Microsoft Intune MDM einrichten – Grundkonfiguration für KMU 2025

Was ist Microsoft Intune?

Microsoft Intune ist Microsofts cloudbasierter Mobile Device Management (MDM) und Mobile Application Management (MAM) Dienst. In Microsoft 365 Business Premium enthalten, verwalten Sie damit:

• Windows 10/11-Geräte: Konfiguration, Updates, Apps, Sicherheitsrichtlinien
• macOS: App-Deployment, Zertifikate, Konfigurationsprofile
• iOS/Android: Geräteverwaltung, App-Schutz, Conditional Access
• Linux: Eingeschränkte Verwaltung (Ubuntu, etc.)

Warum Intune statt klassischer GPO?

Intune Admin Center aufrufen

intune.microsoft.com – Microsoft Intune Admin Center

Login: Mit Ihrem Microsoft 365 Global Admin oder Intune Administrator Account.

Geräte einschreiben (Enrollment)

Methode 1: Automatische Registrierung (empfohlen)

Windows-Geräte registrieren sich automatisch wenn sie mit Entra ID verbunden werden.

Voraussetzung: MDM Authority auf Intune setzen (ist Standard in neuen Tenants).

Prüfen: Intune → Devices → Enroll Devices → Automatic Enrollment:

• MDM User Scope: All (alle Benutzer) oder Gruppe
• MAM User Scope: All

Gerät registrieren (Benutzer-Aktion):
Windows 11: Einstellungen → Konten → Auf Arbeit oder Schule zugreifen → Verbinden
E-Mail-Adresse eingeben → Azure AD Join oder Hybrid-Join → Intune-Enrollment startet automatisch.

Methode 2: Windows Autopilot (für neue Geräte)

Windows Autopilot ist die Zero-Touch-Provisionierung: Benutzer schaltet neues Gerät ein, meldet sich mit Office-365-Account an – Gerät wird vollautomatisch konfiguriert (Apps, Policies, Domain-Join), ohne IT-Eingriff.

Setup:

1. Hardware-Hash von Neugeräten beim Händler oder per Script erfassen
2. Intune → Devices → Windows → Autopilot Devices → Import
3. Deployment Profile zuweisen (Konfiguration, OOBE-Einstellungen)
4. Gerät an Benutzer übergeben → Autosetup nach Anmeldung

Script für Hardware-Hash (auf dem Gerät ausführen):
Install-Script -Name Get-WindowsAutoPilotInfo Get-WindowsAutoPilotInfo -OutputFile C:\AutoPilot.csv

Methode 3: Massenregistrierung per Provisioning Package

Für Geräte ohne Internet-Zugang bei Ersteinrichtung:
Windows Configuration Designer → Provisioning Package erstellen → USB-Stick → beim OOBE einstecken.

Compliance-Richtlinien konfigurieren

Compliance-Richtlinien definieren Mindestanforderungen die Geräte erfüllen müssen. Nicht-konforme Geräte können blockiert werden (via Conditional Access).

Intune → Devices → Compliance Policies → Create Policy → Windows 10 and later:

Empfohlene Einstellungen:

• BitLocker required: Yes
• Secure Boot enabled: Yes
• Code integrity: Yes
• Minimum OS version: 10.0.19041 (Windows 10 2004)
• Password required: Yes (Komplexität: mindestens 8 Zeichen)
• Firewall: Required
• Antivirus: Required
• Antispyware: Required
• Defender real-time protection: Required

Nicht-konforme Geräte behandeln

Compliance Policy → Actions for noncompliance:

• Sofort: E-Mail an Benutzer senden
• Nach 3 Tagen: Gerät als nicht-konform markieren
• Nach 7 Tagen: Gerät sperren (Conditional Access blockiert Zugang)
• Nach 30 Tagen: Gerät aus Intune entfernen

Konfigurationsprofile (Device Configuration)

Intune → Devices → Configuration Profiles → Create Profile:

Windows-Härtungsprofil

Template: Endpoint Protection:

• Windows Defender SmartScreen: Aktiviert
• Network protection: Aktiviert (Block-Modus)
• Controlled folder access: Aktiviert (Ransomware-Schutz)
• Exploit protection: Aktiviert

Template: Identity Protection (Windows Hello):

• Windows Hello for Business: Aktiviert
• PIN-Länge: Minimum 6 Zeichen

Einschränkungen (Restrictions)

Template: Device Restrictions:

• USB-Speicher: Blockieren
• Bluetooth: Nur für genehmigte Geräte
• Kamera: Erlaubt (oder blockieren für sichere Umgebungen)
• App Store: Blockieren

Apps deployen

Win32-App deployen (z. B. 7-Zip, VLC, etc.)

1. App als .intunewin verpacken:
   IntuneWinAppUtil.exe -c C:\SourceFolder -s setup.exe -o C:\Output

2. Intune → Apps → Windows → Add → Windows app (Win32):

   • .intunewin hochladen
   • Install command: setup.exe /S
   • Detect rule: Registrierungsschlüssel oder Datei

3. Assignments: Gruppen zuweisen (Required = erzwungen, Available = optional)

Microsoft Store Apps (WinGet-Integration)

Intune → Apps → Windows → Add → Microsoft Store app (new):
Apps direkt aus dem Store deployen (WinGet-Paketname eingeben):

• 7zip.7zip
• Notepad++.Notepad++
• VideoLAN.VLC

Microsoft 365 Apps

Intune → Apps → Windows → Add → Microsoft 365 Apps:

• Kanalauswahl: Current Channel, Monthly Enterprise Channel
• Apps auswählen: Word, Excel, Outlook, Teams, etc.
• Update-Einstellungen konfigurieren

Windows Update Management

Intune → Devices → Windows → Update Rings:

Update Ring erstellen:

• Servicing channel: General Availability Channel
• Feature updates deferred: 30 Tage (Testzeit)
• Quality updates deferred: 7 Tage
• Automatic update behavior: Auto install and restart (empfohlen)
• Restart grace period: 2 Tage (Benutzer kann Neustart verzögern)

Intune Berichte

Intune → Reports:

• Device Compliance: Übersicht konformer/nicht-konformer Geräte
• App Install Status: Welche Apps sind wo installiert?
• Windows Updates: Update-Compliance-Report

Export als CSV für Compliance-Nachweise.

FAQ

Kann Intune GPOs komplett ersetzen?
Für Cloud-native Umgebungen (Azure AD Join): Ja. Für Hybrid-Umgebungen mit On-Premises-Apps: Ergänzung, kein vollständiger Ersatz.

Brauche ich Intune und Sophos Central?
Intune für Gerätekonfiguration und Windows-Update-Management, Sophos Central für erweiterten Endpoint-Schutz (EDR). Beide ergänzen sich gut.

Was kostet Intune?
In Microsoft 365 Business Premium (~22 €/User/Monat) und Enterprise-Plänen enthalten. Als Standalone: ca. 8 €/User/Monat.

Fazit

Microsoft Intune ist die moderne Alternative zu klassischer GPO-basierter Geräteverwaltung. Besonders für KMU mit Homeoffice-Mitarbeitern und mobilen Geräten ist es unersetzlich.

Als Microsoft-365-Spezialisten in Heidelberg konfigurieren wir Intune für KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt M365-Beratung anfragen.