Header Background
 
  •  ▸ 
  • Über uns  ▸ 
  • Wissensblog
 
 

Microsoft Intune – Überblick, Architektur und Weiterbildung für moderne Endpoint-Verwaltung

Microsoft Intune ist heute die zentrale Plattform von Microsoft für Unified Endpoint Management – inklusive mobiler Endgeräte, klassischer Clients und virtueller Desktops. „Microsoft Endpoint Manager“ war dabei lange Zeit das Dachmarken-Label, wurde aber inzwischen zugunsten der Microsoft-Intune-Produktfamilie abgelöst. Der Beitrag ordnet die Begrifflichkeiten ein, erklärt Architektur und Funktionsweise von Microsoft Intune und zeigt Anwendungsfälle, Vorteile und Herausforderungen für IT-Abteilungen in Unternehmen und Behörden.

Begriffserklärung & Einleitung

Was ist Microsoft Intune?
Microsoft Intune ist ein cloudbasierter Dienst für Unified Endpoint Management (UEM). Er verwaltet den Zugriff von Benutzer:innen auf Unternehmensressourcen und vereinfacht die Verwaltung von Geräten und Anwendungen über Plattformen hinweg – von Windows-Clients über iOS/iPadOS und Android bis hin zu macOS, Linux-Desktops und ChromeOS.

Intune kombiniert klassische Mobile Device Management (MDM)-Funktionen mit Mobile Application Management (MAM) und Endpoint-Sicherheitsfunktionen. Administrator:innen können Richtlinien für Konfiguration, Sicherheit, Compliance und App-Bereitstellung definieren und zentral ausrollen.

Was war (bzw. ist) Microsoft Endpoint Manager?
„Microsoft Endpoint Manager (MEM)“ war ab 2019 die Marketing- und Produktfamilienbezeichnung für die Kombination aus Microsoft Intune, Configuration Manager (ConfigMgr/SCCM) und einigen ergänzenden Diensten. Seit Oktober 2022 nutzt Microsoft jedoch wieder konsequent den Namen Microsoft Intune für die gesamte Endpoint-Management-Familie; der Name „Endpoint Manager“ wird offiziell nicht mehr weitergeführt.

In der Praxis gilt heute daher:

  • Wenn Admins von Intune sprechen, meinen sie meist den cloudbasierten UEM-Dienst.
  • Wenn noch von Endpoint Manager die Rede ist, handelt es sich meist um ältere Dokumentation oder umgangssprachlich um dieselbe Management-Plattform, nur unter dem früheren Namen.
  • On-Premises-Management erfolgt weiterhin über Microsoft Configuration Manager, der als Teil der Microsoft-Intune-Familie weiterentwickelt wird.

Für das IT-Umfeld ist Microsoft Intune ein Kernbaustein moderner Hybrid- und Remote-Work-Strategien: Geräte sind weltweit verteilt, Nutzer arbeiten mobil, Zero-Trust-Architekturen werden zum Standard. Ein zentrales, cloudbasiertes Endpoint-Management ist damit nicht „nice to have“, sondern Voraussetzung für sicheren Betrieb und effiziente Administration.

Funktionsweise & technische Hintergründe

Architektur von Microsoft Intune

Intune ist ein SaaS-Dienst in der Microsoft-Cloud (Azure), der mandantenfähig und hochskalierbar ausgelegt ist. Die wichtigsten Bausteine:

  • Intune-Dienst in Azure: Stellt die Management-APIs und die Policy-Engine bereit.
  • Microsoft Intune Admin Center: Webportal für Administrator:innen; intern ruft das Portal die Intune-Funktionen über Microsoft Graph auf.
  • Geräte-Agents / MDM-Clients auf Windows, iOS/iPadOS, Android, macOS, Linux & Co., die Richtlinien empfangen, umsetzen und Status zurückmelden.
  • Integration mit Microsoft Entra ID (früher Azure AD) für Identitäten, Geräteregistrierung, Gerätestatus und Conditional Access.

Die Kommunikation läuft typischerweise so ab:

  1. Gerät wird registriert oder eingeschrieben (Enrollment).
  2. Intune weist dem Gerät auf Basis von Benutzer- oder Gerätegruppen Richtlinien und Profile zu.
  3. Das Gerät synchronisiert regelmäßig, holt Policies ab, setzt sie durch und meldet Compliance-Status zurück.
  4. Dieser Status fließt in Conditional-Access-Entscheidungen ein – z. B. ob ein Gerät auf Exchange Online oder SharePoint Online zugreifen darf.

MDM, MAM und UEM in Intune

Microsoft Intune vereint mehrere Management-Ebenen:

  • MDM (Mobile Device Management)
    Vollständige Geräteverwaltung, z. B. für Unternehmens-Notebooks oder firmeneigene Smartphones. Admins steuern u. a. Verschlüsselung, Kennwortrichtlinien, Updates, Konfigurationen und Zertifikate.
  • MAM (Mobile Application Management)
    App-zentrierter Ansatz, bei dem nur Unternehmensapps kontrolliert werden – auch auf privaten BYOD-Geräten. Typisch sind App-Schutzrichtlinien (z. B. Kopieren/Einfügen blockieren, Daten nur in „unterstützten“ Apps zulassen).
  • UEM (Unified Endpoint Management)
    Intune verwaltet nicht nur Mobile Devices, sondern auch klassische Windows-Clients, Macs, Linux-Desktops und Spezialgeräte zentral in einer Plattform.

So können Policies beispielsweise gleichzeitig auf Windows-11-Notebooks, iPads und Android-Smartphones ausgerollt werden, ohne dass für jede Plattform ein eigenes Tool nötig ist.

Identitäten, Sicherheit und Integration

Ein großer Mehrwert von Microsoft Intune entsteht durch die Integration in das Microsoft-365- und Security-Ökosystem:

  • Microsoft Entra ID: Verwaltung von Benutzer- und Geräteidentitäten, Gruppen, Conditional Access.
  • Conditional Access & Compliance: Zugriff auf Cloud-Ressourcen (z. B. Exchange Online) ist an Gerätekonformität gekoppelt – etwa an aktivierte Verschlüsselung, aktuelle Patches oder fehlenden Jailbreak.
  • Microsoft Defender for Endpoint: Sicherheits-Signale werden mit Compliance-Richtlinien kombiniert; gefährdete Geräte können automatisiert in Quarantäne oder in einen eingeschränkten Modus gesetzt werden.
  • Netzwerkzugang (NAC/VPN): Über Intune-Profile lassen sich VPN- oder per-App-VPN-Verbindungen (z. B. Microsoft Tunnel for Mobile Application Management) konfigurieren.

Intune Plans und Microsoft Intune Suite

Microsoft Intune ist heute nicht nur ein einzelnes Produkt, sondern eine Produktfamilie mit unterschiedlichen Funktionsumfängen:

  • Intune Plan 1: Kernfunktionen für Geräte- und App-Management (MDM/MAM, Konfigurationsprofile, Compliance, App-Bereitstellung, Baseline-Security).
  • Intune Plan 2: Add-on mit erweiterten Funktionen, insbesondere im Bereich Sicherheit und Analyse.
  • Microsoft Intune Suite: Bündel zusätzlicher, fortgeschrittener Endpoint-Management-Module, u. a.:
    • Intune Remote Help (Remote-Support mit RBAC und Auditierung)
    • Endpoint Privilege Management (Just-in-time-Rechteerhöhung nach Least-Privilege-Prinzip)
    • Advanced Analytics (Analysen zu Gerätegesundheit, Performance und User Experience)
    • Enterprise Application Management (App-Katalog mit vorkonfigurierten Win32-Anwendungen)
    • Microsoft Cloud PKI (cloudbasierte Zertifikatsinfrastruktur)
    • Microsoft Tunnel for Mobile Application Management, Spezialgeräteverwaltung und Firmware-over-the-air-Updates

Diese Bausteine werden eng mit anderen Microsoft-365- und Security-Diensten sowie zunehmend mit KI-Funktionen verknüpft, um Incident-Response und Gerätemanagement weiter zu automatisieren.

