Wozu dient Microsoft Intune?: Vollständige Anleitung und praktische Anwendungen

Hybrid- und Remote-Arbeit Die Anzahl und Vielfalt der Geräte, die auf Unternehmensressourcen zugreifen, ist sprunghaft angestiegen. Die IT-Abteilung muss daher reibungslose Zugriffs-, Anwendungs- und Sicherheitsrichtlinien koordinieren. In diesem Szenario Intune hat sich als zentrales Steuerelement in der Cloud etabliert, um Endpunkte zu verwalten, Daten zu schützen und die Betriebskomplexität zu reduzieren.

Mehr als ein klassisches MDM, Intune kombiniert Geräteverwaltung (MDM), Verwaltung von Apps (MAM), bedingter Zugriff und erweiterte Sicherheits-, Analyse- und Automatisierungsfunktionen. Unterstützt von Windows, macOS, iOS/iPadOS, Android (einschließlich AOSP) und Ubuntu Desktop und lässt sich nativ in Microsoft 365 und das Microsoft Security-Ökosystem integrieren, um ein Zero Trust-Modell zu unterstützen.

Was ist Microsoft Intune und wozu dient es?

Microsoft Intune ist eine cloudbasierte Endpunktverwaltungsplattform. Es vereint Sicherheitsrichtlinien, Anwendungsbereitstellung und -lebenszyklus, Gerätekonfiguration und Zugriffskontrolle. Das Hauptziel ist zweifach: Der Schutz der unternehmenskritischen Informationen und gleichzeitig die Möglichkeit flexibler Arbeit der Mitarbeiter, unabhängig davon, ob sie unternehmenseigene oder private Geräte (BYOD) verwenden.

Intune Suite Fügt Premiumfunktionen hinzu, die Ihre Sicherheit und Ihren IT-Betrieb stärken: Remote-Hilfe, Endpoint Privilege Management, Advanced Analytics, Enterprise App Management, Microsoft Cloud PKI und Plan 2-Funktionen. Alle Funktionen lassen sich nahtlos in Microsoft 365 und Microsoft Security integrieren. Für die Nutzung der Suite ist ein Intune Plan 1-Abonnement erforderlich.

Der Wert für IT und Sicherheit Dies führt zu Vereinfachung (eine einzige Konsole und einheitliche Workflows), verbesserter Compliance und reduzierten Kosten durch die Konsolidierung von Anbietern und Lizenzen. Der Vorteil für die Benutzer: ein einheitliches Erlebnis, weniger Zugriffsprobleme und stets verfügbare und aktuelle Apps.

Hauptfunktionen und Vorteile

• Benutzer- und GeräteverwaltungVerwalten Sie Unternehmens- und Privatgeräte mit umfassender Plattformunterstützung (Android, Android AOSP, iOS/iPadOS, macOS, Windows und Ubuntu Desktop). Wenden Sie Richtlinien an, die den sicheren Zugriff auf Ressourcen basierend auf Benutzerprofil und Gerätestatus einschränken.
• End-to-End-Anwendungsmanagement: Apps bereitstellen, aktualisieren und außer Betrieb nehmen; mit privaten Stores verbinden; die Microsoft 365-Suite (einschließlich Teams) aktivieren; Win32- und Branchen-Apps veröffentlichen; und Schutzrichtlinien durchsetzen, um Datenlecks zwischen privaten und Unternehmenskontexten zu verhindern.
• Richtlinienautomatisierung- Erstellen Sie Konfigurations-, Sicherheits-, Compliance- oder bedingte Zugriffsrichtlinien und weisen Sie sie Benutzern oder Gerätegruppen zu. ADMX-Gruppenrichtlinienvorlagen um die Möglichkeiten zu erweitern. Endpunkte benötigen lediglich eine Internetverbindung, um sie zu empfangen, was die Standardisierung und Governance im großen Maßstab beschleunigt.
• Self-Service mit dem Unternehmensportal: Ermöglichen Sie Benutzern das Zurücksetzen von PINs oder Passwörtern, die Installation von Unternehmens-Apps, den Beitritt zu Gruppen oder die Verwaltung ihres Profils. Passen Sie das Portal an, um Supportanrufe zu reduzieren und das Benutzererlebnis zu verbessern.
• Allianz mit Mobile Threat Defense– Integrieren Sie Microsoft Defender für Endpunkt und Dienste von Drittanbietern für Echtzeit-Risikoanalysen, automatisierte Bedrohungsreaktionen und Richtlinien, die auf die Risikostufen der Geräte reagieren.
• 100 % webbasiertes VerwaltungszentrumVerwalten Sie Intune von jedem Browser aus mit datengesteuerter Berichterstattung. Jede Konsolenaktion führt Aufrufe an Microsoft Graph aus und ermöglicht so eine standardisierte API-basierte Automatisierung und Orchestrierung.
• Erweiterte Endpunktfunktionen mit Intune Suite: Remoteunterstützung, kontrollierte Rechteausweitung, Microsoft Tunnel für MAM, erweiterte Analysen und andere Add-Ons, die die Sicherheit und Effizienz erhöhen, sowie spezialisierten Support.
• Copilot in IntuneGenerative Analysen fassen Richtlinien zusammen, schlagen Konfigurationsempfehlungen vor, erkennen potenzielle Konflikte und unterstützen bei der Problemlösung auf Geräteebene. Integriert Security Copilot-Funktionen zur Beschleunigung der Entscheidungsfindung.
• Zusätzliche wichtige Kontrollen: Datenverschlüsselung, Remote-Löschung, Kennwortrichtlinie und Gerätebestandsverwaltung – entscheidend für eine robuste Governance und Einhaltung von Sicherheitsvorschriften.

