Einordnung: Intune im Kontext des Modern Workplace
Mit der Einführung von Windows 11, der Integration von Cloud-Diensten und der zunehmenden Bedeutung von Microsoft Entra ID hat sich die Rolle von Microsoft Intune grundlegend verändert. Während klassische Management-Ansätze stark gerätezentriert waren, verschiebt sich der Fokus im Modern Workplace hin zu einer Kombination aus Identität, Gerätezustand und kontextbasierter Zugriffskontrolle.
Intune übernimmt dabei eine zentrale Rolle. Die Plattform fungiert nicht mehr ausschließlich als Verwaltungswerkzeug für Endgeräte, sondern entwickelt sich zu einer sicherheitskritischen Steuerungsinstanz, die maßgeblich beeinflusst, welche Geräte unter welchen Bedingungen auf Unternehmensressourcen zugreifen dürfen.
Microsoft beschreibt Intune entsprechend als Cloud-basierten Dienst für das Endpoint Management, der Richtlinien durchsetzt, Geräte schützt und Anwendungen bereitstellt. Diese Beschreibung greift jedoch zu kurz, wenn man Intune aus einer architektonischen Perspektive betrachtet.
Vom Verwaltungswerkzeug zur sicherheitsrelevanten Plattform
Im Zusammenspiel mit Microsoft Entra ID und Conditional Access entsteht eine Architektur, in der Intune nicht isoliert agiert, sondern Teil einer übergeordneten Steuerungslogik ist:
- Identität (Entra ID) bestimmt, wer Zugriff anfordert
- Intune bewertet den Zustand des Geräts
- Conditional Access entscheidet über den Zugriff
Dadurch verschiebt sich die Verantwortung von Intune deutlich. Die Plattform ist nicht mehr nur für Konfiguration und Deployment zuständig, sondern wirkt aktiv an Sicherheitsentscheidungen mit.
Gerade im Vergleich zu klassischen Active Directory- und GPO-basierten Umgebungen wird dieser Wandel deutlich. Während dort Richtlinien häufig statisch und netzwerkgebunden angewendet wurden, erfolgt die Steuerung heute dynamisch und kontextabhängig.
Einordnung im Kontext bestehender Inhalte im Blog
Die im Beitrag beschriebenen Zusammenhänge lassen sich nicht isoliert betrachten. Sie bauen auf grundlegenden Konzepten auf, die an anderer Stelle im Blog bereits ausführlicher behandelt wurden.
So zeige ich im Beitrag zu Windows 11 im Modern Workplace: Identität, Geräteverwaltung und Sicherheit mit Entra ID und Intune wie sich moderne Client-Plattform, Identität und Gerätemanagement im Unternehmenskontext verzahnen. Ergänzend dazu verdeutliche ich im Beitrag Anmeldesicherheit neu denken – Warum Passwörter scheitern und Windows Hello for Business sowie Passkeys die Zukunft sind warum Identität und insbesondere starke Authentifizierungsverfahren heute im Zentrum jeder Sicherheitsstrategie stehen. Darüber hinaus liefert der Beitrag Azure Grundlagen: Architekturprinzipien, Identität, Governance und Best Practices für moderne Cloud-Umgebungen eine übergeordnete Perspektive auf Architekturprinzipien wie Governance, Identity und Zero Trust.
Aus diesen Inhalten ergibt sich ein konsistentes Gesamtbild:
- Windows 11 bildet die sichere Client-Plattform
- Cloud-Dienste erweitern die Funktionalität und Skalierbarkeit
- Identitäten entwickeln sich zum zentralen Sicherheitsanker
Intune ergänzt diese Architektur um die operative Steuerungsebene. Dadurch entsteht eine klare Trennung zwischen Identität, Kontrolle und Zugriff – ein Prinzip, das sich direkt in modernen Zero-Trust-Modellen wiederfindet.
