Intune-Grundlagen für KMU: Device Management ohne Overengineering

Intune ist Microsofts MDM-Plattform. Für KMUs braucht man 20 % davon, um 80 % des Nutzens zu erzielen. Hier steht, was man tatsächlich einstellt.

Intune (Bestandteil von Microsoft 365 Business Premium) ist die MDM-Schicht für Firmen-Laptops und -Smartphones. Umfangreich — aber für KMUs gibt es ein minimales Set, das bereits großen Mehrwert liefert.

Was Sie mindestens tun sollten

1. Enrollment verpflichtend machen. Firmen-Laptops müssen in Intune registriert sein, bevor sie auf Unternehmensdaten zugreifen können (über Conditional Access).
2. Compliance Policies. Mindestens: Festplattenverschlüsselung aktiv, Passwort-Sperrbildschirm, Betriebssystemversion nicht älter als 6 Monate.
3. Remote Wipe. Bei Verlust oder Offboarding: Gerät per Fernzugriff auf Werkseinstellungen zurücksetzen.
4. Einfache Software-Verteilung. Office, Browser, Slack/Teams und 1Password automatisch ausrollbar.

Was später folgen kann

• App Protection Policies (mobil-spezifisch: wie geht Outlook auf einem privaten Smartphone mit Geschäftsdaten um).
• Windows Autopilot (Zero-Touch-Provisionierung neuer Laptops).
• Defender Policies (Endpoint-Sicherheit zentral über Intune durchsetzen).

BYOD: Was müssen Sie regeln?

Privater Laptop, geschäftliche E-Mail: In diesem Fall sind App Protection Policies erforderlich. Outlook lässt sich so konfigurieren, dass eine Datenisolierung auf App-Ebene erfolgt, ohne das gesamte Gerät zu verwalten. Das ist oft der praktikable Mittelweg.

Siehe auch: M365-Grundlagen, Reaktion bei Laptop-Diebstahl.