Microsoft Intune – Grundlagen
Geräte zentral verwalten, absichern und automatisch einrichten: Intune-Einstieg für IT-Allrounder im KMU-Umfeld.
Was ist Microsoft Intune und wann brauchst du es?
Microsoft Intune ist Microsofts cloudbasierte Lösung für MDM (Mobile Device Management) und MAM (Mobile Application Management). Kurz gesagt: Du verwaltest damit Endgeräte – Windows-PCs, iPhones, Android-Handys, Macs – zentral aus der Cloud, ohne physischen Zugriff.
Im KMU-Alltag kommt Intune ins Spiel, sobald du mehr als eine Handvoll Geräte hast und dir Fragen wie diese bekannt vorkommen:
- “Wie stelle ich sicher, dass alle Firmen-Laptops verschlüsselt sind?”
- “Der Mitarbeiter hat sein Handy verloren – wie lösche ich die Firmendaten?”
- “Können wir VPN-Profile und WLAN-Einstellungen automatisch ausrollen, statt jeden PC manuell zu konfigurieren?”
- “Wie verhindere ich, dass User mit einem veralteten Windows 10 auf Exchange zugreifen?”
Intune beantwortet all das. Es ist Teil von Microsoft 365 Business Premium sowie den Enterprise-Lizenzen E3/E5. Das Admin Center erreichst du unter intune.microsoft.com – früher auch bekannt als Microsoft Endpoint Manager, der Name ist aber seit 2023 weg.
Die drei Kernkonzepte: Enrollment, Compliance, Konfiguration
Intune dreht sich um drei Dinge, die du auseinanderhalten musst:
1. Enrollment – Gerät einschreiben
Damit Intune ein Gerät verwalten kann, muss es zuerst eingeschrieben (enrolled) werden. Erst dann kann Intune Richtlinien pushen, Apps deployen oder ein Remote Wipe auslösen.
2. Compliance Policy – Mindestanforderungen definieren
Eine Compliance Policy legt fest, welche Bedingungen ein Gerät erfüllen muss, um als “konform” zu gelten: BitLocker aktiv, PIN gesetzt, OS nicht älter als Version X, Antivirus läuft. Geräte, die nicht konform sind, können per Conditional Access (bedingter Zugriff in Entra ID) vom Zugriff auf M365-Dienste ausgesperrt werden.
3. Konfigurationsprofil – Einstellungen ausrollen
Mit Konfigurationsprofilen schiebst du Einstellungen auf verwaltete Geräte: WLAN-Passwörter, VPN-Konfigurationen, Startseitenvorgabe im Browser, BitLocker erzwingen, Windows Update-Verhalten steuern. Das ersetzt GPOs für Cloud-verwaltete Geräte.
Enrollment: Geräte einschreiben
Es gibt mehrere Wege, ein Windows-Gerät in Intune einzuschreiben. Welchen du wählst, hängt davon ab, ob es ein neues Gerät ist oder eines, das schon im Einsatz ist.
Variante A: Manuelles Enrollment (Bestehende Geräte)
Für Geräte, die bereits bei Usern sind:
- Win+I → Konten → Zugriff auf Geschäfts-, Schul- oder Unikonto
- Verbinden klicken
- Firmen-E-Mail-Adresse eingeben (UPN, z.B.
muster@firma.ch) - MFA-Bestätigung, fertig
Das Gerät ist jetzt in Intune eingeschrieben und bekommt innerhalb weniger Minuten die zugewiesenen Richtlinien.
Variante B: Azure AD Join (Neues Gerät, User richtet selbst ein)
Beim Windows-OOBE (Out-of-Box-Experience, also der Ersteinrichtung) statt eines lokalen Kontos die Firmen-E-Mail eingeben → Gerät joinst Entra ID und wird automatisch in Intune eingeschrieben – wenn die automatische MDM-Enrollment-Regel in Entra ID konfiguriert ist.
Automatisches MDM-Enrollment aktivieren:
In Entra ID Admin Center → Mobilität (MDM und MAM) → Microsoft Intune → MDM-Benutzerbereich auf Alle oder eine ausgewählte Gruppe setzen.
Variante C: Windows Autopilot (Empfehlung für neues Gerät-Rollout)
Autopilot ist der modernste Weg – und der, den du kennen solltest, wenn dein KMU neue PCs kauft. Die Idee: Der Lieferant (oder du vorab) registriert den Hardware-Hash des Geräts in Intune. Beim ersten Einschalten verbindet sich der PC mit dem Internet, erkennt sich selbst als Autopilot-Gerät, und richtet sich vollautomatisch ein – Intune-Enrollment, Konfigurationsprofile, Apps, alles ohne IT-Eingriff vor Ort.
