Microsoft Intune – Endgeräteverwaltung, Compliance und Windows Autopilot für Ihr Unternehmen.

Meistern Sie die Herausforderung, Endgeräte mit unterschiedlichen Betriebssystemen einheitlich remote zu verwalten, mit Microsoft Intune Device Management.

Sichern Sie Ihre Microsoft 365 Umgebung besser ab, indem Sie genau bestimmen, unter welchen Bedingungen eine Anmeldung an Office 365 gestattet wird.

Endgeräte, die Sie nicht eindeutig als dem Unternehmen zugehörig identifizieren können, sollten keinen Zugriff auf Unternehmensdaten erhalten. Konfigurationsänderungen sollten unverzüglich auf alle Endgeräte (auch im Homeoffice) angewendet werden. Und nicht erst dann, wenn der Mitarbeitende wieder eine Verbindung per VPN zum Unternehmensnetzwerk aufbaut.

Und Gruppenrichtlinien sollten in naher Zukunft auf die neuen Konfigurationsvorlagen von Intune umgestellt werden.

Es gibt viel zu tun - Starten Sie heute mit der Implementierung von Microsoft Intune. Beantragen Sie Ihre Testlizenzen für Microsoft 365.

In den meisten Unternehmen existieren heute Windows-Laptops neben MacBooks, iPhones neben Android-Smartphones und vereinzelt Linux-Systeme. Ohne eine zentrale Verwaltung weiß niemand, welche Geräte auf Unternehmensdaten zugreifen, ob die Festplatten verschlüsselt sind, welche Softwareversionen installiert sind oder ob das letzte Sicherheitsupdate eingespielt wurde. Microsoft Intune löst dieses Problem als cloudbasiertes Mobile Device Management (MDM): Jedes Gerät wird in Intune registriert und erhält automatisch die Sicherheitsrichtlinien Ihres Unternehmens – BitLocker-Verschlüsselung, Firewall-Aktivierung, Passwort-Komplexität, automatische Updates. Nicht konforme Geräte werden erkannt und können bis zur Behebung vom Zugriff auf Microsoft 365 ausgeschlossen werden.

Für private Geräte (BYOD – Bring Your Own Device) bietet Intune zusätzlich Mobile Application Management (MAM): Hier wird nicht das Gerät, sondern nur die Unternehmensdaten innerhalb der Microsoft 365 Apps geschützt. Unternehmensdaten in Outlook, Teams und OneDrive sind verschlüsselt und vom privaten Bereich getrennt. Beim Ausscheiden eines Mitarbeitenden werden nur die Firmendaten selektiv gelöscht – private Fotos und Apps bleiben unberührt. In der Praxis setzen die meisten Unternehmen MDM für firmeneigene Geräte und MAM für private Geräte ein.

Klassische Gruppenrichtlinien (GPOs) haben einen entscheidenden Nachteil: Sie funktionieren nur, wenn das Gerät eine Verbindung zum Domänencontroller hat. Im Homeoffice, im Zug oder beim Kunden ist das ohne VPN nicht der Fall – Konfigurationsänderungen greifen erst, wenn der Mitarbeitende wieder im Firmennetz ist. Intune löst dieses Problem grundlegend: Konfigurationsprofile werden über die Cloud verteilt und auf jedem Gerät angewendet, das eine Internetverbindung hat. Neue Richtlinien – etwa eine verschärfte Passwort-Policy oder eine geänderte Firewall-Regel – greifen innerhalb von Minuten auf allen Geräten, egal wo sie sich befinden.

Microsoft bietet in Intune die Group Policy Analytics Funktion: Sie importieren Ihre bestehenden GPOs, und Intune zeigt Ihnen, welche Richtlinien direkt in Konfigurationsprofile übernommen werden können, welche angepasst werden müssen und welche keine Entsprechung haben. Auch den Microsoft Configuration Manager (vormals SCCM) können Sie schrittweise ablösen oder im Co-Management-Modus parallel betreiben – bestimmte Workloads laufen weiterhin über SCCM, andere über Intune. Für Unternehmen, die den Umstieg schrittweise planen, ist Co-Management der ideale Einstieg. In Kombination mit Windows Autopatch übernimmt Microsoft anschließend die automatische Steuerung des gesamten Windows-Update-Prozesses.

Mit Windows Autopilot gehört das manuelle Einrichten neuer Geräte der Vergangenheit an. Statt jeden Laptop im IT-Raum auszupacken, ein Image aufzuspielen, Apps zu installieren und Richtlinien zu konfigurieren, lassen Sie das Gerät direkt vom Hersteller oder Händler an den Mitarbeitenden liefern – ob ins Büro, ins Homeoffice oder an einen internationalen Standort. Beim ersten Einschalten meldet sich der Mitarbeitende mit seinen Microsoft 365 Zugangsdaten an, und Autopilot übernimmt alles Weitere: Entra ID Join, Intune-Registrierung, Installation von Unternehmensapps, Konfigurationsprofile, Sicherheitsrichtlinien, VPN-Einstellungen und Conditional Access Richtlinien werden automatisch angewendet.

Innerhalb weniger Minuten ist das Gerät produktionsbereit. Das spart erhebliche Logistikkosten – kein Staging, kein Versand über die IT-Abteilung, kein manuelles Einrichten. Besonders wertvoll für Unternehmen mit verteilten Standorten, hohem Homeoffice-Anteil oder internationalem Wachstum. Autopilot unterstützt auch das Zurücksetzen bestehender Geräte (Autopilot Reset) – ideal, wenn ein Laptop an einen neuen Mitarbeitenden übergeben wird. Der Self-Deploying-Modus ermöglicht die vollautomatische Einrichtung von Shared Devices wie Konferenzraum-PCs oder Kiosk-Systemen ganz ohne Benutzerinteraktion.

Die Kombination aus Intune und Conditional Access ist eine der wirkungsvollsten Sicherheitsmaßnahmen in Microsoft 365. Das Prinzip: Intune definiert Compliance-Richtlinien – also Mindestanforderungen, die ein Gerät erfüllen muss, um als vertrauenswürdig zu gelten. Dazu gehören: Festplattenverschlüsselung (BitLocker) ist aktiviert, das Betriebssystem ist aktuell, kein Jailbreak oder Root vorhanden, die Firewall ist aktiv und der Microsoft Defender Virenschutz läuft. Conditional Access in Entra ID prüft dann bei jeder Anmeldung: Ist das Gerät konform? Kommt die Anmeldung von einem erwarteten Standort? Ist Multi-Faktor-Authentifizierung erfolgt?

Ein Laptop mit deaktiviertem BitLocker, ein Smartphone mit veraltetem Betriebssystem oder ein unbekanntes Gerät aus einem ungewöhnlichen Land werden automatisch blockiert. Der Mitarbeitende erhält eine verständliche Anleitung, wie er sein Gerät wieder konform machen kann. Dieser Ansatz bildet die Grundlage eines Zero-Trust-Sicherheitsmodells: Kein Gerät wird automatisch vertraut, jeder Zugriff wird überprüft. Zusammen mit MFA, Microsoft Defender und dem Microsoft Secure Score Managed Service (SSMS) der InSys AG entsteht ein mehrschichtiges Sicherheitskonzept, das den Großteil aller Angriffsvektoren abdeckt.

Intune bietet mehrere Wege zur zentralen App-Verteilung: Microsoft 365 Apps (Word, Excel, Outlook, Teams) lassen sich direkt aus Intune mit individuellem Update-Kanal und Konfiguration deployen. Win32 Apps wie Adobe Reader, 7-Zip, Chrome oder branchenspezifische Software werden als IntuneWin-Paket hochgeladen und können mit Erkennungsregeln, Abhängigkeiten und Installationsskripten konfiguriert werden. Microsoft Store Apps werden direkt aus dem integrierten Store zugewiesen. Und über Intune Enterprise Application Management stellen Sie einen kuratierten App-Katalog bereit, aus dem Mitarbeitende selbstständig benötigte Software installieren können – ohne Administratorrechte.

Für Windows-Updates steuert Intune sogenannte Update-Ringe: Sie definieren, welche Gerätegruppen Updates zuerst erhalten (Pilotgruppe), wann der breite Rollout erfolgt und ob ein problematisches Update pausiert wird. Die Hard- und Softwareinventarisierung zeigt Ihnen jederzeit den aktuellen Status aller Geräte: Welcher Client nutzt einen veralteten Browser? Hat das letzte Windows-Update auf allen PCs geklappt? Wer nutzt eine alte iOS-Version? In Kombination mit Windows Autopatch übernimmt Microsoft die komplette Steuerung des Update-Prozesses – Pilotierung, Rollout, Problemerkennung und Rollback laufen vollautomatisch.

Unsere Microsoft Intune Spezialisten in Bielefeld und Hamburg begleiten Sie durch den gesamten Einführungsprozess – bundesweit, remote oder vor Ort. Am Anfang steht eine Bestandsaufnahme Ihrer aktuellen Geräteverwaltung: Welche GPOs sind aktiv? Wird SCCM eingesetzt? Welche Gerätetypen und Betriebssysteme sind im Einsatz? Gibt es BYOD-Szenarien? Daraus entwickeln wir die Intune-Architektur: Gerätegruppen, Compliance-Richtlinien, Konfigurationsprofile, App-Deployment-Strategie und den Conditional Access Regelkatalog.

Im nächsten Schritt migrieren wir bestehende Gruppenrichtlinien, richten Windows Autopilot für die automatische Gerätebereitstellung ein und integrieren Microsoft Defender als Endpoint Security Lösung. Als Microsoft Direct Cloud Solution Provider (CSP) beraten wir Sie zur optimalen Lizenzierung – häufig ist Intune bereits in Ihrer vorhandenen Microsoft 365 Lizenz enthalten. Im Rahmen unseres Microsoft Secure Score Managed Service (SSMS) überwachen wir anschließend fortlaufend, ob Ihre Intune-Konfiguration den aktuellen Best Practices entspricht und Ihr Secure Score dauerhaft auf einem hohen Niveau bleibt. Schulungen für Ihre IT-Abteilung und Endanwender runden das Angebot ab.

Wie dramatisch die Folgen fehlender Sicherheitsmaßnahmen sein können, zeigt der Stryker-Angriff vom März 2026: Ein kompromittiertes Admin-Konto reichte aus, um über Intune zehntausende Geräte in 79 Ländern zu löschen. Multi-Admin Approval hätte es verhindert.

"Es ist bestürzend mitzuerleben, wie viele durch Angriffe in ihrer Existenz bedrohte Unternehmen sich bei uns melden. Und ebenso bestürzend ist es zu wissen, dass die Mehrzahl der Angriffe mit überschaubaren Kosten vermeidbar gewesen wäre."

Thomas Honemeyer, Vorstand InSys AG

InSys AG | EXPERTS IN DIGITAL STRATEGY.

Die InSys AG unterstützt Unternehmen des Mittelstandes und aus dem Enterprise-Segment im Prozess ihrer digitalen Transformation. Unsere Schwerpunkte liegen zum einen in der Einführung moderner Arbeitsweisen im Themenkomplex „Secure Modern Workplace“ auf Basis von Microsoft Cloudlösungen wie Microsoft 365, Office 365 und Azure sowie Microsoft Dynamics und zum anderen in Consultingleistungen zur Entwicklung digitaler Geschäftsmodelle und -prozesse.

Den digitalen Wandel aktiv mitgestalten. Geschäftsmodelle und -prozesse erfolgreich transformieren. Mit der InSys AG - Ihrem IT Systemhaus aus Bielefeld und Hamburg.

Thomas Honemeyer, Vorstand der InSys AG, ist auch Gründungsmitglied von 4digital (for digital). Vier Digitale für Digitales. Sparringspartner für Vorstände und CEOs. Ideengeber und Gesprächspartner.

1. Multi-Faktor-Authentifizierung (MFA) ist für alle Benutzerkonten und Administratorkonten aktiviert – idealerweise mit Passkeys oder FIDO2-Sicherheitsschlüsseln statt SMS.
2. Microsoft Intune ist als MDM-Lösung eingerichtet und alle unternehmenseigenen Geräte sind registriert und werden zentral verwaltet.
3. Compliance-Richtlinien in Intune sind definiert: Mindestversion des Betriebssystems, BitLocker-Verschlüsselung aktiv, Firewall aktiviert, Microsoft Defender Virenschutz läuft.
4. Conditional Access Richtlinien sind konfiguriert: Nur konforme Geräte erhalten Zugriff auf Microsoft 365 – nicht konforme Geräte werden automatisch blockiert.
5. Private Geräte (BYOD) sind per MAM-Richtlinie geschützt: Unternehmensdaten in Outlook, Teams und OneDrive sind verschlüsselt und vom privaten Bereich getrennt.
6. Windows Autopilot ist eingerichtet: Neue Geräte werden automatisch konfiguriert – ohne manuelles Staging durch die IT-Abteilung.
7. Gruppenrichtlinien (GPOs) sind auf Intune Konfigurationsprofile migriert – Geräte erhalten Richtlinien über die Cloud, nicht über den Domänencontroller.
8. Eine zentrale Update-Strategie ist vorhanden: Windows-Updates werden über Intune Update-Ringe oder Windows Autopatch gesteuert, mit Pilotgruppe und automatischem Rollout.
9. App-Deployment läuft über Intune: Microsoft 365 Apps, Win32-Anwendungen und Store Apps werden zentral verteilt und aktuell gehalten.
10. Hard- und Softwareinventarisierung ist aktiv: Sie kennen jederzeit den Status aller Endgeräte – Betriebssystemversionen, installierte Software, ausstehende Updates.
11. Es gibt definierte Anmeldestandorte (Geofencing): Zugriffe aus unerwarteten Ländern werden automatisch blockiert oder erfordern zusätzliche Verifizierung.
12. Microsoft Defender for Endpoint ist auf allen Endgeräten aktiviert und in das Microsoft Defender XDR Portal integriert.
13. Alle Unternehmensstandorte verfügen über aktuelle Firewallsysteme – idealerweise mit IDS/IPS und zentralem Management.
14. Ihr Microsoft Secure Score liegt über 70% und wird regelmäßig überprüft – idealerweise im Rahmen eines Managed Secure Score Service.
15. Ein getestetes Backup- und Recovery-Konzept für Microsoft 365 Daten (Exchange, SharePoint, OneDrive, Teams) ist vorhanden und wird regelmäßig überprüft.

Sie können nicht alle Punkte abhaken? Unsere Microsoft Intune Spezialisten unterstützen Sie gerne – vom Tenant Security Check über die Intune-Einführung bis zum dauerhaften Managed Secure Score Service (SSMS).