Integration mit Microsoft-Diensten

• KonfigurationsmanagerKombinieren Sie lokales und Cloud-Management durch Co-Management oder Mandantenzuordnung. Nutzen Sie die Vorteile der Webkonsole und der Intune-Cloud-Funktionen, ohne die Kontrolle über erweiterte Server- und PC-Szenarien zu verlieren.
• Windows Autopilot: Stellen Sie dem Endbenutzer neue Geräte direkt vom OEM bereit oder versetzen Sie vorhandene Geräte in einen modernen Zustand, mit weniger IT-Eingriffen und einer angeleiteten Mitarbeitererfahrung.
• Endpunktanalyse: Einblick in die Leistung gewinnen, Zuverlässigkeit und Endbenutzererfahrung. Identifizieren Sie Richtlinien oder Hardware die die Produktivität beeinträchtigen, und handeln Sie proaktiv, um die Tickets zu reduzieren.
• Microsoft 365: Implementieren Sie die Produktivitäts-Apps und verwalten Sie Ihren identitätsgebundenen Lebenszyklus in der Microsoft-Anmelde-ID mit SSO und einheitlicher Datenzugriffskontrolle.
• Defender für Endpunkt: Erstellen Sie Dienst-zu-Dienst-Verbindungen, um Risiken zu bewerten, Dateien zu scannen und die Einhaltung der Vorschriften je nach Bedrohungsstufe durchzusetzen. In Kombination mit Conditional Access können Sie den Zugriff von nicht konformen Geräten blockieren.
• Windows-Autopatch: Automatisieren Sie das Patchen von Windows, Microsoft 365 Apps, Edge und Teams mit Intune als Engine, entweder mit direkter Registrierung oder gemeinsam mit Configuration Manager verwaltet. Windows Update für Unternehmen.

Integrationen mit Dritten

• Google Gemanagtes Spiel: Verbinden Sie Ihr Unternehmenskonto, um Ihren privaten Android App Store zu verwalten und Apps kontrolliert an Android Enterprise-Geräte zu verteilen.
• Apple (Token und Zertifikate): Integrieren Sie Apple Business Manager, um iOS/iPadOS und macOS zu registrieren, Volumenlizenzen zu verteilen und Überwachungsmodi zu aktivieren, die die IT-Kontrolle erweitern.
• TeamViewer: Bieten Sie sicheren Remote-Support, indem Sie Ihr Konto verknüpfen, um verwaltete Geräte aus der Ferne zu unterstützen, ohne die Rückverfolgbarkeit zu verlieren.
• Identität und ZTNA: Integrieren Sie Anbieter wie Okta, Ping oder Workspace ONE Access für erweiterte Authentifizierung und Zero Trust-Zugriffslösungen (z. B. Okta Access Gateway, Zscaler, F5, CrowdStrike), die Identität und Risikolage gegenüber dem Netzwerkstandort priorisieren.
• Bereitstellungsportale: Unterstützung für Android Enterprise, Google Zero Touch und Samsung Knox Mobile Enrollment, wodurch groß angelegte Registrierungen mit minimalem Aufwand möglich werden.

Verwaltungsmodelle: MDM, MAM oder beides

• MDM (Mobilgeräteverwaltung)Registrieren Sie Unternehmensgeräte bei Intune und verwalten Sie Identität, Apps, Einstellungen, Sicherheit und Compliance umfassend. Setzen Sie Richtlinien ab der Registrierung durch, damit Ihr Gerät sofort einsatzbereit ist.
• MAM (Mobile Application Management)Ideal für BYOD. Schützt Daten in Apps, ohne das gesamte Gerät verwalten zu müssen. Veröffentlichen Sie Apps, konfigurieren Sie Einstellungen, erzwingen Sie Updates und erhalten Sie Nutzungs- und App-Inventarberichte.
• MDM + MAM: Kombinieren Sie beides, wenn Sie zusätzliche Sicherheit für bestimmte registrierte Geräteanwendungen benötigen, und wenden Sie MAM-Richtlinien zum Datenschutz über die Gerätesteuerung an.

Datenschutz auf jedem Gerät

• Verwaltete Geräte: Setzen Sie Sicherheitsrichtlinien, Kennwortanforderungen, Zertifikate, Schutz vor mobilen Bedrohungen, Compliance-Metriken, bedingten Zugriff und Remote-Löschung durch. Ziel ist es, Unternehmensinformationen zu isolieren und zu schützen, ohne die Produktivität zu beeinträchtigen.
• Persönliche Geräte: Optionen anbieten. Vollständiges Opt-in für vollständigen Zugriff oder, wenn nur E-Mail oder Teams erforderlich sind, Schutz auf App-Ebene mit MFA und Richtlinien, die das Kopieren/Einfügen von Unternehmensdaten in persönliche Apps verhindern.
• Sicherheit für Anwendungen: Verwenden Sie MAM auch auf Geräten mit MDM von Drittanbietern. Kombinieren Sie es mit Conditional Access, um einzuschränken, welche Apps Unternehmens-E-Mails und -Dateien öffnen können, und bieten Sie die Möglichkeit, selektive Datenlöschungen innerhalb der App durchzuführen.

Vereinfachen Sie den Benutzerzugriff

• Windows Hallo fürs Geschäft: Ersetzen Sie Passwörter durch lokal gespeicherte PINs oder biometrische Daten, um das Phishing-Risiko zu verringern und die Anmeldung bei Geräten und Apps zu beschleunigen.
• VPN CorporateErstellen Sie Profile mit Check Point, Cisco, Microsoft Tunnel, NetMotion, Pulse Secure oder anderen für sicheren Fernzugriff. Verwenden Sie Zertifikate für die passwortfreie Authentifizierung und verbessern Sie so die Sicherheit und das Benutzererlebnis.
• Verwaltetes WLAN: Veröffentlichen Sie Netzwerke, Authentifizierungsmethoden, Proxys und automatische Verbindungen. Integrieren Sie Zertifikate, um manuelle Anmeldeinformationen überflüssig zu machen und den lokalen Zugriff zu sichern.
• Einmaliges Anmelden (SSO): Unter Windows erfolgt die Integration mit der Anmelde-ID und kann auf VPN und WLAN erweitert werden. Unter Apple verwenden Sie das Enterprise SSO-Plug-In. Unter Android übernehmen Sie die MSAL-Bibliothek für eine reibungslose Anmeldung.

Anwendungsmanagement: Funktionen nach Plattform

• Veröffentlichung und Zuordnung: Fügen Sie Apps Benutzern oder Geräten unter Windows, macOS, iOS/iPadOS und Android hinzu und weisen Sie sie ihnen zu. Unter iOS/Android können Sie sie auch nicht registrierten Geräten zuweisen. Dies gilt nicht für macOS/Windows.
• App-Einstellungen: Wenden Sie Konfigurationsrichtlinien an, um das Verhalten zu steuern Starten und App-Einstellungen auf iOS/Android; verwalten Sie Bereitstellungsprofile in iOS um Zertifikate vor ihrem Ablauf zu erneuern.
• Datenschutz in Apps- Wenden Sie MAM-Richtlinien für iOS/Android und gegebenenfalls Windows an. Für Windows-Szenarien eignen sich Windows MAM oder Microsoft Purview (Information Protection und DLP) für erweiterte und vereinfachte Richtlinien.
• Selektives LöschenEntfernen Sie nur Unternehmensdaten aus einer App, ohne persönliche Informationen zu beeinträchtigen. Überwachen Sie App-Zuweisungen, Installationsstatus und Schutzkonformität auf Benutzerebene.
• Mengenkäufe und App-TypenVerwalten Sie VPP-Lizenzen unter iOS und Windows, verteilen Sie interne (LOB-)Apps, Weblinks und Store-Apps. In Android Enterprise werden LOB-Apps privat im verwalteten Google Play Store veröffentlicht. Das Erstellen von Weblinks variiert je nach dediziertem Android-Gerätemodus.
• Aktualisierungen und Konvertierung: App-Updates automatisieren. Unter iOS ist die native Konvertierung in eine verwaltete App verfügbar, sodass Intune die Kontrolle über eine vorherige Installation außerhalb von MDM/MAM übernehmen kann.

Wo ist alles in der Intune-Konsole?

• Zugriff auf die Anwendungs-WorkloadMelden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu „Apps“. Dort werden Ihnen die wichtigsten Informationen zu Einrichtung, Zuweisung, Sicherheit, Konfiguration und Überwachung angezeigt.
• Allgemeine Informationen und alle Bewerbungen: Zeigen Sie Mandantendaten, MDM-Entitätsdetails sowie den Status von Installationen und Richtlinien an. Überprüfen Sie den App-Katalog, dessen Status und Zuweisungen und fügen Sie bei Bedarf neue hinzu.
• Überwachen: Überwachen Sie Volumenlizenzen, erkannte Apps, Installationsstatus, App-Schutzstatus und Konfigurationseinstellungen auf Benutzerebene, um die Einhaltung von Vorschriften und die Integrität der Umgebung sicherzustellen.
• Plattformen: Filtern Sie nach Windows, iOS, macOS oder Android, um den spezifischen Satz von Apps nach Betriebssystem anzuzeigen und zu verwalten.
• Verwaltete Anwendungen: Definieren Sie Schutz (MAM-Richtlinien), Konfiguration (Einstellungen pro App), iOS-Bereitstellungsprofile, zusätzliche Richtlinien für den S-Modus unter Windows, spezifische Richtlinien für Microsoft 365-Apps, selektives Löschen und Ruhezeiten für Apps.
• Anwendungen organisieren: Erstellen Sie Zuweisungsfilter zum Segmentieren, verwalten Sie App-Kategorien und verwalten Sie eBooks und Mengenkäufe von Apple oder Microsoft nach Bedarf.
• Hilfe und Unterstützung: Führen Sie Diagnosen durch, fordern Sie Support an und überprüfen Sie den Intune-Dienststatus von derselben Konsole aus, um die Problemlösung zu beschleunigen.

Zusätzliche Elemente im Zusammenhang mit Apps

• Signaturzertifikate– Verwalten Sie Windows-Zertifikate (Enterprise und Symantec), die zum Verteilen signierter LOB-Apps an verwaltete Geräte erforderlich sind.
• Sideloading-Schlüssel- Fügen Sie Schlüssel hinzu, um Apps direkt auf Windows-Geräten zu installieren, wenn der Workflow dies erfordert.
• Konfigurations-Manager-Connector: Überprüfen Sie Status, letzte Synchronisierung und Hierarchiedetails (2006 oder später) für eine konsistente gemeinsame Verwaltung.
• Apple Business Manager-Token: Beantragen und zeigen Sie Volumenlizenzen für iOS/iPadOS und macOS an und vereinfachen Sie so die Verwaltung Ihrer Apple-App-Flotte.
• Google Play verwaltet– Verwalten Sie die Ursprünge von Android Enterprise-Apps von Intune aus für einen sicheren und nachvollziehbaren Veröffentlichungsfluss.
• Anpassen des Unternehmensportals: Passen Sie das Portal an Ihre Marke an, um die Akzeptanz und Übersichtlichkeit zu verbessern und die Anzahl der Support-Tickets zu reduzieren.

EMM-Vorteile und reale Szenarien

• Einheitliche MobilitätsregierungVerwalten Sie sowohl firmeneigene als auch BYOD-Geräte über eine einzige Konsole. Benutzer registrieren sich, installieren Apps, erhalten E-Mails, WLAN- und VPN-Profile und kommunizieren über das Unternehmensportal mit dem Support.
• MAM Leckageschutzkontrollen: Legen Sie Richtlinien pro App fest, die unerwünschte Übertragungsaktionen einschränken, die Verschlüsselung ruhender Daten erzwingen, den Zugriff erzwingen und das Löschen von Unternehmensdaten pro App zulassen.
• PC-VerwaltungVerwalten Sie Geräte mit EMM oder verwenden Sie gegebenenfalls den Intune-Agenten. Ergänzen Sie die Lösung mit Configuration Manager für anspruchsvollere Server- und PC-Anforderungen.
• Bedingter Zugriff: Definieren Sie geräte- oder app-basierte Richtlinien, unterstützt durch Compliance-Richtlinien. Verwenden Sie diese Option, um den Zugriff auf Exchange zu erlauben oder zu blockieren, den Netzwerkzugriff zu steuern oder die Integration mit Mobile Threat Defense durchzuführen.

