Intune für Einsteiger: Gerätemanagement ohne Enterprise-Komplexität

Warum Gerätemanagement auch für den Mittelstand wichtig ist

Gerätemanagement klingt nach Großkonzern-Thema: tausende Geräte, globale Rollouts, komplexe Richtlinien. Doch auch ein Unternehmen mit 30 Laptops und 50 Smartphones steht vor den gleichen grundlegenden Herausforderungen: Sind die Betriebssysteme aktuell? Ist die Festplattenverschlüsselung aktiv? Läuft ein aktueller Virenschutz? Was passiert, wenn ein Laptop gestohlen wird?

Ohne zentrales Gerätemanagement musst du diese Fragen für jedes einzelne Gerät manuell beantworten. Der IT-Admin läuft durch die Büros und prüft Einstellungen oder vertraut darauf, dass die Mitarbeitenden ihre Updates installieren. Das funktioniert bei 10 Geräten, bei 50 wird es unübersichtlich, und bei BYOD-Geräten (private Smartphones, auf denen geschäftliche E-Mails gelesen werden) hast du gar keine Kontrolle.

Microsoft Intune löst genau dieses Problem: Es verwaltet Endgeräte zentral über die Cloud, definiert Sicherheitsanforderungen per Richtlinie und setzt diese automatisch durch. Und da Intune in Microsoft 365 Business Premium enthalten ist, hast du es vermutlich bereits lizenziert, ohne es zu nutzen.

Was kann Intune?

Intune ist ein Unified Endpoint Management (UEM), das die Verwaltung von Desktops (Windows, macOS) und Mobilgeräten (iOS, Android) in einer Plattform vereint. Die Kernfunktionen:

Mobile Device Management (MDM):

• Geräte registrieren (Enrollment) und inventarisieren
• Compliance-Richtlinien definieren und durchsetzen
• Konfigurationsprofile verteilen (WLAN, VPN, E-Mail, Einschränkungen)
• Betriebssystem-Updates steuern
• Remote-Aktionen: Gerät sperren, Gerät zurücksetzen, Passcode zurücksetzen
• Verschlüsselung erzwingen (BitLocker, FileVault)

Mobile Application Management (MAM):

• Apps auf Geräte verteilen und aktualisieren
• App-Konfigurationsrichtlinien (z.B. E-Mail-Server-Einstellungen in Outlook)
• App Protection Policies: Unternehmensdaten innerhalb von Apps schützen, ohne das Gerät vollständig zu verwalten
• Selektives Löschen: Unternehmensdaten aus Apps entfernen, ohne persönliche Daten zu berühren

Conditional Access Integration:

• Geräte-Compliance als Bedingung für den Zugriff auf Cloud-Apps
• Nur konforme Geräte erhalten Zugriff auf Exchange, SharePoint, Teams etc.
• Für nicht verwaltete Geräte: App Protection Policies als alternative Bedingung

Enrollment: Geräte registrieren

Windows Enrollment

Für Windows-Geräte gibt es mehrere Enrollment-Methoden, je nach Ausgangssituation:

Windows Autopilot (empfohlen für neue Geräte): Neue Geräte werden beim Erststart automatisch in Intune registriert, konfiguriert und mit den notwendigen Apps versehen. Der Mitarbeitende startet den neuen Laptop, meldet sich mit seinem Unternehmenskonto an, und das Gerät konfiguriert sich selbst. Keine Berührung durch die IT nötig (Zero Touch Deployment).

Voraussetzung: Die Hardware-IDs der Geräte müssen im Vorfeld bei Microsoft registriert werden (über den Hardwarehändler oder manuell).

Entra ID Join (empfohlen für bestehende Geräte): Bestehende Windows-Geräte werden mit Entra ID verbunden und automatisch in Intune registriert. Der Benutzer geht in Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen > Verbinden und meldet sich mit seinem Unternehmenskonto an.

Hybrid Entra ID Join (für Unternehmen mit On-Premises AD): Geräte bleiben im lokalen Active Directory und werden zusätzlich in Entra ID und Intune registriert. Diese Methode eignet sich für Unternehmen, die ein lokales AD haben und dieses nicht sofort ablösen können.

macOS Enrollment

macOS-Geräte können über das Apple Business Manager (ABM) oder das Unternehmensportal (Company Portal) registriert werden. Die ABM-Methode ist für neue Geräte empfohlen, die Company-Portal-Methode für bestehende Geräte.

Mobile Enrollment (iOS und Android)

iOS: Über Apple Business Manager (ABM) für unternehmenseigene Geräte oder über die Company Portal App für BYOD.

Android: Über Android Enterprise mit verschiedenen Profilen:

• Fully Managed: Unternehmenseigene Geräte, vollständige Kontrolle
• Work Profile: BYOD-Geräte, separates Arbeitsprofil neben dem persönlichen Profil
• Dedicated Devices: Kiosk-Geräte (z.B. Lager-Scanner, Info-Terminals)

Enrollment-Empfehlung für den Mittelstand

Für ein mittelständisches Unternehmen mit 50-200 Mitarbeitenden empfehle ich folgenden Ansatz:

• Windows-Laptops: Entra ID Join für bestehende Geräte, Autopilot für neue Geräte
• macOS: Company Portal für bestehende, ABM für neue Geräte
• Firmen-Smartphones: Fully Managed (iOS) oder Work Profile (Android)
• BYOD-Smartphones: Kein Enrollment, stattdessen App Protection Policies (MAM without Enrollment)

Compliance-Richtlinien: Die Mindestanforderungen

Compliance-Richtlinien definieren die Mindestanforderungen, die ein Gerät erfüllen muss, um als "konform" zu gelten. Nicht konforme Geräte werden markiert und können durch Conditional Access vom Zugriff auf Unternehmensdaten ausgeschlossen werden.

Windows Compliance-Richtlinie

Geräteintegrität:

• BitLocker-Verschlüsselung erforderlich: Ja
• Secure Boot aktiviert: Ja (verhindert Boot-Kits)
• Code Integrity aktiviert: Ja

Betriebssystem-Version:

• Mindest-OS-Version: Windows 10 22H2 oder Windows 11 23H2 (an aktuelle Version anpassen)
• Empfehlung: Setze die Mindestversion auf die vorletzte unterstützte Version, damit Benutzer einen realistischen Zeitraum für das Update haben

Virenschutz:

• Microsoft Defender Antimalware aktiv: Ja
• Echtzeitschutz aktiv: Ja
• Antimalware-Definitionen aktuell: Ja (nicht älter als 3 Tage)

Passwort:

• Passwort erforderlich: Ja
• Mindestlänge: 8 Zeichen (besser 12)
• Maximale Inaktivität bis zur Bildschirmsperre: 5 Minuten

macOS Compliance-Richtlinie

Verschlüsselung:

• FileVault-Verschlüsselung erforderlich: Ja

Betriebssystem-Version:

• Mindest-OS-Version: macOS 14 Sonoma (oder aktuelle Hauptversion minus 1)

Passwort:

• Passwort erforderlich: Ja
• Mindestlänge: 8 Zeichen

System-Integrität:

• System Integrity Protection (SIP) aktiv: Ja
• Firewall aktiv: Ja

iOS Compliance-Richtlinie

Geräteintegrität:

• Gerät nicht jailbroken: Ja
• Mindest-OS-Version: iOS 17 (oder aktuelle Hauptversion minus 1)

Passwort:

• Passcode erforderlich: Ja
• Mindestlänge: 6 Zeichen
• Biometrie (Face ID / Touch ID) erlaubt: Ja

Android Compliance-Richtlinie

Geräteintegrität:

• Gerät nicht gerootet: Ja
• Google Play Integrity Check bestanden: Ja
• Mindest-OS-Version: Android 13 (oder aktuelle Hauptversion minus 2)

Passwort:

• Passcode erforderlich: Ja
• Mindestlänge: 6 Zeichen
• Biometrie erlaubt: Ja

Grace Period und Aktionen bei Nicht-Konformität

Wenn ein Gerät nicht konform ist, solltest du nicht sofort den Zugriff sperren, sondern eine abgestufte Reaktion konfigurieren:

1. Sofort: Gerät als nicht konform markieren (sichtbar im Intune-Portal und für den Benutzer in der Company Portal App)
2. Nach 1 Tag: E-Mail-Benachrichtigung an den Benutzer ("Dein Gerät erfüllt die Sicherheitsanforderungen nicht. Bitte aktualisiere...")
3. Nach 3 Tagen: Zweite Benachrichtigung an den Benutzer
4. Nach 7 Tagen: Zugriff auf Unternehmensressourcen über Conditional Access sperren
5. Nach 30 Tagen (optional): Remotelöschung des Geräts (nur bei unternehmenseigenen Geräten)

Diese Abstufung gibt den Benutzern Zeit, das Problem zu beheben (z.B. ein Betriebssystem-Update zu installieren), ohne den Geschäftsbetrieb sofort zu unterbrechen.

Konfigurationsprofile: Einstellungen zentral verteilen

Konfigurationsprofile automatisieren die Gerätekonfiguration, die sonst manuell pro Gerät vorgenommen werden müsste:

WLAN-Profil

Verteile die WLAN-Konfiguration automatisch, inklusive SSID, Sicherheitstyp und Zertifikat (bei WPA2-Enterprise):

• Benutzer verbinden sich automatisch mit dem Unternehmens-WLAN, ohne das Passwort manuell eingeben zu müssen
• Bei Wechsel des WLAN-Passworts wird die neue Konfiguration automatisch verteilt

VPN-Profil

Konfiguriere VPN-Verbindungen zentral:

• VPN-Typ: IKEv2, Always On VPN, oder Split Tunnel
• Per-App VPN: Nur bestimmte Apps nutzen die VPN-Verbindung (reduziert die Last auf dem VPN-Gateway)
• Automatische Verbindung: VPN wird automatisch aufgebaut, wenn auf bestimmte Ressourcen zugegriffen wird

E-Mail-Profil

Konfiguriere Outlook oder die native Mail-App automatisch:

• Exchange Online-Server, Benutzername (aus dem Entra ID-Profil)
• S/MIME-Zertifikate für E-Mail-Verschlüsselung
• Verhindert, dass Benutzer ihr geschäftliches E-Mail-Konto in nicht verwalteten Mail-Apps einrichten

Geräterestriktionen

Setze Einschränkungen, die die Sicherheit erhöhen:

Windows:

• Kamera auf dem Sperrbildschirm deaktivieren
• USB-Speichergeräte einschränken (optional, je nach Geschäftsanforderung)
• Cortana deaktivieren (Datenschutz)
• Telemetrie auf "Required" beschränken

iOS:

• Screenshots in verwalteten Apps einschränken
• iCloud-Backup für Unternehmensdaten deaktivieren
• Managed Open-In: Unternehmensdateien können nur in verwalteten Apps geöffnet werden

Android:

• Screenshots im Arbeitsprofil einschränken
• Copy/Paste zwischen Arbeitsprofil und persönlichem Profil einschränken
• Kamera im Arbeitsprofil deaktivieren (optional)

Windows Update-Verwaltung

Intune steuert die Installation von Windows-Updates:

Update Rings:

• Qualitätsupdates (Sicherheitsupdates): Automatisch nach 3-7 Tagen installieren (Verzögerung gibt dir Zeit, problematische Updates zu identifizieren)
• Feature-Updates (Hauptversionen): Automatisch nach 30-60 Tagen installieren
• Treiber-Updates: Manuell genehmigen oder automatisch installieren

Wartungsfenster:

• Updates nur außerhalb der Geschäftszeiten installieren (z.B. 22:00-06:00)
• Automatischer Neustart nach Update-Installation nur im Wartungsfenster

App-Deployment: Apps zentral verteilen

Intune verteilt Apps automatisch auf die verwalteten Geräte. Das eliminiert den manuellen Installationsprozess und stellt sicher, dass alle Geräte die gleichen App-Versionen haben.

