Warum Geräteverwaltung heute kein Nice-to-have mehr ist
Die Ausgangslage in vielen Mittelständlern:
Notebooks im Homeoffice, Diensthandys unterwegs, Tablets in der Produktion, dazu privat genutzte Geräte mit Zugriff auf Unternehmens-Mails. Wer mit Microsoft Intune noch nicht gearbeitet hat, verwaltet all das meist über Einzelskripte, manuelle Anleitungen und den guten Willen der Mitarbeitenden.
Das funktioniert, solange nichts passiert. Spätestens wenn ein Gerät verloren geht, ein Mitarbeiter das Unternehmen verlässt oder die Versicherung einen Nachweis über verschlüsselte Endgeräte sehen will, wird es unangenehm. Mobile Device Management schafft hier eine klare Linie — und zwar auf allen Geräten gleichzeitig.
Was Intune konkret kann
Intune ist der Device-Management-Bestandteil von Microsoft 365 und in den meisten mittleren Lizenzpaketen (Business Premium, E3, E5) ohne Zusatzkosten enthalten. Über eine zentrale Konsole lässt sich eine Reihe an Dingen regeln:
- Konfigurationsprofile ausrollen: WLAN, VPN, Mail-Setup, Bitlocker, Firewall.
- Compliance-Richtlinien definieren: zum Beispiel „nur verschlüsselte, aktuelle Geräte dürfen auf Microsoft 365 zugreifen“.
- Software zentral verteilen und aktuell halten (auch Drittsoftware wie Chrome, 7-Zip, Adobe Reader).
- Geräte bei Verlust sperren oder selektiv die Unternehmensdaten entfernen, ohne private Daten anzurühren.
Der entscheidende Punkt ist: Alles läuft über Identität und Policy, nicht über manuelle Einzelaktionen. Ein neuer Mitarbeiter bekommt sein Gerät ausgeliefert, meldet sich mit seinem Microsoft-365-Account an und hat nach wenigen Minuten den kompletten Arbeitsplatz — inklusive aller Sicherheitsvorgaben.
BYOD, COPE, COBO — und warum die Unterscheidung zählt
Unternehmen mischen heute unterschiedliche Gerätemodelle: vollständig firmeneigene Geräte, Diensthandys mit privater Mitnutzung, komplett private Geräte mit Firmendaten. Intune unterstützt alle drei Varianten, verlangt aber klare Entscheidungen, welche Klasse welche Rechte bekommt.
Praxisnah heißt das zum Beispiel: Ein firmeneigenes Notebook wird vollständig verwaltet und darf in alle Systeme. Ein privates Smartphone bekommt eine separate, abgeschottete Mail- und Teams-App über App Protection Policies — die Unternehmensdaten leben darin isoliert und können bei Austritt remote gelöscht werden, ohne das Privatgerät anzufassen. Diese Trennung ist arbeitsrechtlich und datenschutzrechtlich ohnehin geboten und mit Intune mit wenigen Klicks sauber abbildbar.
Compliance und Conditional Access als eigentliches Herzstück
Der größte Hebel von Microsoft Intune liegt im Zusammenspiel mit Conditional Access in Microsoft Entra ID. Damit definieren Sie nicht nur, was ein Gerät können soll, sondern wer von wo auf welches System überhaupt zugreifen darf.
Eine typische Policy sieht so aus: Zugriff auf Firmen-Mails nur von Geräten, die Intune als konform meldet (verschlüsselt, aktuelle Patches, MFA aktiv), und auch nur aus dem Firmennetz oder einem zugelassenen Land. Alles andere wird blockiert oder zu einem Step-up-Login gezwungen. Der Effekt: Selbst wenn ein Passwort kompromittiert wird, greift der Angreifer gegen ein konformes Gerät an, nicht gegen Ihren kompletten Tenant.
Was bei der Einführung schief gehen kann
Die häufigsten Stolperfallen sind organisatorisch, nicht technisch. Erstens: zu viele Richtlinien auf einmal. Wer Intune ausrollt und gleichzeitig 40 Compliance-Regeln aktiviert, blockiert am ersten Tag die halbe Belegschaft aus Teams aus. Zweitens: fehlende Pilot-Phase. Ohne Testgruppe merkt man zu spät, dass das eigene VPN-Profil einen Tippfehler hat. Drittens: keine Kommunikation. Mitarbeitende, die plötzlich neue Anmelde-Dialoge sehen, melden das als „Angriff“ an die IT.
Sinnvoll ist daher ein schrittweiser Rollout: Basis-Richtlinien zuerst (Verschlüsselung, MFA, PIN-Code), dann Compliance-Checks, zuletzt die strengen Conditional-Access-Regeln. Dazwischen jeweils Feedback aus der Praxis einsammeln und nachschärfen.
Wie wir bei Kobeg Intune einführen
Wir begleiten mittelständische Unternehmen beim Aufbau einer sauberen Device-Management-Basis — von der Lizenzklärung über das Erstellen der ersten Konfigurations- und Compliance-Profile bis zum Autopilot-gestützten Rollout neuer Geräte. In der Regel beginnen wir mit einer Bestandsaufnahme: Welche Geräteklassen existieren, welche Anwendungen müssen zwingend laufen, welche Compliance-Vorgaben gelten? Aus dem Ergebnis entsteht ein Fahrplan, der zu Ihrem Betrieb passt und nicht zu einem Microsoft-Lehrbuch. Das Ganze ist Teil unserer Angebote rund um den digitalen Arbeitsplatz.
Kurz gesagt: Microsoft Intune ist kein weiteres Admin-Tool, sondern die zentrale Klammer, die Identität, Gerät und Daten zusammenhält. Richtig eingeführt senkt es den Aufwand in der IT spürbar, macht Compliance-Nachweise zur Routine und sorgt dafür, dass hybride Arbeit nicht zur Sicherheitslücke wird.
Wir unterstützen Sie gerne dabei, Intune pragmatisch einzuführen — ohne Ihre Mitarbeitenden am ersten Tag auszuschließen.