Bedrohungsmodell: Warum Intune ein attraktives Angriffsziel ist
Mit der zunehmenden Zentralisierung von Verwaltung und Sicherheitsrichtlinien entsteht ein grundlegender Zielkonflikt. Einerseits vereinfacht diese Bündelung den Betrieb erheblich, da Konfigurationen, Sicherheitsvorgaben und Softwareverteilung zentral gesteuert werden können. Andererseits erhöht genau diese Konzentration von Funktionen die Attraktivität der Plattform für Angreifer:innen, da sich mit einem einzigen erfolgreichen Zugriff weitreichende Kontrollmöglichkeiten eröffnen.
Microsoft Intune vereint in diesem Kontext mehrere sicherheitskritische Aufgaben in einer gemeinsamen Steuerungsebene. Über die Plattform werden Anwendungen verteilt, Sicherheitsrichtlinien durchgesetzt und Gerätezustände kontinuierlich bewertet. Gleichzeitig liefert Intune entscheidende Informationen für Conditional Access Entscheidungen und wirkt damit direkt an der Zugriffskontrolle auf Unternehmensressourcen mit.
Diese enge Verzahnung führt dazu, dass Intune innerhalb der IT-Architektur nicht mehr nur eine unterstützende Rolle einnimmt, sondern als zentrale Kontrollinstanz fungiert. Genau diese Rolle macht die Plattform jedoch zu einem besonders attraktiven Angriffsziel. Wird ein privilegierter Zugriff auf Intune kompromittiert, betrifft dies nicht nur einzelne Systeme oder Datenbestände. Vielmehr geraten die Mechanismen selbst in den Fokus, die festlegen, welche Geräte als vertrauenswürdig gelten und unter welchen Bedingungen Zugriff gewährt wird.
Angriffsszenarien aus der Praxis
Die Relevanz dieses Bedrohungsmodells zeigt sich nicht nur auf konzeptioneller Ebene, sondern auch in realen Sicherheitsvorfällen. Sicherheitsbehörden wie die CISA haben im Zusammenhang mit dem sogenannten Stryker-Vorfall dokumentiert, dass Angreifer gezielt Verwaltungsplattformen wie Intune missbrauchen konnten, um Endgeräte zu manipulieren oder sogar vollständig zurückzusetzen. Damit verschiebt sich der Angriffsvektor weg vom einzelnen System hin zur zentralen Steuerungsebene.
Ein kompromittierter administrativer Zugriff auf Intune eröffnet in diesem Kontext weitreichende Möglichkeiten. Angreifer sind in der Lage, manipulierte Anwendungen auf verwaltete Geräte auszurollen und damit Schadcode direkt in vertrauenswürdige Umgebungen einzuschleusen. Gleichzeitig können bestehende Sicherheitsrichtlinien gezielt abgeschwächt oder vollständig entfernt werden, wodurch Schutzmechanismen wiederum systematisch ausgehebelt werden. Besonders kritisch ist zudem die Möglichkeit, Geräte remote zurückzusetzen oder gezielt aus der Verwaltung zu entfernen, was sowohl operative Ausfälle als auch Datenverluste nach sich ziehen kann.
Darüber hinaus zeigt aktuelle Forschung, dass sich die Angriffsfläche deutlich erweitert, wenn Intune mit angrenzenden Systemen kombiniert wird. Insbesondere die enge Integration mit Entra ID sowie Zertifikatsdiensten führt dazu, dass Identitäts- und Geräteebene zunehmend miteinander verschmelzen. In solchen Szenarien gewinnen tokenbasierte Angriffe, kompromittierte Service Principals und missbrauchte Zertifikate erheblich an Bedeutung. Angriffe zielen damit nicht mehr nur auf klassische Zugangsdaten, sondern auf die Vertrauensbeziehungen innerhalb der gesamten Architektur.
Verschiebung des Angriffsvektors
Ein zentraler Unterschied zu klassischen Angriffsmustern liegt in der strukturellen Verschiebung des Angriffsziels. Während Angriffe früher häufig direkt auf Endgeräte abzielten, rückt heute zunehmend die Management- und Steuerungsebene in den Fokus. Diese Entwicklung ist eng mit der Transformation hin zu cloudbasierten Architekturen verbunden, in denen Kontrolle nicht mehr lokal, sondern zentral orchestriert wird.