App-Typen in Intune

Microsoft 365 Apps: Intune verteilt die Microsoft 365 Apps (Word, Excel, PowerPoint, Outlook, Teams) als Paket. Du definierst die enthaltenen Apps, den Update-Kanal und die Installationssprache.

Line-of-Business Apps: Branchenspezifische Anwendungen (.msi, .msix, .appx) kannst du direkt in Intune hochladen und verteilen. Für komplexere Installationen (z.B. EXE-Dateien mit Parametern) nutze Win32-App-Pakete.

Microsoft Store Apps: Apps aus dem Microsoft Store (neuerdings auch Win32-Apps) können direkt über Intune zugewiesen werden, ohne das MSI/EXE-Paket selbst zu verwalten.

Web Apps: Links zu Web-Anwendungen (z.B. interne Portale, SaaS-Anwendungen) werden als Verknüpfungen auf dem Desktop oder im Startmenü verteilt.

App-Zuweisung

• Required (Pflicht): Die App wird automatisch auf allen zugewiesenen Geräten installiert. Der Benutzer kann die Installation nicht verhindern.
• Available (Verfügbar): Die App wird im Intune Company Portal angezeigt und der Benutzer kann sie bei Bedarf installieren.
• Uninstall (Deinstallation): Die App wird von allen zugewiesenen Geräten entfernt.

Empfehlung: Verteile die Basis-Ausstattung (Office 365, Browser, VPN-Client, Sicherheitssoftware) als "Required" und branchenspezifische oder optionale Apps als "Available".

BYOD mit App Protection Policies (MAM)

Bring Your Own Device ist die größte Herausforderung für Gerätemanagement. Eine klare Mobile-Device-Richtlinie ist die Voraussetzung für kontrolliertes BYOD. Die Mitarbeitenden wollen ihre privaten Smartphones und Tablets für geschäftliche E-Mails und Dokumente nutzen, aber sie wollen nicht, dass die IT-Abteilung ihr persönliches Gerät kontrolliert. Und aus Datenschutzsicht ist Full Device Management auf privaten Geräten tatsächlich problematisch.

App Protection Policies (MAM without Enrollment) bieten einen Mittelweg: Du schützt die Unternehmensdaten innerhalb der verwalteten Apps, ohne das Gerät selbst zu verwalten. Das private Gerät wird nicht in Intune registriert, die IT-Abteilung sieht keine privaten Apps, Fotos oder Standortdaten.

Wie MAM funktioniert

App Protection Policies erstellen einen verschlüsselten Container innerhalb der verwalteten Apps (Outlook, Teams, OneDrive, Edge, etc.). Unternehmensdaten innerhalb dieses Containers sind geschützt, persönliche Daten außerhalb sind unberührt.

Schutzmaßnahmen:

• Data Transfer Restriction: Unternehmensdaten können nicht in nicht verwaltete Apps kopiert werden (z.B. kein Copy/Paste von einer geschäftlichen E-Mail in WhatsApp)
• Verschlüsselung: Offline-Daten innerhalb der verwalteten Apps werden verschlüsselt
• PIN/Biometrie: Zugriff auf verwaltete Apps erfordert eine separate PIN oder biometrische Authentifizierung
• Selective Wipe: Bei Austritt des Mitarbeitenden werden nur die Unternehmensdaten aus den verwalteten Apps gelöscht, nicht die privaten Daten
• Jailbreak/Root Detection: Auf kompromittierten Geräten wird der Zugriff auf verwaltete Apps blockiert

MAM-Richtlinien konfigurieren

iOS App Protection Policy:

• Apps: Outlook, Teams, OneDrive, Edge, Office
• Data Transfer: "Managed apps only" (Unternehmensdaten nur zwischen verwalteten Apps)
• Encryption: Ja
• Access: PIN erforderlich (mindestens 6 Ziffern), biometrisch erlaubt
• Offline-Zugriff: Maximal 720 Minuten (12 Stunden) ohne Netzwerkverbindung
• Jailbreak: Zugriff blockieren
• Mindest-OS-Version: iOS 17
• Selective Wipe: Nach 90 Tagen ohne Check-in

Android App Protection Policy: Analoge Konfiguration wie iOS, zusätzlich:

• Screen Capture: Blockieren (verhindert Screenshots von Unternehmensdaten)
• Backup: Unternehmensdaten von Google Backup ausschließen
• SafetyNet/Play Integrity: Erforderlich

MAM und Conditional Access kombinieren

Die eigentliche Stärke von MAM entfaltet sich in Kombination mit Conditional Access:

Conditional Access Policy für BYOD:

• Bedingung: Gerät ist nicht als konform markiert (nicht Intune-verwaltet)
• Bedingung: App = Office 365
• Grant: Require approved client app ODER Require app protection policy

Diese Policy erlaubt den Zugriff auf Office 365 von nicht verwalteten Geräten nur dann, wenn eine zugelassene App mit App Protection Policy verwendet wird. Der Benutzer kann Outlook auf seinem privaten iPhone öffnen (weil die App Protection Policy greift), aber nicht über den Safari-Browser auf OWA zugreifen (weil dort keine App Protection Policy aktiv ist).

Conditional Access Integration

Die Kombination von Intune und Conditional Access schließt den Sicherheitskreis:

Für unternehmenseigene Geräte:

• Intune prüft die Gerätecompliance (OS-Version, Verschlüsselung, Virenschutz)
• Conditional Access gewährt Zugriff nur, wenn das Gerät konform ist
• Nicht konforme Geräte werden blockiert, bis das Problem behoben ist

Für BYOD-Geräte:

• App Protection Policy schützt Unternehmensdaten in verwalteten Apps
• Conditional Access erlaubt Zugriff nur über verwaltete Apps mit App Protection Policy
• Browser-Zugriff wird blockiert oder auf Session-Kontrollen eingeschränkt

Für unbekannte Geräte (z.B. Hotel-PC):

• Conditional Access blockiert den Zugriff oder erlaubt nur eingeschränkten Browser-Zugriff
• Session Controls: Kein Download, kein Drucken, automatisches Timeout

Intune im ISMS

Intune adressiert mehrere ISO 27001-Controls:

A.8.1 (User Endpoint Devices):

• Geräteinventarisierung über Intune
• Compliance-Richtlinien als Mindestanforderungen
• Verschlüsselungserzwingung (BitLocker, FileVault)
• Remote Wipe bei Verlust oder Diebstahl

A.7.9 (Sicherheit von Vermögenswerten und Informationen außerhalb der Geschäftsräume):

• VPN-Profile für sichere Fernverbindung
• App Protection Policies für mobile Geräte
• Verschlüsselung von Offline-Daten
• Selective Wipe bei Geräteverlust

A.8.9 (Konfigurationsmanagement):

• Konfigurationsprofile als definierte Baseline
• Automatische Verteilung von Sicherheitseinstellungen
• Abweichungserkennung (Gerät meldet non-compliant, wenn Einstellungen geändert werden)

A.8.8 (Management von technischen Schwachstellen):

• Windows Update-Management über Update Rings
• Erzwingung von OS-Mindestversionen
• Integration mit Defender for Endpoint TVM und Patch-Management

A.6.2 (Arbeitsvertragliche Bedingungen):

• Acceptable Use Policy für BYOD (was darf die IT, was nicht?)
• BYOD-Vereinbarung (Einwilligung in MAM-Schutz)
• Trennungsprozess: Selective Wipe bei Austritt

Dokumentation im ISMS

Für das ISMS benötigst du folgende Dokumentation. In ISMS Lite lassen sich Compliance-Richtlinien, Konfigurationsprofile und BYOD-Vereinbarungen als TOMs dokumentieren und den ISO 27001-Controls zuordnen:

Gerätemanagement-Richtlinie:

• Welche Geräte werden verwaltet? (Unternehmenseigene, BYOD, beide?)
• Welche Plattformen werden unterstützt? (Windows, macOS, iOS, Android)
• Welche Enrollment-Methode wird verwendet?
• Was sind die Compliance-Mindestanforderungen pro Plattform?
• Welche Konfigurationsprofile werden verteilt?
• Wie werden Updates verwaltet?

BYOD-Richtlinie:

• Welche BYOD-Szenarien sind erlaubt?
• Welche Schutzmaßnahmen gelten für BYOD? (MAM, Conditional Access)
• Welche Daten darf der Benutzer auf dem privaten Gerät verarbeiten?
• Was passiert bei Geräteverlust? (Selective Wipe)
• Was passiert bei Austritt? (Selective Wipe, Frist)
• Einwilligungserklärung des Benutzers

Prozesse:

• Enrollment-Prozess für neue Geräte und neue Mitarbeitende
• Prozess bei Geräteverlust oder Diebstahl
• Prozess bei Mitarbeiteraustritt (Gerät zurückgeben / Selective Wipe)
• Prozess bei Nicht-Konformität (Eskalation, Fristen)
• Regelmäßige Überprüfung der Compliance-Richtlinien und Konfigurationsprofile

Schritt-für-Schritt: Intune in 4 Wochen einführen

Woche 1: Planung und Vorbereitung

1. Lizenzierung prüfen: Microsoft 365 Business Premium enthält Intune. Alternativ Intune Plan 1 als Standalone-Lizenz.
2. Scope definieren: Welche Geräte sollen verwaltet werden? Welche Plattformen? BYOD ja oder nein?
3. Compliance-Anforderungen definieren: Was sind die Mindestanforderungen pro Plattform?
4. Kommunikation vorbereiten: Die Mitarbeitenden informieren, was Intune macht und was die IT-Abteilung sieht (und was nicht). Transparenz schafft Akzeptanz.
5. Apple Push Notification Certificate beantragen (für iOS-Verwaltung erforderlich)
6. Android Enterprise-Konto einrichten (für Android-Verwaltung erforderlich)

Woche 2: Konfiguration und Pilotgruppe

7. Compliance-Richtlinien erstellen (pro Plattform)
8. Konfigurationsprofile erstellen (WLAN, E-Mail, Einschränkungen)
9. App Protection Policies erstellen (für BYOD)
10. Apps für die Verteilung konfigurieren (Office 365, Company Portal, VPN-Client)
11. Conditional Access Policies erstellen (Report-Only!)
12. Pilotgruppe enrollen (5-10 Geräte aus der IT-Abteilung)
13. Pilotgruppe testen: Compliance, Konfigurationsprofile, App-Installation, Conditional Access im Report-Only-Modus auswerten

Woche 3: Schrittweiser Rollout

14. Erste Abteilung enrollen (20-30 Geräte)
15. Feedback sammeln: Probleme identifizieren, Konfiguration anpassen
16. Conditional Access von Report-Only auf On schalten (für die Pilotgruppe und erste Abteilung)
17. Weitere Abteilungen enrollen
18. BYOD-Geräte mit MAM onboarden (separate Kommunikation an betroffene Mitarbeitende)

Woche 4: Abschluss und Dokumentation

19. Alle verbleibenden Geräte enrollen
20. Conditional Access für alle Benutzer aktivieren
21. Monitoring-Prozess etablieren (Compliance-Dashboard, Benachrichtigungen)
22. ISMS-Dokumentation erstellen (Gerätemanagement-Richtlinie, BYOD-Richtlinie, Prozesse)
23. Schulung für IT-Team (Intune-Portal, Troubleshooting, Remote Actions)

Monitoring und Betrieb

Dashboard und Berichte

Intune bietet ein umfangreiches Reporting-Dashboard:

Compliance-Dashboard:

• Anzahl konformer und nicht konformer Geräte (in Prozent und absolut)
• Nicht konforme Geräte nach Grund (z.B. OS veraltet, Verschlüsselung fehlt)
• Trend über die Zeit (verbessert sich die Compliance-Rate?)

App-Status:

• Installationsstatus pro App (erfolgreich, fehlgeschlagen, ausstehend)
• App-Versionen auf den Geräten

Windows Update-Status:

• Geräte mit ausstehenden Updates
• Feature-Update-Compliance (Anteil der Geräte auf der Ziel-Version)

Regelmäßige Aufgaben

Wöchentlich:

• Nicht konforme Geräte prüfen und Benutzer kontaktieren
• Fehlgeschlagene App-Installationen prüfen und beheben
• Neue Geräte und Enrollment-Anfragen bearbeiten

Monatlich:

• Compliance-Statistiken für das ISMS-Dashboard aufbereiten
• Windows Update-Status prüfen (sind alle Geräte auf aktuellem Patchlevel?)
• App Protection Policy-Berichte auswerten (gibt es Verstöße?)

Quartalsweise:

• Compliance-Richtlinien überprüfen (Mindest-OS-Version aktualisieren)
• Konfigurationsprofile auf Aktualität prüfen
• BYOD-Vereinbarungen überprüfen
• Geräteinventar mit HR-Daten abgleichen (ausgeschiedene Mitarbeitende, deren Geräte noch aktiv sind)

Häufige Fragen

Kann die IT meine privaten Fotos sehen? Nein. Bei MAM without Enrollment hat die IT keinen Zugriff auf das Gerät und sieht weder Fotos, Apps, Browserverlauf noch Standort. Bei MDM (Full Enrollment) sieht die IT den Gerätetyp, die OS-Version, die installierten Apps und den Compliance-Status, aber keine persönlichen Daten wie Fotos oder Nachrichten.

Was passiert bei Geräteverlust? Bei unternehmenseigenen Geräten: Remote Wipe (Gerät wird auf Werkseinstellungen zurückgesetzt). Bei BYOD mit MAM: Selective Wipe (nur Unternehmensdaten werden gelöscht, persönliche Daten bleiben erhalten).

Brauche ich Intune, wenn ich schon ein lokales AD und SCCM habe? Intune kann als Co-Management zusammen mit SCCM (jetzt Microsoft Configuration Manager) betrieben werden. Workloads können schrittweise von SCCM zu Intune migriert werden. Für neue Geräte empfiehlt sich Intune-only (Cloud-native Management), für bestehende Geräte mit komplexen SCCM-Konfigurationen ein schrittweiser Co-Management-Ansatz.

Funktioniert Intune auch ohne Internet? Intune erfordert eine Internetverbindung für das Enrollment und die regelmäßige Compliance-Prüfung (Check-in). Zwischen den Check-ins funktioniert das Gerät normal, auch offline. Der Standard-Check-in-Intervall beträgt 8 Stunden. Wenn ein Gerät längere Zeit offline ist (z.B. im Urlaub), wird es beim nächsten Check-in automatisch aktualisiert.

Weiterführende Artikel

• Microsoft 365 absichern: Die 15 wichtigsten Sicherheitseinstellungen
• Conditional Access in Entra ID einrichten: Richtlinien für den Mittelstand
• Microsoft Defender for Business: Lohnt sich der Umstieg vom klassischen Virenscanner?
• Mobile-Device-Richtlinie und BYOD: Regelungen für Smartphones und Tablets
• Sichere Remote-Arbeit und Homeoffice: Technische und organisatorische Maßnahmen