Hardware-Hash importieren:
# Skript auf dem neuen Gerät ausführen (als Admin)
Install-Script -Name Get-WindowsAutoPilotInfo -Force
Get-WindowsAutoPilotInfo -OutputFile C:\autopilot-hash.csv
Die CSV dann in Intune hochladen: Geräte → Windows → Windows-Registrierung → Geräte → Importieren.
iOS / Android / macOS
- iOS/iPadOS: Apple MDM-Pushzertifikat in Intune hinterlegen, dann Geräte über das Intune-Unternehmensportal (App Store) einschreiben lassen. Für Firmeneigene Geräte: Apple Business Manager + ADE (Automated Device Enrollment).
- Android: Über Android Enterprise (Work Profile für BYOD, Fully Managed für Firmengeräte). Google-Konto für Managed Google Play verknüpfen.
- macOS: Apple MDM-Pushzertifikat + optional Apple Business Manager.
Compliance Policies einrichten
Eine Compliance Policy ist schnell gebaut. Navigiere zu:
Intune Admin Center → Geräte → Compliance → Richtlinien → Richtlinie erstellen
Plattform wählen (z.B. Windows 10 und höher), dann die Regeln:
| Einstellung | Typischer Wert KMU |
|---|---|
| BitLocker erforderlich | Ja |
| Sicherer Start muss aktiviert sein | Ja |
| Mindestversion OS | z.B. 10.0.19045 (Win 10 22H2) |
| Maximales Kennwortalter | 90 Tage |
| PIN/Kennwort erforderlich | Ja |
| Mindestkennwortlänge | 8 |
| Microsoft Defender Antimalware | Erforderlich |
Nach dem Erstellen die Policy einer Gruppe zuweisen (z.B. “Alle Geräte” oder eine spezifische Entra-ID-Gruppe).
Geräte, die die Policy nicht erfüllen, erscheinen im Dashboard unter Nicht konform – und wenn du Conditional Access aktiviert hast, können sie nicht mehr auf Exchange, Teams oder SharePoint zugreifen, bis sie konform sind.
Konfigurationsprofile: Einstellungen pushen
Konfigurationsprofile ersetzen im Intune-Umfeld das, was du vielleicht von GPOs kennst. Du findest sie unter:
Intune Admin Center → Geräte → Konfiguration → Erstellen → Neue Richtlinie
Für Windows empfiehlt sich der Einstellungskatalog (Settings Catalog) – dort findest du Tausende einzelner Windows-Einstellungen nach Kategorie durchsuchbar. Deutlich flexibler als die vorgefertigten Profiltypen.
Typische Konfigurationsprofile in einem KMU
WLAN automatisch deployen: Plattform: Windows 10 und höher → Profiltyp: Vorlagen → Wi-Fi → SSID, Sicherheitstyp, Passwort hinterlegen. Alle eingeschriebenen Geräte bekommen das WLAN automatisch, kein manuelles Einrichten mehr.
BitLocker erzwingen: Settings Catalog → BitLocker → “Require Device Encryption” aktivieren. Geräte ohne BitLocker verschlüsseln sich automatisch beim nächsten Check-In.
Windows Update steuern: Settings Catalog → Windows Update for Business → Update-Ring definieren: Qualitätsupdates mit 7 Tagen Verzögerung, Feature-Updates mit 30 Tagen. So testest du erst, bevor das Update auf alle 50 PCs geht.
Microsoft Defender Basishärtung: Unter Endpunktsicherheit → Antivirenprogramm kannst du Defender-Einstellungen als eigenes Security-Profil ausrollen.
Tipp: Microsoft liefert vorgefertigte Security-Baselines.
Intune Admin Center → Endpunktsicherheit → Sicherheitsbaselines
→ "Microsoft 365-Apps für Windows" oder "Windows-Sicherheitsbaseline"
Diese Baselines sind kuratierte Sammlungen von Best-Practice-Einstellungen direkt von Microsoft – perfekter Startpunkt, wenn du nicht von Null anfangen willst.
Apps remote deployen
Unter Apps → Windows kannst du Software auf verwaltete Geräte pushen:
- Microsoft Store-Apps (neue Store-Integration): direkt aus dem Store suchen und deployen
- Win32-Apps: MSI oder EXE als
.intunewin-Paket verpacken und hochladen - Microsoft 365 Apps: Office direkt aus Intune deployen, kein separates Setup nötig
Win32-App vorbereiten:
# IntuneWinAppUtil.exe herunterladen von GitHub (microsoft/Microsoft-Win32-Content-Prep-Tool)
.\IntuneWinAppUtil.exe -c C:\Quellen\7zip -s 7z2301-x64.exe -o C:\Output
# Ergibt: 7z2301-x64.intunewin
Diese Datei lädst du in Intune hoch, gibst Installations- und Deinstallationsbefehl an (7z2301-x64.exe /S für Silentinstall), setzt eine Erkennungsregel (z.B. Datei C:\Program Files\7-Zip\7z.exe existiert), und weist die App einer Gruppe zu.
Remote Actions: Was du aus der Ferne tun kannst
Sobald ein Gerät eingeschrieben ist, hast du im Intune Admin Center unter Geräte → [Gerät auswählen] folgende Aktionen zur Verfügung:
| Aktion | Wann sinnvoll |
|---|---|
| Synchronisieren | Richtlinien sofort anwenden, nicht auf nächsten Check-In warten |
| Neu starten | Remote-Reboot nach Update oder Richtlinienänderung |
| BitLocker-Schlüssel rotieren | Nach Sicherheitsvorfall |
| Remotesperre | Gerät sofort sperren (Verlust) |
| Zurücksetzen (Wipe) | Gerät auf Werkseinstellungen, alle Daten weg |
| Autopilot-Reset | Windows neu einrichten ohne Reimaging, Apps/Daten bleiben weg, Intune-Enrollment bleibt |
Troubleshooting: Wenn Richtlinien nicht ankommen
Gerät prüfen
# MDM-Diagnoseinfos auf dem Gerät sammeln
Start-Process "ms-settings:workplace"
# Dort: Infos → Diagnosebericht erstellen
# Alternativ: Event Viewer
eventvwr.msc
# → Anwendungs- und Dienstprotokolle → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider
Richtlinienstatus im Admin Center prüfen
Intune Admin Center → Geräte → [Gerät] → Gerätekonfiguration
Dort siehst du für jedes Profil, ob es erfolgreich angewendet wurde, ausstehend ist oder einen Fehler hat – mit Fehlercode.
Häufige Fehler und ihre Lösung
| Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| Richtlinie hängt auf “Ausstehend” | Gerät war lange offline | Gerät einschalten, mit Internet verbinden, dann “Synchronisieren” klicken |
| Enrollment schlägt fehl (Fehler 0x801c0003) | User hat keine Intune-Lizenz | Lizenz im Admin Center zuweisen |
| Compliance-Status “Nicht bewertet” | Gerät hat noch keine Compliance-Policy erhalten | Policy-Zuweisung prüfen, Gruppe korrekt? |
| App wird nicht installiert | Erkennungsregel schlägt fehl oder MSI-Switchs falsch | IntuneWinAppUtil neu packen, Erkennungsregel testen |
| BitLocker wird nicht aktiviert | TPM fehlt oder ist deaktiviert | TPM-Status prüfen: tpm.msc |
Sync erzwingen (wenn du nicht warten willst)
# Auf dem betroffenen Gerät (als Admin)
Start-Process "ms-settings:workplace"
# → Konto anklicken → Infos → Synchronisierung
Oder über das Admin Center: Gerät auswählen → Synchronisieren → bestätigen. Intune sendet innerhalb von 1–5 Minuten einen Push.
Intune vs. GPO: Was gilt wann?
In hybriden Umgebungen (lokales AD + Intune) gibt es oft Verwirrung, was Vorrang hat. Die kurze Antwort:
- GPOs gelten für Geräte, die in einer lokalen AD-Domäne sind und den DC erreichen können
- Intune-Richtlinien gelten für Geräte, die in Entra ID registriert sind (Azure AD Join oder Hybrid Join)
- Bei Hybrid Join (Gerät ist in beiden) können beide greifen – dann gilt: GPO gewinnt bei Konflikten für die meisten Windows-Einstellungen
Für neue Deployments empfiehlt Microsoft den reinen Cloud-Only-Ansatz (Azure AD Join, keine lokale AD-Domäne). Das ist für KMUs ohne eigenen Server heute oft der sauberere Weg. Wenn du noch einen lokalen AD hast, kannst du Geräte per Hybrid Entra ID Join in beide Welten einbinden – mehr Flexibilität, aber auch mehr Komplexität.
Mehr zur lokalen AD-Seite: Active Directory Grundlagen und GPO Grundlagen.
Checkliste: Intune-Basis für ein KMU einrichten
- Lizenz prüfen (M365 Business Premium oder Intune Add-on)
- Automatisches MDM-Enrollment in Entra ID aktivieren (MDM-Benutzerbereich → Alle)
- Erste Compliance-Policy erstellen und einer Testgruppe zuweisen
- Security-Baseline deployen (Endpunktsicherheit → Sicherheitsbaselines)
- BitLocker-Konfigurationsprofil ausrollen
- Windows Update-Ringe konfigurieren
- Ein paar Geräte manuell enrollen und Richtlinienstatus prüfen
- Erst nach erfolgreichem Test: Conditional Access aktivieren
Weiterführende Seiten auf diesem Wiki: M365 Übersicht, User & Lizenzen, IT-Security Grundlagen KMU, Workstation Setup.
Weiterlernen
- Microsoft Learn: Erste Schritte mit Microsoft Intune
- Microsoft Learn: Windows-Registrierungsleitfaden für Intune
- Microsoft Learn: Konfigurationsprofile – Übersicht
- Microsoft Learn: Konformitätsrichtlinien in Intune
- Microsoft Learn: Windows Autopilot-Profile konfigurieren
- Microsoft Intune Video Series 2025 (jorgep.com – kuratierte Videoliste)
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …