Microsoft Intune im Überblick

Intune als Bestandteil der Microsoft 365 Welt

Microsoft Intune ist ein cloudbasierter Dienst zur Verwaltung mobiler Geräte (Mobile Device Management, MDM) und mobiler Anwendungen (Mobile Application Management, MAM). Er ist vollständig in Microsoft 365 integriert und in den Lizenzmodellen Business Premium, Enterprise E3, F1 und F5 enthalten. Darüber hinaus ist Intune Teil der Microsoft-Suite Enterprise Mobility + Security (EMS).

Mit Intune können Unternehmen über eine zentrale Verwaltungsoberfläche, das Microsoft Endpoint Manager Admin Center, alle mobilen Endgeräte und Anwendungen ihrer Nutzer verwalten. Die Lösung ist tief verzahnt mit Azure Active Directory (Azure AD/neu: Entra ID) zur Identitäts- und Zugriffssteuerung sowie mit Azure Information Protection, das für Datenschutz und Verschlüsselung sensibler Daten sorgt.

Funktionen und Vorteile im Überblick

Die Einsatzbereiche von Intune sind vielseitig und strategisch wertvoll:

• Zugriffssteuerung: Intune regelt, welche Nutzer unter welchen Bedingungen Zugriff auf Unternehmensdaten und -netzwerke erhalten.
• Konformitätsrichtlinien: Geräte werden anhand definierter Sicherheitsstandards überprüft und als “konform” oder “nicht konform” eingestuft.
• App-Bereitstellung: Unternehmensanwendungen lassen sich zentral bereitstellen, authentifizieren und plattformübergreifend verwalten.
• Gerätekonfiguration: Einstellungen wie VPN, WLAN, Zertifikate oder Passwortrichtlinien lassen sich automatisiert konfigurieren.
• Remote-Funktionen: Verlorene Geräte können aus der Ferne gesperrt oder gelöscht werden.

Effizienzgewinn für IT-Teams

Durch den cloudbasierten Ansatz reduziert Intune den administrativen Aufwand erheblich. Ihre IT-Abteilung kann neue Geräte schneller bereitstellen, Sicherheitsrichtlinien einfacher durchsetzen und bleibt dabei flexibel gegenüber verschiedenen Betriebssystemen, wie Windows über iOS und Android bis hin zu macOS.

Gleichzeitig wird das Risiko von Datenverlusten oder unautorisiertem Zugriff bei gleichbleibend hoher Nutzerfreundlichkeit für die Mitarbeitenden signifikant gesenkt.

MDM mit Microsoft Intune: Geräte effizient verwalten

Firmeneigene und private Geräte zentral steuern

Microsoft Intune erlaubt die umfassende Verwaltung sowohl von unternehmenseigenen Geräten als auch von privaten Endgeräten im Rahmen von Bring Your Own Device (BYOD). Alle Geräte, ob Smartphone, Tablet oder Notebook, lassen sich in Intune registrieren und zentral über Profile, Sicherheitsrichtlinien und Konfigurationen verwalten.

Die IT-Abteilung erhält damit vollständige Transparenz über:

• den aktuellen Gerätebestand,
• installierte Software und verwendete Lizenzen,
• den Zugriff auf Unternehmensressourcen.

Plattformübergreifende Kontrolle mit einheitlichen Richtlinien

Intune unterstützt alle gängigen Plattformen, darunter Windows, iOS, Android und macOS. Für jede Plattform können spezifische Konfigurationsprofile definiert werden, etwa:

• Passwort- und PIN-Vorgaben,
• VPN- und WLAN-Einstellungen,
• Virenschutzrichtlinien oder
• Zertifikatbasierte Authentifizierung.

Diese Profile werden automatisch an die registrierten Geräte verteilt und gewährleisten, dass nur konforme Geräte auf Unternehmensdaten zugreifen können.

Sichere Trennung von Privat und Geschäft

Ein großer Vorteil von Intune ist die strikte Trennung von geschäftlichen und privaten Daten, insbesondere auf privaten Geräten. Während Mitarbeitende ihre Geräte weiterhin privat nutzen können, sorgt Intune dafür, dass sensible Firmendaten gesichert und separat behandelt werden.

Wichtige Merkmale:

• Keine Einsicht in private Inhalte: Die IT-Abteilung sieht keine persönlichen Fotos, Kontakte oder Apps.
• Bedingter Zugriff: Nutzer erhalten nur Zugriff auf bestimmte Ressourcen, wenn sie mit ihrem Firmenprofil angemeldet sind.
• Schutz durch App-Richtlinien: Selbst bei minimalem Zugriff (z. B. nur auf E-Mails oder Teams) greift ein zusätzlicher Schutz über App-Schutzrichtlinien und Multi-Faktor-Authentifizierung (MFA).

So ermöglicht Intune eine hohe Datensicherheit bei maximaler Flexibilität und Benutzerfreundlichkeit für die Mitarbeitenden.

MAM mit Microsoft Intune: Kontrolle über Anwendungen behalten

App-Schutz für geschäftskritische Anwendungen

Neben der Geräteverwaltung ermöglicht Microsoft Intune auch ein umfassendes Mobile Application Management (MAM). Damit können Unternehmen gezielt steuern, welche Anwendungen auf welchen Geräten genutzt werden dürfen, unabhängig davon, ob es sich um Firmengeräte oder BYOD handelt.

Mit Hilfe spezifischer Richtlinien wird sichergestellt, dass geschäftskritische Apps wie Microsoft Outlook, Teams oder OneDrive nur unter definierten Bedingungen genutzt werden dürfen mit aktiviertem Geräteschutz, bestimmtem Benutzerprofil oder eingeschränkten Funktionen.

Beispiele für App-Schutzrichtlinien:

• Einschränkung von Copy & Paste zwischen privaten und geschäftlichen Apps
• Verbot des Speicherns in unsicheren Cloud Diensten oder im Gerätespeicher

Gezielte App Zuweisung und App Verwaltung

Intune erlaubt die feingranulare Verteilung und Verwaltung von Apps:

• Zuweisung von Apps an bestimmte Benutzer oder Gruppen
• Konfiguration der App-Einstellungen vor der Installation
• Remote-Deinstallation oder selektives Löschen von Unternehmensdaten aus Apps
• Automatische Updates und Versionskontrolle

So wird sichergestellt, dass die eingesetzten Apps immer dem aktuellen Sicherheitsstandard entsprechen und DSGVO-konform betrieben werden.

Transparenz durch App-Nutzungsberichte

Ein weiteres Plus: Intune erstellt detaillierte Berichte über App Nutzung und Verhalten. Diese geben Aufschluss darüber, welche Anwendungen wie intensiv genutzt werden und ermöglichen gezielte Optimierungen durch Umverteilung von Lizenzen, Schulungsmaßnahmen oder die Stilllegung nicht benötigter Tools.

Windows Autopilot & Intune

Automatisierte Geräteeinrichtung per Cloud

Die Kombination von Windows Autopilot und Microsoft Intune bietet Unternehmen eine moderne, automatisierte Möglichkeit, neue Endgeräte bereitzustellen ohne aufwendige manuelle Konfiguration oder lokale IT-Unterstützung. Die Geräte lassen sich vollständig remote vorkonfigurieren, sodass Mitarbeitende sie sofort nach dem Auspacken in Betrieb nehmen können (Zero Touch Deployment).

Der Ablauf:

1. Das Gerät wird vorab im Intune Service registriert.
2. Beim ersten Start erkennt das System automatisch die Konfiguration.
3. Intune übernimmt die Zuweisung von Richtlinien, Anwendungen und Profilen.

Das spart nicht nur Zeit, sondern reduziert auch Fehlerquellen und schafft eine einheitliche Sicherheitsbasis.

Effiziente Wiederherstellung und Gerätelebenszyklus Management

Windows Autopilot kann nicht nur zur Ersteinrichtung, sondern auch zur Zurücksetzung und Wiederherstellung von Geräten genutzt werden, z.B. bei einem Mitarbeiterwechsel oder zur Behebung von Problemen. In Kombination mit Intune lässt sich so der gesamte Lebenszyklus eines Geräts standardisiert und sicher in der Cloud abbilden:

• Erste Konfiguration
• Laufender Betrieb inkl. Updates
• Rücksetzung auf Werkseinstellungen

Sicher, flexibel und benutzerfreundlich

Für die IT bedeutet das: weniger manueller Aufwand, mehr Kontrolle und schnellere Reaktionszeiten. Für die Mitarbeitenden wiederum verbessert sich die User Experience, da sie ohne komplexe Installationsprozesse direkt mit einem vollständig eingerichteten System arbeiten können inklusive aller benötigten Apps und Zugriffsrechte.

Sicherheitsrichtlinien gezielt umsetzen

Zentrale Richtlinien für maximale Kontrolle

Microsoft Intune ermöglicht es, unternehmensweite Sicherheitsrichtlinien plattformübergreifend zu definieren und auf Endgeräte auszurollen, unabhängig ob sie unter Windows 11, iOS, Android, macOS, Linux oder ChromeOS laufen. So lässt sich der Zugriff auf Unternehmensdaten gezielt kontrollieren und die Vertraulichkeit sensibler Informationen schützen.

Konformitätsrichtlinien: Geräte auf Standards prüfen

Über Konformitätsrichtlinien lässt sich definieren, welche technischen Mindestanforderungen ein Gerät erfüllen muss, um als compliant zu gelten. Dazu zählen:

• Aktivierung von Festplattenverschlüsselung (z. B. BitLocker)
• Software-Updates für Betriebssysteme
• Einsatz aktueller Antivirenlösungen
• Gerätesperre nach Inaktivität
• Einhaltung von PIN-/Kennwortrichtlinien

Nur Geräte, die diese Vorgaben erfüllen, erhalten über bedingten Zugriff (Conditional Access) Zugang zu Unternehmensressourcen.

App Schutzrichtlinien: Datenverluste verhindern

App Schutzrichtlinien bieten eine zusätzliche Sicherheitsebene vor allem auf BYOD-Geräten. Sie regeln den Umgang mit Unternehmensdaten innerhalb von Apps:

• Einschränkung von Speichern, Kopieren, Drucken und Weiterleiten
• Trennung von geschäftlichen und privaten App Inhalten
• Schutz sensibler Daten bei Geräteverlust oder Diebstahl

So lassen sich Datenschutzanforderungen und Compliance Vorgaben effektiv umsetzen.

Softwareverteilung & Updates automatisieren

Intune enthält eine integrierte Softwareverteilung, mit der genehmigte Anwendungen automatisiert auf Endgeräte ausgerollt werden können. Zusätzlich können Update Einstellungen für Betriebssysteme und Apps zentral definiert werden inklusive Zeitplänen und Benutzerinteraktion.

Mitarbeitende haben über das Microsoft Unternehmensportal (Company Portal) die Möglichkeit, Software bei Bedarf selbstständig zu installieren ohne Helpdesk-Ticket. Das steigert die Effizienz und reduziert den Supportaufwand.