Anwendungsbeispiele in der Praxis

1. Cloud-native Endpoint-Verwaltung für Wissensarbeiter

In vielen Unternehmen besteht die Mehrheit der Clients aus Windows-11-Notebooks, iOS-/iPadOS-Geräten und Android-Smartphones. Ein typisches Setup mit Microsoft Intune umfasst:

  • Registrierung der Geräte über Windows Autopilot, Apple Business Manager oder Android Enterprise.
  • Zuweisung von Konfigurationsprofilen (z. B. BitLocker, Firewall, WLAN, VPN).
  • App-Bereitstellung für Office-Apps, Line-of-Business-Anwendungen und Browser.
  • Compliance-Richtlinien (z. B. PIN-Zwang, Mindest-OS-Version, Jailbreak-/Root-Erkennung).
  • Kopplung an Conditional Access, sodass nur konforme Geräte Zugriff auf M365-Dienste erhalten.

So entsteht ein weitgehend automatisierter, standardisierter Client-Lifecycle von der Inbetriebnahme bis zur Rückgabe.

2. Hybrid-Szenarien mit Microsoft Configuration Manager (Co-Management)

Große Unternehmen und Behörden setzen oft seit Jahren auf Microsoft Configuration Manager (ehemals SCCM). Hier ist ein „Big Bang“-Umstieg auf die Cloud selten sinnvoll. Stattdessen:

  • Bestehende Windows-Clients bleiben im ConfigMgr verwaltet.
  • Über Co-Management werden bestimmte Workloads (z. B. Compliance, Endpoint Protection, später Software-Updates) nach und nach in Intune verlagert.
  • Intune übernimmt parallel neue Geräte, mobile Plattformen und externe Szenarien (z. B. Homeoffice ohne VPN-Zwang).

So kann die Organisation schrittweise von GPO- und On-Prem-Verwaltung auf ein modernes, cloudbasiertes Management umstellen.

3. BYOD und App-Schutzrichtlinien

Gerade im öffentlichen Sektor und bei Dienstleister:innen ist BYOD (Bring Your Own Device) ein sensibles Thema:

  • Mitarbeitende installieren nur ausgewählte Unternehmensapps (z. B. Outlook, Teams, spezielle Business-Apps).
  • Mit MAM/App-Schutzrichtlinien werden Unternehmensdaten innerhalb dieser Apps geschützt (Verschlüsselung, Schutz vor unkontrolliertem Kopieren, Zwang zum App-PIN etc.), ohne das ganze Gerät zu verwalten.
  • Zugriff auf Unternehmensressourcen kann optional über per-App-VPN (z. B. Microsoft Tunnel for MAM) abgesichert werden.

So bleibt die Privatsphäre der Mitarbeitenden erhalten, während Compliance- und Datenschutzanforderungen erfüllt werden.

4. Spezial- und Kioskgeräte

Mit Intune lassen sich auch Kioskgeräte und Spezial-Devices (z. B. Digital-Signage-Displays, POS-Terminals, Industrie-Tablets) steuern:

  • Beschränkung auf einzelne Apps oder definierte Funktionen („Single App Mode“, Kiosk-Profile).
  • Ausrollen von Firmware-Updates über entsprechende Intune-Suite-Funktionalitäten.
  • Zentrale Überwachung von Compliance- und Online-Status.

Gerade in Filialnetzen und verteilten Standorten reduziert das den Vor-Ort-Aufwand erheblich.

Vorteile und Herausforderungen

Vorteile von Microsoft Intune

1. Einheitliches, plattformübergreifendes Management
Eine Konsole für Windows, macOS, iOS/iPadOS, Android, Linux und ChromeOS reduziert Tool-Wildwuchs und vereinfacht Prozesse.

2. Starke Integration in Microsoft 365 & Security
Identitäten (Entra ID), Apps (M365), Security (Defender, Sentinel, Security Copilot) und Endpoint-Management greifen eng ineinander – ein Plus für Zero-Trust-Architekturen.

3. Cloud-native Skalierbarkeit
Kein eigener Infrastruktur-Stack für MDM/UEM nötig; Intune skaliert von wenigen Dutzend bis zu zehntausenden Endpoints global.

4. Automatisierung & Self-Service
Enrollment, Policy-Rollout, App-Updates und Reporting können stark automatisiert werden. Intune Suite und Advanced Analytics liefern zusätzliche Telemetrie und Auswertungen.

5. Lizenzbündelung
Viele Microsoft-365- und EMS-Pläne enthalten Intune Plan 1 bereits, wodurch sich zusätzliche UEM-Lizenzen externer Hersteller oft einsparen lassen.

Herausforderungen und typische Stolpersteine

1. Komplexität der Plattform und des Ökosystems
Intune, Entra ID, Defender, ConfigMgr, verschiedene Intune-Pläne und die Intune Suite – ohne saubere Architektur- und Governance-Planung droht Unübersichtlichkeit.

2. Migrationsaufwand von GPO und Alt-Tools
Der Wechsel von klassischen Gruppenrichtlinien und On-Prem-Images hin zu modernen Management- und Deployment-Konzepten (Autopilot, Cloud-basierte Policies) erfordert Konzeptarbeit, Tests und oft ein Re-Design des Client-Build-Prozesses.

3. Vendor-Lock-in und Abhängigkeit von Microsoft-Cloud
Wer Intune vollumfänglich nutzt, bindet sich tief in das Microsoft-Ökosystem ein. Das ist oft gewollt, reduziert aber die Flexibilität beim Wechsel auf andere Plattformen.

4. Datenschutz & BYOD
Gerade in Europa müssen Betriebsrat und Datenschutz eng eingebunden werden: Unterschied zwischen MDM und MAM, Sichtbarkeit von Telemetrie, Trennung von privaten und geschäftlichen Daten.

5. Know-how-Anforderungen
Die Plattform entwickelt sich schnell weiter (z. B. Intune Suite, neue Add-ons, KI-Funktionen). Ohne kontinuierliche Weiterbildung wird es schwer, das Potenzial von Microsoft Intune auszuschöpfen.

Alternative Lösungen

Auch wenn Microsoft Intune im Microsoft-365-Umfeld naheliegt, gibt es etablierte Alternativen im UEM-/MDM-Markt:

  • VMware Workspace ONE – starke Integration in VMware-Umgebungen und Virtual-Desktop-Szenarien.
  • IBM MaaS360 – Cloud-UEM mit breiter Plattformunterstützung und Fokus auf integrierte Security-Analytics.
  • Jamf Pro – spezialisiert auf Apple-Ökosystem (macOS, iOS/iPadOS), häufig in Mac-zentrierten Umgebungen.
  • Weitere UEM-Lösungen wie z. B. Ivanti Neurons oder ManageEngine Endpoint Central.

Welche Lösung passt, hängt u. a. von bestehenden Plattformen, Security-Stack, Compliance-Anforderungen und Lizenzstrategie ab. In reinen Microsoft-365-Umgebungen mit starkem Windows-Fokus bietet Microsoft Intune jedoch meist den geringsten Integrationsaufwand.

Fazit mit kritischer Bewertung

Microsoft Intune hat sich von einer reinen MDM-Lösung zu einer umfassenden Unified-Endpoint-Management-Plattform und Produktfamilie entwickelt. „Microsoft Endpoint Manager“ war dabei eine Zwischenstufe im Branding – technisch steht heute klar Microsoft Intune im Zentrum.

Für Architekt:innen und IT-Leitung
Intune ist ein zentraler Baustein für Zero Trust, Hybrid Work und Cloud-first-Strategien. Die Integration mit Entra ID, Defender und M365 vereinfacht Sicherheits- und Governance-Konzepte, erhöht aber die Bindung an Microsoft. Eine saubere Roadmap (Co-Management, Ablösung von GPO, BYOD-Konzept) ist entscheidend für einen erfolgreichen Rollout.

Für Administrator:innen und Security-Teams
Intune reduziert den Managementaufwand für heterogene Endgeräte und ermöglicht detaillierte, automatisierte Policies. Gleichzeitig steigt die Komplexität: Kenntnisse in Entra ID, Conditional Access, Defender, PowerShell/Graph-API und Intune Suite werden zunehmend Pflicht.

Für Entscheider:innen
Der Business-Case entsteht durch reduzierte Tool-Landschaft, geringere Betriebskosten, höhere Sicherheit und schnellere Bereitstellung neuer Arbeitsplätze. Die Produktivität der Belegschaft hängt direkt davon ab, wie gut Geräte, Anwendungen und Zugriffe orchestriert sind – hier spielt Microsoft Intune seine Stärken aus, insbesondere in Microsoft-zentrierten Umfeldern.

In Summe ist Microsoft Intune für Unternehmen und Behörden mit Microsoft-365-Fokus derzeit eine der strategisch wichtigsten Plattformen für moderne Endpoint-Verwaltung – mit großem Potenzial, aber auch klaren Anforderungen an Architektur, Governance und kontinuierliche Weiterbildung.

Microsoft Intune Schulungen & Weiterbildungsempfehlungen

Wenn Sie Microsoft Intune in der Praxis gezielt einsetzen möchten, empfehlen wir Ihnen unsere Trainings bei www.IT-Schulungen.com.
Wir bieten sowohl offene Schulungen in unseren Schulungszentren oder online als auch maßgeschneiderte Firmenseminare mit individuell abgestimmten Inhalten und Terminen.
Ausgewählte Seminare zu diesem Thema sind u. a.:

  • Microsoft Intune / Microsoft Endpoint Manager (2 Tage)
    In diesem Grundlagen- und Aufbauseminar lernen Teilnehmende, wie sie Microsoft Intune und Microsoft Endpoint Manager für die zentrale Verwaltung von Endgeräten, Richtlinien, Anwendungen und Windows Autopilot einsetzen. Die Schulung richtet sich an IT-Administratoren und Berater:innen, die eine praxisnahe Einführung in Konfiguration, Enrollment, Compliance und Sicherheit benötigen.
  • Microsoft Intune Suite – Endpoint Privilege Management, Remote Help und Cloud PKI (1 Tag)
    Diese kompakte Schulung fokussiert auf die erweiterten Sicherheits- und Supportfunktionen der Microsoft Intune Suite. Teilnehmende erfahren, wie Endpoint Privilege Management, Remote Help und Cloud PKI konzipiert, bereitgestellt und im täglichen Betrieb genutzt werden, um Rechtevergabe, Supportprozesse und Zertifikatsmanagement abzusichern und zu automatisieren.
  • MD-4011 Enhance Endpoint Security with Microsoft Intune and Microsoft Copilot for Security (1 Tag)
    Dieses Training adressiert Administrator:innen und Security-Spezialist:innen, die Microsoft Intune gezielt zur Härtung von Endpunkten mit KI-unterstützten Sicherheitsfunktionen einsetzen wollen. Im Fokus stehen das Design von Sicherheitsrichtlinien, die Integration von Intune in die bestehende Sicherheitsarchitektur sowie der praxisnahe Einsatz von Microsoft Copilot for Security zur Analyse und Reaktion auf Bedrohungen.
Autor: Michael Deinhard Autor

LinkedIn Profil von: Michael Deinhard Michael Deinhard

Artikel erstellt: 10.12.2025
Artikel aktualisiert: 10.12.2025

zurück zur Übersicht

 
 
 
Diese Seite weiterempfehlen:
0
Merkzettel öffnen
0
Besuchsverlauf ansehen
IT-Schulungen.com Control Panel