Microsoft Intune für kleine Unternehmen: Modernes Gerätemanagement ohne On-Premise-Abhängigkeit

Traditionelles Windows-Gerätemanagement basierte auf domänengebundenen PCs, Gruppenrichtlinien (GPO) und On-Premise Active Directory. Dieses Modell funktioniert — erfordert aber physische Nähe zu einem Domänencontroller, schafft VPN-Abhängigkeit für die Remoteverwaltung und erzeugt IT-Verwaltungsaufwand, den kleine Unternehmen zunehmend nicht mehr rechtfertigen können.

Microsoft Intune (jetzt Teil der Microsoft Endpoint Manager / Intune-Suite unter Microsoft Entra und Endpoint Management) bietet cloud-natives Gerätemanagement ohne On-Premise-Infrastruktur-Abhängigkeit. Für Berliner KMU, die bereits Microsoft 365 nutzen, ist es der natürliche nächste Schritt nach der Absicherung von Identität und E-Mail.

Was Microsoft Intune tatsächlich leistet

Intune ist eine Mobile Device Management (MDM) und Mobile Application Management (MAM)-Plattform. Konkret bedeutet das:

• Sicherheitskonfiguration auf Windows-, macOS-, iOS- und Android-Geräten durchsetzen
• Software und Betriebssystem-Updates ohne WSUS oder SCCM ausrollen
• Verlorene oder gestohlene Geräte remote löschen
• Geräte-Compliance (Verschlüsselung, BS-Version, Virenschutz) vor dem Zugriff auf Unternehmensdaten erzwingen
• Apps lautlos bereitstellen — keine Benutzeraktion erforderlich, keine USB-Sticks, keine manuellen Installationen
• Conditional Access anwenden: nicht-konforme Geräte werden vom Zugriff auf M365 gesperrt, auch wenn die Anmeldedaten korrekt sind

Intune-Lizenzierung für kleine Unternehmen

Intune ist enthalten in:

• Microsoft 365 Business Premium — die empfohlene Lizenz für KMU mit bis zu 300 Benutzern. Enthält Intune, Entra ID P1, Defender for Business und vollständige M365-Apps. Ca. 22 EUR/Benutzer/Monat.
• Microsoft 365 E3/E5 — Enterprise-Tiers für größere Organisationen.
• Intune Plan 1 standalone — ca. 8 EUR/Benutzer/Monat, wenn nur MDM ohne den vollständigen M365-Stack benötigt wird.

Wenn Sie Microsoft 365 Business Premium nutzen, ist Intune bereits lizenziert — Sie nutzen es nur noch nicht.

Windows-Geräte in Intune registrieren

Es gibt drei Hauptregistrierungspfade für Windows-Geräte:

1. Entra ID Join + automatische MDM-Registrierung (neue Geräte)

Die sauberste Option für neue Geräte. Während des Windows-Setups (Out of Box Experience / OOBE) meldet sich der Benutzer mit seinem Microsoft 365-Konto an statt mit einem lokalen Konto. Windows tritt automatisch Entra ID bei und registriert sich in Intune — keine IT-Intervention am Gerät erforderlich. Dies ist Windows Autopilot in Kombination mit einer Hardware-Hash-Vorregistrierung: Das Gerät kommt beim Lieferanten, der Benutzer schaltet es ein, meldet sich an, und Intune stellt automatisch die vollständige Konfiguration bereit.

2. Hybrid Entra ID Join (bestehende domänengebundene Geräte)

Für bestehende domänengebundene PCs, die ohne Neuinstallation unter Intune-Management gebracht werden sollen. Hybrid Join verbindet das Gerät mit On-Premise AD und Entra ID. Intune-Richtlinien werden neben bestehenden GPOs angewendet. Dies ist ein Übergangszustand — das Ziel ist letztlich der Wechsel zu reinem Entra ID Join, sobald die GPO-Abhängigkeit aufgehoben ist.

3. Manuelle Registrierung (BYOD / Nicht-Domänen-Geräte)

Benutzer können private oder nicht-domänengebundene Geräte selbst über Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen registrieren. Für private Geräte wird in der Regel MAM (App-only-Management) gegenüber vollständigem MDM bevorzugt — nur Unternehmens-Apps (Outlook, Teams) werden verwaltet, ohne das gesamte Gerät zu kontrollieren.

Wesentliche Intune-Richtlinien für KMU

Beginnen Sie mit diesen sechs Richtlinienbereichen:

1. Geräte-Compliance-Richtlinie

Definieren Sie, was ein Gerät konform macht. Mindestbaseline für Windows:

• BitLocker-Verschlüsselung erforderlich
• Mindest-BS-Version (Windows 11 22H2 oder neuer, oder Windows 10 22H2 als Minimum)
• Microsoft Defender Virenschutz aktiviert und aktuell
• Kein Jailbreak / Secure Boot erforderlich
• Kennwort erforderlich: mindestens 8 Zeichen, Komplexität aktiviert

2. Conditional Access Integration

Gerätecompliance an M365-Zugriff knüpfen. Richtlinie: konformes Gerät oder genehmigte App für den Zugriff auf Exchange Online und SharePoint erforderlich. Ein nicht-konformes Gerät (fehlendes BitLocker, veraltetes BS) wird von Unternehmensdaten gesperrt — selbst bei gültigen Anmeldedaten.

3. Endpunktsicherheit — Virenschutz

Microsoft Defender for Business-Konfiguration per Intune bereitstellen. Wichtige Einstellungen: cloud-basierter Schutz aktiviert, automatische Beispielübermittlung aktiviert, Echtzeitschutz ein, Manipulationsschutz ein.

4. Windows Update Rings

Update-Verzögerungs-Ringe definieren statt jeden Benutzer seinen PC selbst aktualisieren zu lassen. Empfohlener Ansatz:

• Pilot-Ring (5-10% der Benutzer): Feature-Updates sofort, Qualitätsupdates mit 0-Tage-Verzögerung
• Breit-Ring (verbleibende Benutzer): Feature-Updates 30 Tage verzögert, Qualitätsupdates 7 Tage verzögert

5. App-Bereitstellung

Erforderliche Anwendungen lautlos auf alle verwalteten Geräte ausrollen. Typische Bereitstellungen per Intune: Microsoft 365 Apps (Office), Company Portal, 7-Zip, Adobe Acrobat Reader, Ihre Branchensoftware.

6. Festplattenverschlüsselung (BitLocker)

BitLocker per Intune Endpunktsicherheit > Festplattenverschlüsselung aktivieren. Wiederherstellungsschlüssel-Hinterlegung in Entra ID konfigurieren, damit Sie BitLocker-Schlüssel aus dem Intune-Verwaltungsportal abrufen können, wenn ein Benutzer seine PIN vergessen hat.

macOS und Mobile Management

Intune verwaltet mehr als nur Windows. Für gemischte Umgebungen:

• macOS: Registrierung per Company Portal App. Konfigurationsprofile für FileVault-Verschlüsselung, Kennwortrichtlinie und genehmigte App-Bereitstellung. Vergleichbare Funktionalität zu Jamf für die meisten KMU-Anwendungsfälle.
• iOS/Android: Private Geräte im MAM-ohne-Registrierung-Modus registrieren, um nur M365-Apps zu verwalten. Keine Sichtbarkeit auf private Apps oder Daten — gut geeignet für BYOD-Richtlinien.

Erste Schritte: Die richtige Reihenfolge

1. Lizenzierung prüfen (M365 Business Premium oder Intune Plan 1)
2. Automatische MDM-Registrierung in Entra ID konfigurieren (Einstellungen > Mobility > Microsoft Intune > MDM-Benutzerbereich: Alle)
3. Compliance-Richtlinie erstellen und Aktion bei Nicht-Konformität auf 1 Tag Toleranzzeit setzen
4. Conditional-Access-Richtlinie erstellen — im Modus Nur Bericht starten, um Auswirkungen vor der Durchsetzung zu sehen
5. Endpunktsicherheitsrichtlinien konfigurieren (Defender, BitLocker, Windows Update Ring)
6. Geräteregistrierung beginnen — mit IT-Geräten starten, um Richtlinien zu validieren
7. Autopilot für neue Gerätebeschaffung einrichten

Richtig konfiguriert, eliminiert Intune die Notwendigkeit eines On-Premise-Management-Servers, stellt sicher, dass alle Geräte unabhängig vom Standort die Sicherheitsbaseline erfüllen, und reduziert den IT-Support-Aufwand für die Endgerätekonfiguration. Für ein Berliner KMU, das bereits für M365 Business Premium zahlt, gibt es keinen Grund, es nicht zu nutzen.