Best Practices für Tests, Onboarding und Rollen

• 30 Tage Testversion: Beginnen Sie mit einer kostenlosen Testversion, die bis zu 100 Benutzerlizenzen umfasst, um Verwaltungs- und Sicherheitsszenarien in Ihrer Umgebung zu validieren.
• Weniger PrivilegienVerwenden Sie Rollen mit minimalen Berechtigungen. Reservieren Sie die globale Administratorrolle für die Ersteinrichtung oder Notfälle, wenn eine bestimmte Rolle nicht geeignet ist, um die Risikofläche zu reduzieren.
• GründungsvorteilGreifen Sie auf Microsoft-Spezialisten zu, um Ihre Intune-Umgebung vorzubereiten, sofern Ihr Plan dies unterstützt. Beschleunigen Sie die Bereitstellung mit Remote-Support durch Experten.

So bleiben Sie über Service-Updates auf dem Laufenden

• Monatliche Neuigkeiten– Überprüfen Sie das Intune-Portal „Neuigkeiten“ regelmäßig (monatliche und manchmal wöchentliche Aktualisierung, beispielsweise nach der Veröffentlichung neuer Versionen des Unternehmensportals).
• Microsoft 365-Nachrichtencenter: Erhalten Sie Benachrichtigungen, die auf Ihr Abonnement zugeschnitten sind und ablaufen, wenn sie nicht mehr relevant sind. Mit der mobilen Verwaltungs-App können Sie Benachrichtigungen anzeigen und weiterleiten. Die Einstellungen enthalten einen Intune-spezifischen Filter.
• Offizielle BlogsMicrosoft nutzt Blogs, um Funktionen, Verbesserungen und Anwendungsempfehlungen bekannt zu geben. Folgen Sie diesen Kanälen, um Änderungen vorwegzunehmen und bewährte Methoden zu übernehmen.

Arten von Benachrichtigungen und übliche Fristen

• Änderungen in der Benutzererfahrung: Diese werden normalerweise 7–30 Tage im Voraus angekündigt und in „Neuigkeiten“ dokumentiert, sodass Sie die internen Richtlinien vor der Bereitstellung aktualisieren können.
• Änderungen, die Maßnahmen erfordern (Änderungsplan): Etwa 30 Tage im Voraus kommuniziert, mit einer bestimmten Bezeichnung und Aktionsfrist im Nachrichtencenter, um die Planung zu erleichtern.
• Aussetzungen und RückzügeZiel ist eine Kündigungsfrist von 90 Tagen für Sperrungen und von 12 Monaten für die Einstellung der Leistung. Bei der Nutzung von Drittanbietern kann die Kündigungsfrist je nach Ankündigung des externen Anbieters variieren.
• Außergewöhnliche Kommunikation: Nach Maßnahmen, die nach schwerwiegenden Vorfällen oder Änderungen ergriffen werden, werden E-Mails basierend auf den Einstellungen in Microsoft 365 an Administratoren gesendet, sofern eine gültige Kontaktadresse vorhanden ist.

Sprachunterstützung

• Azure-Portal: Unterstützt Deutsch, vereinfachtes und traditionelles Chinesisch, Tschechisch, Spanisch, Französisch, Englisch, Ungarisch, Indonesisch, Italienisch, Japanisch, Polnisch, Portugiesisch (Brasilien und Portugal), Russisch, Schwedisch und Türkisch.
• Intune Admin Center und mobile Apps: Sie umfassen auch Unterstützung für Dänisch, Griechisch, Finnisch, Norwegisch und Rumänisch, wodurch die Akzeptanz in globalen Teams verbessert wird.

Kurz gesagt: Microsoft Intune vereint Geräte- und Anwendungsverwaltung, Datenschutz, intelligenten Zugriff und Analysen auf einer einzigen Plattform und bietet umfassende Integrationen sowohl in das Microsoft-Ökosystem als auch in Drittanbieter-Lösungen. Durch die Kombination von MDM und MAM, bedingtem Zugriff, Bedrohungsabwehr und Automatisierung können Unternehmen ihre Abläufe standardisieren, ihre Risikofläche reduzieren und ihren Mitarbeitern die Freiheit geben, von überall aus mit der Sicherheit zu arbeiten, die ihr Unternehmen benötigt.

Verwandte Artikel:

Vollständige Anleitung zum Einrichten eines VPN unter Windows 11: Methoden, Tipps und Tricks

Holger

Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.