Mit Windows Autopilot und Microsoft Intune richtet sich ein neuer Laptop beim ersten Anmelden selbst ein, sicher konfiguriert und ohne manuelles Aufsetzen.
Mit Windows Autopilot und Microsoft Intune konfiguriert sich ein neues Gerät beim ersten Anmelden selbst: Apps, Richtlinien und Sicherheit kommen automatisch aus der Cloud. Das spart Einrichtungszeit, setzt einheitliche Standards durch und macht den Ersatz eines defekten oder verlorenen Geräts zur Randnotiz statt zum verlorenen Arbeitstag.
Windows Autopilot ist ein Verfahren von Microsoft, mit dem sich neue Geräte nahezu von selbst einrichten. Der entscheidende Trick: Der Laptop wird bereits beim Hersteller oder Händler mit seiner eindeutigen Gerätekennung, dem sogenannten Hardware-Hash, in Ihrem System registriert. Sobald der neue Mitarbeitende das Gerät auspackt und sich mit seinem Firmenkonto anmeldet, erkennt es, zu welchem Unternehmen es gehört.
Von da an läuft die Einrichtung automatisch über die Cloud: Das Gerät lädt Ihre Vorgaben, installiert die benötigten Programme und übernimmt alle Sicherheitseinstellungen. Niemand muss mehr Windows manuell aufsetzen, Software einzeln installieren oder Konfigurationen von Hand vornehmen. Auspacken, anmelden, fertig, oft in unter einer Stunde ohne Zutun der IT.
Dieses Modell nennt man Zero-Touch-Provisioning, also Bereitstellung ohne Handanlegen. Der Laptop kann direkt an den Arbeitsplatz oder ins Homeoffice geliefert werden, statt zuerst durch die IT-Abteilung zu wandern. Gerade bei verteilten Standorten und mobiler Arbeit ist das ein erheblicher Vorteil.
Hinter dem Verfahren steht Microsoft Entra ID, der cloudbasierte Verzeichnisdienst, der die Identitäten Ihrer Mitarbeitenden verwaltet, früher unter dem Namen Azure Active Directory bekannt. Über diese digitale Identität meldet sich das neue Gerät an, prüft seine Zugehörigkeit und holt sich die passenden Vorgaben. Geräteverwaltung und Benutzerverwaltung greifen so nahtlos ineinander, was den entscheidenden Unterschied zur alten Welt einzeln aufgesetzter Rechner ausmacht.
Microsoft Intune ist die zentrale Verwaltungsplattform hinter Autopilot, eine cloudbasierte Lösung für das sogenannte Mobile Device Management (MDM), also die zentrale Verwaltung von Endgeräten. Während Autopilot den ersten Start steuert, kümmert sich Intune um den gesamten weiteren Lebenszyklus eines Geräts. Konkret übernimmt es diese Aufgaben:
Gerade beim mobilen Arbeiten ist diese Kontrolle Gold wert. Geht ein Laptop verloren, schützt eine Fernlöschung die Firmendaten, unabhängig davon, wo das Gerät gerade ist. Die Verschlüsselung mit BitLocker sorgt zusätzlich dafür, dass die Daten auf der Festplatte selbst beim Ausbau nicht lesbar sind, ein wichtiger Baustein für den Datenschutz nach DSGVO.
Intune ist dabei nicht auf einen Gerätetyp festgelegt. Neben Windows-Rechnern verwaltet die Plattform auch Macs sowie Smartphones und Tablets unter iOS und Android. Über die Trennung von Firmen- und Privatbereich auf einem Mobilgerät lassen sich geschäftliche Daten gezielt schützen und im Bedarfsfall entfernen, ohne die privaten Fotos und Apps des Mitarbeitenden anzutasten. So bleibt ein einheitliches Sicherheitsniveau über die gesamte, oft bunt gemischte Geräteflotte hinweg erhalten.
Die volle Schutzwirkung entfaltet sich erst im Zusammenspiel mit Conditional Access, dem bedingten Zugriff von Microsoft Entra ID. Conditional Access prüft bei jeder Anmeldung, ob bestimmte Bedingungen erfüllt sind, bevor der Zugriff auf Firmendaten gewährt wird. Eine typische Regel lautet: Nur Geräte, die in Intune als konform gemeldet sind, dürfen auf Microsoft 365 zugreifen.
Damit entsteht eine durchgängige Logik. Intune meldet, ob ein Gerät verschlüsselt, aktuell und richtlinienkonform ist. Conditional Access nutzt diese Information, um den Zugriff zu erlauben oder zu blockieren. Ein privates, ungesichertes Gerät kommt so gar nicht erst an die Unternehmensdaten heran, während ein sauber verwalteter Firmenlaptop reibungslos durchläuft.
Dieser Ansatz folgt dem Zero-Trust-Prinzip, bei dem keinem Gerät und keiner Anmeldung blind vertraut wird, sondern jeder Zugriff geprüft wird. Für den Mittelstand ist das ein erheblicher Sicherheitsgewinn, der sich ohne zusätzliche Hardware allein über die richtige Konfiguration erreichen lässt.
In der Praxis schließt sich damit eine Lücke, die lange offen war. Früher genügte ein gestohlenes Passwort, um von irgendeinem Rechner aus an die Firmendaten zu kommen. Mit der Verbindung aus Geräteverwaltung und bedingtem Zugriff reicht das nicht mehr: Selbst mit korrektem Passwort bleibt ein unbekanntes, nicht verwaltetes Gerät außen vor. Sicherheit wird so nicht nur an die Person, sondern auch an das geprüfte Gerät gebunden.
Der offensichtlichste Gewinn ist Zeit. Statt Stunden pro Gerät manuell zu konfigurieren, ist ein neuer Arbeitsplatz in Minuten startklar. Das entlastet die IT spürbar, besonders wenn mehrere Geräte gleichzeitig ausgerollt werden, etwa bei einer Einstellungswelle oder der Eröffnung eines neuen Standorts.
Mindestens ebenso wichtig ist die Einheitlichkeit. Jedes Gerät startet identisch und sicher konfiguriert, weil die Standards automatisch durchgesetzt werden. Es gibt keine vergessenen Einstellungen und keine individuellen Sonderlocken, die später für Probleme sorgen. Neue Mitarbeitende können sofort produktiv loslegen, und die IT weiß jederzeit, in welchem Zustand sich die gesamte Geräteflotte befindet.
Standardisierung macht aus einem Gerätedefekt eine Randnotiz statt eines verlorenen Arbeitstags.
Dieser Standard zahlt sich besonders aus, wenn ein Gerät ersetzt werden muss. Geht ein Laptop kaputt oder verloren, ist der Ersatz in kürzester Zeit im gewohnten Zustand einsatzbereit, inklusive aller Programme und der Daten aus der Cloud über OneDrive. So wird ein Defekt vom Notfall zur Randnotiz, und niemand verliert einen Arbeitstag mit dem Neuaufsetzen.
Ja, auch bestehende Geräte lassen sich einbinden. Autopilot entfaltet seinen vollen Charme zwar bei fabrikneuen Geräten, doch vorhandene Laptops und PCs lassen sich nachträglich in Intune aufnehmen. Sie werden dann zentral verwaltet und erhalten dieselben Richtlinien und Apps wie neue Geräte, oft im Zuge eines ohnehin anstehenden Neuaufsetzens.
So lässt sich ein bestehender Gerätebestand schrittweise in die moderne Verwaltung überführen, ohne alles auf einen Schlag neu beschaffen zu müssen. Das schont das Budget und vermeidet einen abrupten Umbruch im Arbeitsalltag.
Lizenzseitig ist Intune in vielen Microsoft-365-Plänen bereits enthalten, etwa in Microsoft 365 Business Premium sowie in den Enterprise-Plänen E3 und E5. Hier lohnt der genaue Blick in den Bestand, oft ist die Funktion längst bezahlt, aber ungenutzt. Wie sich ungenutzte Funktionen aufdecken lassen, behandeln wir im Beitrag zur Lizenzoptimierung.
Gerade dieser Punkt überrascht viele Betriebe: Sie zahlen längst für eine moderne Geräteverwaltung, ohne sie zu nutzen, und richten neue Laptops weiterhin mühsam von Hand ein. Wer Intune und Autopilot aktiviert, holt also nicht nur einen Sicherheits- und Effizienzgewinn, sondern macht zugleich eine bereits bezahlte Funktion endlich nutzbar, ein doppelter Hebel, der die Einführung wirtschaftlich besonders attraktiv macht.
Den größten Alltagsnutzen entfaltet die automatische Verwaltung an den beiden heikelsten Momenten im Lebenszyklus eines Mitarbeiters: beim Eintritt und beim Austritt. Beim Onboarding bekommt eine neue Kraft am ersten Tag ein fertig konfiguriertes Gerät, auf dem alle benötigten Programme, Zugänge und Sicherheitseinstellungen bereits liegen. Statt eines halben Einarbeitungstages mit Wartezeit kann sie sofort produktiv starten.
Mindestens ebenso wichtig ist das Offboarding. Verlässt jemand das Unternehmen, lässt sich das Gerät über Intune zentral zurücksetzen oder löschen und für die nächste Person neu bereitstellen. Die Firmendaten sind damit sicher entfernt, ein wichtiger Aspekt für den Datenschutz nach DSGVO, der bei manuell verwalteten Geräten gern übersehen wird und schnell zur stillen Datenlücke wird.
Auch zwischendurch zahlt sich die zentrale Verwaltung aus. Updates, neue Programme oder geänderte Sicherheitsrichtlinien werden einmal hinterlegt und automatisch auf alle Geräte ausgerollt, ohne dass jemand von Rechner zu Rechner gehen muss. So bleibt die gesamte Flotte dauerhaft auf einem einheitlichen, sicheren Stand, und der Verwaltungsaufwand wächst nicht mehr mit jedem zusätzlichen Gerät.
Damit Autopilot reibungslos läuft, müssen einige Grundlagen stimmen. Voraussetzung ist eine passende Microsoft-365-Umgebung mit Intune und Microsoft Entra ID. Außerdem sollten Richtlinien und App-Pakete vorab sauber definiert sein, denn das Gerät übernimmt genau das, was hinterlegt ist, nicht mehr und nicht weniger.
Wir empfehlen, mit einer kleinen Pilotgruppe zu starten und den Ablauf einmal vollständig durchzuspielen. So lassen sich Feinheiten klären, etwa welche Apps standardmäßig dabei sein sollen und welche Sicherheitsrichtlinien greifen, bevor der Rollout in die Breite geht. Steht parallel eine größere Microsoft-365-Migration oder der Schritt in die Cloud an, lässt sich die Geräteverwaltung ideal mit einplanen.
Ist das Fundament einmal gelegt, wird jedes weitere Gerät zum Selbstläufer, und der Aufwand pro Neugerät sinkt dauerhaft auf ein Minimum. Seit 2002 begleitet implec mittelständische Unternehmen bei der Modernisierung ihrer IT, und die Geräteverwaltung gehört zu den Themen mit dem schnellsten spürbaren Effekt im Alltag. Bei implec richten wir Intune und Autopilot so ein, dass der Ablauf zu Ihren Prozessen passt. Für eine unverbindliche Beratung erreichen Sie uns über die Kontaktseite.
FAQ
Kurz und konkret beantwortet.
Intune ist in vielen Microsoft-365-Plänen bereits enthalten, etwa in Business Premium sowie in den Enterprise-Plänen E3 und E5. Wir prüfen Ihren bestehenden Lizenzbestand und sagen Ihnen, ob eine Erweiterung nötig ist.
Ja, genau das ist der Sinn. Nach dem Auspacken meldet sich der Mitarbeitende mit seinem Firmenkonto an, der Rest läuft automatisch über die Cloud ab, ohne dass die IT vor Ort sein muss. Das Gerät kann direkt ins Homeoffice geliefert werden.
Ja. Intune verwaltet neben Windows-Geräten auch mobile Endgeräte unter iOS und Android und sorgt dort für sichere Konfiguration und die Trennung von Firmen- und Privatdaten.
Ja. Über Intune lassen sich verlorene oder gestohlene Geräte aus der Ferne sperren oder löschen. Zusätzlich sorgt die Festplattenverschlüsselung mit BitLocker dafür, dass die Daten selbst beim Ausbau der Festplatte nicht lesbar sind.
Weiterlesen
Fragen zu Ihrem Projekt?
Ob Cloud & Microsoft 365 oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
