Erstellung der Anwendung noch nicht hinzugefügt wurden:

    • Device.Read
    • DeviceManagementApps.Read.All
    • DeviceManagementManagedDevices.PrivilegedOperations.All
    • DeviceManagementManagedDevices.Read.All
    • email
    • openid
    • profile
    • User.Read
    • User.ReadBasic.All
  16. Wenn alle Berechtigungen ausgewählt sind, klicken Sie auf Add permissions.

  17. Wählen Sie erneut Add a permission aus.

  18. Wählen Sie Microsoft Graph aus.

  19. Wählen Sie Application permissions aus.

  20. Geben Sie in das Suchfeld für Berechtigungen DeviceManagementManagedDevices.PrivilegedOperations.All ein, öffnen Sie den Container und wählen Sie die Berechtigung aus. Fügen Sie auf dieselbe Weise DeviceManagementManagedDevices.Read.All hinzu.

  21. Wenn alle Berechtigungen ausgewählt sind, klicken Sie auf Add permissions.

  22. Wählen Sie für Ihren Mandanten Grant admin consent aus.

  23. Klicken Sie auf Yes. Die erforderlichen Berechtigungen sind nun konfiguriert.

  24. Wählen Sie im Menü die Option Certificates & secrets aus.

  25. Klicken Sie auf New client secret.

  26. Geben Sie im Feld Description eine Beschreibung ein. Wählen Sie in der Dropdown-Liste Expires die für Sie passende Option aus oder behalten Sie die Standardeinstellung bei, und klicken Sie anschliessend auf Add.

  27. Kopieren Sie den Wert Value des Client-Secrets mithilfe des Kopiersymbols am Ende des Feldes. Sie benötigen diesen Wert für die Konfiguration in Concerto.

    ::: Warnung Notieren Sie sich jetzt den Wert des Client-Geheimnisses – er ist nicht mehr sichtbar, sobald Sie die Anwendung verlassen. :::

  28. Wählen Sie im Menü Overview aus.

  29. Kopieren Sie den Wert Application (client) ID und den Wert Directory (tenant) ID mithilfe des Kopiersymbols am Ende jeder Zeile. Sie benötigen beide Werte für die Konfiguration in Concerto.

beem Device Management hinzufügen

Melden Sie sich bei Concerto mit einem Benutzer an, der über die Berechtigung zum Erstellen eines beem Device Management verfügt (Rolle Enterprise-Administrator).

Zur Konfiguration des Profils benötigen Sie folgende Informationen:

FeldWert
NameEin Name für das Profil
DescriptionEine Beschreibung des Profils, z. B. Microsoft Intune MDM-Profil
TagsEin oder mehrere Tags, falls erforderlich
Directory (tenant) IDVerzeichnis-ID (Tenant) aus der Microsoft Entra ID-Anwendung
Application (client) IDApplication (client) ID aus der Microsoft Entra ID-Anwendung
Client SecretWert des Client-Geheimnisses
Authentication Domainlogin.microsoftonline.com
API Domaingraph.microsoft.com
  1. Wählen Sie im Mandanten Configure aus, dann Partner Integration und anschliessend Unified Endpoint Management.

  2. Wählen Sie Microsoft Intune aus und klicken Sie auf die Schaltfläche Get Started.

  3. Füllen Sie die Pflichtfelder mit den Angaben aus der obigen Tabelle aus.

  4. Klicken Sie auf die Schaltfläche Save. Die Konfiguration wurde erfolgreich gespeichert.

  5. Klicken Sie auf Publish (oben rechts), um die Konfiguration auf dem/den Gateway(s) zu veröffentlichen, damit sie aktiv wird.

  6. Klicken Sie im Fenster „Gateway-Veröffentlichungsstatus“ auf die Schaltfläche Publish.

    ::: Warnung Beim Veröffentlichen werden nicht nur diese Konfiguration, sondern auch alle ausstehenden Änderungen an anderen Konfigurationen übernommen. :::

Erstellen Sie eine Richtlinienregel, um den Konformitätsstatus des Geräts zu überprüfen

Melden Sie sich bei Concerto mit einem Benutzer an, der über die Berechtigung zum Erstellen einer Richtlinienregel verfügt.

  1. Wählen Sie im beem-Tenant nacheinander Configure, Secure Access, Client-based Access und Policy Rules aus.

  2. Klicken Sie auf die Schaltfläche Add.

  3. Führen Sie Schritt 1 (Betriebssystem) und Schritt 2 (Benutzer und Gruppen) durch. Klicken Sie in Schritt 3 (Endpoint-Sicherheitsstatus) im Bereich Device Compliance Status auf die Schaltfläche Customize.

  4. Wählen Sie die Option Managed Devices aus und legen Sie den entsprechenden Status fest. Sobald der Status festgelegt ist, klicken Sie auf „Zurück“ oder „Weiter“.

  5. Führen Sie die Schritte 4, 5 und 6 aus. Klicken Sie in Schritt 7 (Client Configuration) im Bereich Client Controls auf die Schaltfläche Customize.

  6. Geben Sie im Feld Certificate Issuer die Zeichenfolge Microsoft Intune MDM Device CA ein.

    ::: Warnung Die Angabe von Certificate Issuer ist zwingend erforderlich. Andernfalls übermittelt der Secure Access-Client bei der Verbindung zu Gateways keine Geräte-ID, sodass die richtige Richtlinie nicht zugeordnet werden kann. :::