Angreifer:innen verfolgen dabei einen klar strategischen Ansatz. Anstatt einzelne Geräte isoliert zu kompromittieren, wird gezielt die Instanz angegriffen, die diese Geräte verwaltet. Dadurch entsteht ein Multiplikatoreffekt: Ein erfolgreicher Zugriff auf die Management-Ebene ermöglicht indirekt die Kontrolle über eine Vielzahl von Systemen. Gleichzeitig verlagert sich der Fokus von klassischen Zugangsdaten hin zu Identitäten und insbesondere zu Token-basierten Authentifizierungsmechanismen, da diese oft weniger sichtbar und schwerer zu überwachen sind.
Auffällig ist zudem, dass moderne Angriffe zunehmend auf legitime Funktionen setzen. Anstatt Schadsoftware einzuschleusen, werden vorhandene Management-Mechanismen missbraucht, um Konfigurationen zu verändern, Richtlinien anzupassen oder Aktionen auf Endgeräten auszulösen. Dadurch verschwimmen die Grenzen zwischen regulärer Administration und bösartiger Aktivität, was die Erkennung erheblich erschwert.
Diese Entwicklung lässt sich konsequent in moderne Zero-Trust-Modelle einordnen. Wenn Identität und Kontrolle die zentralen Sicherheitsanker darstellen, werden genau diese Ebenen zwangsläufig zum primären Angriffsziel.
Konsequenzen für die Sicherheitsstrategie
Aus dieser Perspektive ergibt sich eine zentrale Erkenntnis: Die Absicherung von Intune ist keine optionale Maßnahme, sondern ein integraler Bestandteil der gesamten Sicherheitsarchitektur.
Mit der Verlagerung von Kontrolle und Steuerung in die Cloud verschiebt sich auch die Verantwortungsebene. Sicherheit entsteht nicht mehr primär auf dem Endgerät, sondern entlang der gesamten Zugriffskette – von der Identität über die Management-Ebene bis hin zur tatsächlichen Durchsetzung von Richtlinien. Intune nimmt in diesem Modell eine Schlüsselrolle ein, da hier technische Kontrolle und sicherheitsrelevante Entscheidungen zusammenlaufen.
Organisationen, die Intune einsetzen, müssen daher nicht nur Endgeräte absichern, sondern insbesondere die Plattform selbst sowie deren Zugriffspfade konsequent schützen. Andernfalls entsteht ein strukturelles Risiko, bei dem zentrale Steuerungsmechanismen zum Single Point of Failure werden.
Dazu gehören unter anderem:
- Absicherung privilegierter Konten, insbesondere durch starke Authentifizierungsverfahren und Minimierung von dauerhaften Administratorrechten
- Klare Rollen- und Berechtigungskonzepte, die eine saubere Trennung von Aufgaben und Verantwortlichkeiten gewährleisten
- Kontinuierliche Überwachung administrativer Aktivitäten, um missbräuchliche oder ungewöhnliche Aktionen frühzeitig zu erkennen
- Integration in ein ganzheitliches Zero-Trust-Modell, in dem Identität, Gerätezustand und Kontext gemeinsam bewertet werden
Diese Anforderungen bilden die Grundlage für die folgenden Kapitel, in denen konkrete Schutzmaßnahmen und architektonische Ansätze detailliert betrachtet werden. Ziel ist es, Intune nicht nur als Verwaltungswerkzeug zu verstehen, sondern als sicherheitskritische Plattform, die aktiv in die Gesamtstrategie eingebunden werden muss.
Security-In-Depth: Die drei zentralen Schutzprinzipien
Moderne Sicherheitsarchitekturen folgen keinem einzelnen Schutzmechanismus, sondern einem mehrschichtigen Ansatz. Gerade im Kontext von Microsoft Intune ist dies entscheidend, da hier Identität, Gerätemanagement und Zugriffskontrolle eng miteinander verzahnt sind.
Ein wirksames Schutzkonzept basiert daher auf drei zentralen Prinzipien: der konsequenten Reduktion von Berechtigungen, der Absicherung von Authentifizierungsverfahren sowie der Kontrolle kritischer Änderungen. Erst das Zusammenspiel dieser Ebenen ermöglicht eine robuste und belastbare Sicherheitsarchitektur.
Least Privilege und Rollenmodell
Das Prinzip der minimalen Rechtevergabe bildet die zentrale Grundlage für eine sichere Intune-Architektur. Ziel ist es, administrative Berechtigungen konsequent zu reduzieren, klar zu strukturieren und nur dort bereitzustellen, wo sie tatsächlich benötigt werden. In der Praxis entsteht daraus ein Zusammenspiel mehrerer Mechanismen: das rollenbasierte Zugriffskontrollmodell (RBAC) von Intune, die Segmentierung über Scope Tags sowie die zeitlich begrenzte Vergabe privilegierter Rechte über Entra Privileged Identity Management (PIM). Gemeinsam folgen diese Komponenten einem übergeordneten Architekturprinzip: Es existieren keine dauerhaft privilegierten Konten mehr.
Intune RBAC im Sicherheitskontext
Das rollenbasierte Zugriffskontrollmodell von Intune ermöglicht eine granulare Steuerung administrativer Aufgaben und bildet damit die operative Grundlage für Least Privilege. Rollen definieren dabei nicht nur Zuständigkeiten, sondern setzen gleichzeitig sicherheitsrelevante Grenzen.
Entscheidend ist, dass Rollen bewusst restriktiv gestaltet werden. Werden Berechtigungen zu weit gefasst, erhöht sich unmittelbar die Angriffsfläche. Gleichzeitig steigt die potenzielle Wirkung kompromittierter Konten erheblich. RBAC ist daher kein reines Organisationswerkzeug, sondern ein zentraler Baustein zur Begrenzung von Risiken.
Segmentierung durch Scope Tags
Ergänzend zum Rollenmodell ermöglichen Scope Tags eine gezielte Segmentierung der Verwaltungsumgebung. Administratoren erhalten dadurch nicht nur bestimmte Rollen, sondern diese gelten ausschließlich für definierte Teilbereiche, etwa bestimmte Gerätegruppen oder organisatorische Einheiten.
Gerade in größeren Umgebungen verhindert diese Trennung, dass einzelne Administratoren globale Kontrolle erhalten. Gleichzeitig wird die seitliche Bewegung im Angriffsfall deutlich eingeschränkt, da Berechtigungen strikt auf klar abgegrenzte Kontexte begrenzt bleiben.
Just-in-Time Privilegien mit Entra PIM
Ein weiterer zentraler Baustein ist die Nutzung von Just-in-Time-Privilegien über Entra Privileged Identity Management. Anstatt Administrationsrechte dauerhaft zu vergeben, werden diese gezielt angefordert und nur für einen begrenzten Zeitraum aktiviert.
Dieser Ansatz ermöglicht die Integration zusätzlicher Sicherheitsmechanismen, etwa Multi-Faktor-Authentifizierung, Genehmigungsprozesse und detaillierte Protokollierung. Gleichzeitig wird sichergestellt, dass privilegierte Rechte nur dann existieren, wenn sie tatsächlich benötigt werden.
Architekturprinzip: Keine stehenden Admin-Rechte
Aus dem Zusammenspiel von RBAC, Scope Tags und PIM entsteht ein klares Zielbild: Dauerhaft privilegierte Konten werden konsequent vermieden. Stattdessen werden administrative Rechte situativ vergeben, kontrolliert genutzt und anschließend wieder entzogen.
Dieses Modell reduziert nicht nur die Angriffsfläche, sondern verändert auch die Qualität potenzieller Angriffe grundlegend. Selbst wenn Zugangsdaten kompromittiert werden, entfaltet ein Konto ohne aktive Privilegierung nur eine stark eingeschränkte Wirkung.
Phishing-resistente Authentifizierung
Die Absicherung von Identitäten stellt eine der zentralen Herausforderungen moderner IT-Sicherheitsarchitekturen dar. Insbesondere privilegierte Konten erfordern ein deutlich höheres Schutzniveau, da sie direkten Zugriff auf sicherheitskritische Funktionen ermöglichen. Vor diesem Hintergrund reicht klassische Authentifizierung nicht mehr aus. Stattdessen sind Verfahren erforderlich, die gezielt gegen moderne Angriffsformen wie Phishing und Token-Missbrauch ausgelegt sind.
Die grundlegenden Zusammenhänge und die Entwicklung hin zu passwortlosen Verfahren habe ich im Beitrag zur modernen Anmeldesicherheit ausführlich vertieft. Im vorliegenden Kontext liegt der Fokus hingegen gezielt auf der Absicherung privilegierter Zugriffe innerhalb von Intune- und Cloud-Management-Umgebungen.
Grenzen klassischer MFA
Viele Sicherheitskonzepte setzen weiterhin auf klassische Multi-Faktor-Authentifizierung als primären Schutzmechanismus. In der Praxis zeigt sich jedoch zunehmend, dass diese Verfahren nicht ausreichend widerstandsfähig sind. Angriffe wie Phishing-as-a-Service oder gezielte MFA Fatigue-Kampagnen ermöglichen es, Benutzer zur Freigabe von Anmeldeversuchen zu bewegen oder Authentifizierungsprozesse zu manipulieren.
Dadurch verliert klassische MFA ihre Rolle als alleinige Schutzmaßnahme, insbesondere im Kontext privilegierter Konten. Sie bleibt zwar ein wichtiger Bestandteil der Sicherheitsstrategie, muss jedoch durch stärkere, phishing-resistente Verfahren ergänzt werden.
Token-basierte Angriffe als neue Realität
Ein wesentlicher Paradigmenwechsel besteht darin, dass Angreifer nicht mehr primär Zugangsdaten stehlen, sondern gültige Authentifizierungssitzungen übernehmen. Techniken wie Session Hijacking oder Token Replay ermöglichen es, bestehende Sitzungen auszunutzen, ohne den eigentlichen Login-Prozess erneut durchlaufen zu müssen.
Diese Entwicklung ist besonders kritisch, da viele Sicherheitsmechanismen an die initiale Authentifizierung gekoppelt sind. Wird ein gültiges Token kompromittiert, greifen zusätzliche Schutzmaßnahmen häufig nicht mehr. Im Kontext von Cloud-Diensten wie Intune kann dies dazu führen, dass Angreifer direkten Zugriff auf Verwaltungsfunktionen erhalten, ohne erneut authentifiziert werden zu müssen.
Anforderungen an privilegierte Konten
Vor diesem Hintergrund ergeben sich klare Anforderungen an die Absicherung privilegierter Zugriffe. Phishing-resistente Authentifizierungsverfahren sind keine optionale Ergänzung mehr, sondern eine zwingende Voraussetzung für eine belastbare Sicherheitsarchitektur.
Dazu gehören insbesondere:
- Einsatz von FIDO2-basierten Authentifizierungsverfahren, die gegenüber klassischen Phishing-Angriffen resistent sind
- Nutzung von Windows Hello for Business als gerätegebundene, schlüsselbasierte Authentifizierung
- Einsatz zertifikatsbasierter Authentifizierung, insbesondere in verwalteten Geräteumgebungen
Ergänzend dazu sollten privilegierte Zugriffe ausschließlich über dedizierte, gehärtete Arbeitsumgebungen erfolgen, etwa in Form von Privileged Access Workstations (PAW). Dadurch wird sichergestellt, dass administrative Aktionen nicht aus potenziell kompromittierten Standardumgebungen heraus durchgeführt werden.
In der Kombination entsteht ein mehrschichtiges Schutzmodell, das nicht nur den Authentifizierungsprozess absichert, sondern auch die Integrität der gesamten Zugriffskette stärkt.
Multi Admin Approval
Die Absicherung von Identität und Berechtigungen bildet eine zentrale Grundlage moderner Sicherheitsarchitekturen. Darüber hinaus gewinnt jedoch ein weiterer Aspekt zunehmend an Bedeutung: die gezielte Kontrolle besonders sensibler Änderungen innerhalb der Plattform. Gerade in Intune, wo administrative Aktionen unmittelbare Auswirkungen auf Geräte, Benutzer und Sicherheitsrichtlinien haben, entsteht hier ein kritischer Kontrollpunkt.
Bestimmte Maßnahmen wirken direkt und oft ohne zeitliche Verzögerung auf produktive Systeme. Dazu zählen beispielsweise das Zurücksetzen von Geräten, das Ausrollen von Skripten oder Änderungen an Rollen und Berechtigungen. Ohne zusätzliche Absicherung können solche Aktionen – ob absichtlich oder unbeabsichtigt – weitreichende Folgen haben.
Vier-Augen-Prinzip als Sicherheitsmechanismus
Multi Admin Approval etabliert in diesem Kontext ein technisches Vier-Augen-Prinzip. Kritische Aktionen werden nicht mehr durch eine einzelne Instanz ausgeführt, sondern erfordern eine zusätzliche Freigabe durch eine zweite autorisierte Person.
Dieses Vorgehen schafft eine zusätzliche Kontrollschicht und reduziert Risiken auf mehreren Ebenen. Zum einen wird die unmittelbare Ausnutzbarkeit kompromittierter Konten eingeschränkt. Zum anderen entsteht ein strukturiertes Prüfverfahren, das auch unbeabsichtigte Fehlkonfigurationen frühzeitig abfangen kann. Insbesondere in sicherheitskritischen oder regulierten Umgebungen ist dieser Mechanismus ein zentraler Bestandteil belastbarer Governance-Strukturen.
Typische Anwendungsfälle sind:
- Genehmigung von Device-Wipe-Aktionen
- Freigabe von Skripten oder sicherheitsrelevanten Konfigurationsänderungen
- Kontrolle von Rollen- und Berechtigungsanpassungen
Reduktion von Insider- und Fehlkonfigurationsrisiken
Ein wesentlicher Vorteil dieses Ansatzes liegt in der systematischen Reduktion von Insider-Risiken. Selbst wenn privilegierte Konten missbräuchlich verwendet oder kompromittiert werden, verhindert die zusätzliche Freigabeinstanz eine unmittelbare Eskalation.
Darüber hinaus wirkt Multi Admin Approval als wirksamer Schutzmechanismus gegen Fehlkonfigurationen. In komplexen IT-Umgebungen entstehen Risiken häufig nicht durch gezielte Angriffe, sondern durch unbeabsichtigte Änderungen mit großer Reichweite. Durch die verpflichtende Gegenprüfung werden solche Effekte deutlich reduziert.
Insgesamt ergänzt Multi Admin Approval die technischen Schutzmaßnahmen um eine organisatorische und prozessuale Sicherheitsebene. Erst durch dieses Zusammenspiel entsteht eine ganzheitliche Sicherheitsarchitektur, die sowohl externe Angriffe als auch interne Risiken wirksam adressiert.
Exkurs: Von One User, One Password zu Zero Trust
Die Entwicklung moderner Sicherheitsarchitekturen lässt sich nur dann vollständig verstehen, wenn man ihre historischen Wurzeln betrachtet. Viele der heutigen Konzepte sind direkte Reaktionen auf Paradigmen, die über Jahrzehnte hinweg als Best Practice galten.
Die 1990er Jahre: Komfort als Leitprinzip
In den 1990er Jahren stand vor allem ein Ziel im Mittelpunkt: Vereinfachung. Mit der zunehmenden Verbreitung von Netzwerken und domänenbasierten Infrastrukturen wurde das Modell One User, One Password zum zentralen Versprechen moderner IT. Ein Benutzerkonto, ein Kennwort – und damit Zugriff auf Betriebssystem, Netzwerkressourcen und Anwendungen.
Dieses Konzept war aus damaliger Sicht ein bedeutender Fortschritt:
- Reduzierung von Komplexität für Anwender
- Minimierung administrativer Aufwände
- Etablierung zentraler Identitäten (z.B. durch Verzeichnisdienste wie Active Directory)
Gleichzeitig war das zugrunde liegende Sicherheitsverständnis stark lokal geprägt. IT wurde primär innerhalb klar definierter Unternehmensgrenzen gedacht. