MDM vs. MAM — Der entscheidende Unterschied

Mobile Device Management (MDM) enrollt das gesamte Gerät in Intune. Das Unternehmen kann das Gerät löschen, geräteweite Richtlinien durchsetzen und Anwendungen deployen. Das ist das richtige Modell für firmeneigene Geräte. Für private Geräte wirft MDM berechtigte Datenschutzfragen auf — in Deutschland mit Betriebsrat und DSGVO-Grundrecht auf informationelle Selbstbestimmung erst recht.

Mobile Application Management (MAM) — umgesetzt über App-Schutzrichtlinien — kontrolliert nur die Anwendungsebene. Intune kapselt Microsoft-365-Apps in einem verwalteten Container: Daten können den Container nicht verlassen (kein Copy-Paste in persönliche Apps, kein Speichern in der privaten iCloud), aber Fotos, WhatsApp-Nachrichten und private E-Mails des Mitarbeiters bleiben völlig unangetastet. Das ist die richtige Architektur für BYOD-Szenarien.

Was App-Schutzrichtlinien konkret steuern

Unterstützte Apps und Plattformen

App-Schutzrichtlinien gelten nativ für Microsoft-365-Apps: Outlook, Teams, OneDrive, SharePoint (mobil), Word, Excel, PowerPoint und Edge. Auf iOS und Android unterstützen diese Apps das Intune SDK und halten Richtliniensteuerungen ohne Geräte-Enrollment ein. Drittanbieter-Apps können ebenfalls integriert werden, wenn sie das Intune SDK einbinden — viele Enterprise-Anwendungen (Slack, Zoom, ServiceNow) unterstützen das bereits.

Wichtige Plattform-Besonderheit: Unter iOS funktionieren App-Schutzrichtlinien ohne Company-Portal-Installation. Unter Android muss die Company-Portal-App installiert sein (aber nicht zum Geräte-Enrollment genutzt werden), damit MAM funktioniert. Das ist ein häufiger Einrichtungsreibungspunkt — kommunizieren Sie das beim Rollout klar an die Nutzer.

Lizenzanforderungen

App-Schutzrichtlinien erfordern eine Microsoft-Intune-Lizenz. Folgende M365-Lizenzen enthalten Intune: Microsoft 365 Business Premium, Microsoft 365 E3/E5 und der Intune-Einzelplan. Microsoft 365 Business Basic und Standard enthalten Intune nicht — das ist die häufigste Lizenzlücke, die wir bei Berliner KMU antreffen. Prüfen Sie Ihre Lizenzzuweisung, bevor Sie MAM deployen.

Erste App-Schutzrichtlinie konfigurieren

Navigieren Sie zu Intune Admin Center → Apps → App-Schutzrichtlinien → Richtlinie erstellen. Wählen Sie die Plattform (iOS/iPadOS oder Android). Unter Apps wählen Sie die zu schützenden Microsoft-365-Apps — mindestens: Outlook, OneDrive, Teams. Unter Datenschutz konfigurieren Sie: Ausschneiden/Kopieren/Einfügen nur zwischen verwalteten Apps; Speichern in perspielen Speicher blockieren; Weiterleitung an persönliche Apps blockieren. Unter Zugriffsanforderungen fordern Sie eine mindestens 6-stellige PIN mit optionaler biometrischer Entsperrung.

Weisen Sie die Richtlinie Ihrer Gruppe aller Nutzer zu (oder einer Pilotgruppe). Die Richtlinie wird automatisch übernommen, wenn der Nutzer eine geschützte App mit seinem Arbeitskonto öffnet — ohne Enrollment-Dialog, ohne Company-Portal-Assistent. Die Richtlinie wird im Hintergrund angewendet.

Der selektive Löschvorgang beim Mitarbeiteraustritt

Wenn ein Mitarbeiter das Unternehmen verlässt, entfernt das selektive Löschen alle Unternehmensdaten — Outlook-E-Mails und Kalender, Teams-Nachrichten, OneDrive-Dateien, SharePoint-Cache — vom privaten Gerät, ohne persönliche Fotos, Nachrichten oder Apps anzutasten. Auslösen über Intune Admin Center → Geräte → Nutzer auswählen → Aufheben. Der Löschvorgang wird beim nächsten Internetzugang ausgeführt. Dokumentieren Sie das in Ihrem Offboarding-SOP und nehmen Sie es als BYOD-Bedingung in den Arbeitsvertrag auf.