Geräte-Management · Zum Mitnehmen

Geräte-Management-Checkliste: Ist Ihr Intune-Setup vollständig?

Zehn Prüfpunkte für ein kontrolliertes Geräte-Management mit Microsoft Intune — in rund 15 Minuten. Haken Sie ab, was erfüllt ist; jede offene Stelle ist ein konkreter nächster Schritt.

• 01Microsoft 365 Business Premium / Enterprise-Lizenz vorhanden — umfasst Ihr M365-Abonnement Intune für alle betroffenen Geräte?Intune ist ab Business Premium enthalten. Prüfen Sie, ob alle Nutzer die richtige Lizenz haben — fehlende Zuweisungen verhindern die Geräteverwaltung stillschweigend.
• 02Azure AD / Entra ID als Identity-Provider konfiguriert — ist Ihr Verzeichnisdienst korrekt mit Intune verknüpft?Intune setzt auf Azure AD bzw. Entra ID auf. Ohne saubere Verzeichniskonfiguration können Geräte nicht eingeschrieben werden und Richtlinien greifen nicht.
• 03Intune-Berechtigungen für Admin-Konto gesetzt — haben die zuständigen IT-Verantwortlichen die notwendigen Rollen in Entra ID?Mindestens die Rollen Intune-Dienstadministrator und Global Reader werden benötigt. Zu breite Rechte erhöhen das Risiko; zu schmale verhindern die Verwaltung.
• 04Windows Autopilot Deployment Profile erstellt — können neue Windows-Geräte ohne manuelle Einrichtung direkt in Betrieb genommen werden?Autopilot spart bei jedem neuen Gerät mehrere Stunden Einrichtungszeit. Das Deployment Profile legt fest, wie sich das Gerät beim ersten Start konfiguriert — ohne IT-Eingriff vor Ort.
• 05Compliance-Richtlinie definiert — sind Mindestanforderungen für Verschlüsselung, PIN-Stärke und Update-Stand festgelegt?Ohne Compliance-Richtlinie gelten alle Geräte als konform — auch solche ohne Bitlocker oder veraltetes Windows. Definieren Sie Mindestanforderungen und verknüpfen Sie sie mit bedingtem Zugriff.
• 06Software-Pakete für automatischen Rollout gelistet — werden Pflicht-Anwendungen automatisch auf alle verwalteten Geräte verteilt?Intune kann Anwendungen per Zuweisung automatisch installieren. Prüfen Sie, ob Ihre Pflicht-Apps (z. B. VPN, Virenschutz, Office) korrekt als Required-App hinterlegt sind.
• 07BYOD-Strategie geklärt — ist geregelt, ob und wie private Geräte auf Unternehmensressourcen zugreifen dürfen?App-Schutz-Richtlinien (MAM ohne Enrollment) ermöglichen kontrollierten Zugriff auf M365-Daten auf privaten Geräten, ohne das gesamte Gerät zu verwalten. Ohne klare Regelung entsteht eine unkontrollierte Grauzone.
• 08Remote-Wipe-Testlauf erfolgreich durchgeführt — wurde die Fernlöschung eines Testgeräts einmal vollständig durchgespielt?Ein Remote-Wipe muss im Ernstfall sofort funktionieren. Testen Sie die Funktion regelmäßig mit einem Testgerät — und dokumentieren Sie den Ablauf, damit im Verlustfall keine Zeit verloren geht.
• 09Geräte-Inventar vollständig in Intune erfasst — sind alle Unternehmensgeräte eingeschrieben und im Bestand sichtbar?Ein unvollständiges Inventar ist ein Sicherheitsrisiko. Prüfen Sie, ob auch ältere Geräte, Außendienstlaptops und Tablets in Intune sichtbar sind — und ob sich der Bestand mit Ihren Einkaufsunterlagen deckt.
• 10Support-Prozess bei Compliance-Verstoß dokumentiert — ist klar geregelt, wer bei einem Geräte-Alarm was und in welcher Reihenfolge tut?Intune meldet Compliance-Verstöße — aber nur wenn jemand hinschaut und handelt. Legen Sie fest, wer Alerts empfängt, wann ein Gerät gesperrt wird und wie der Nutzer informiert wird.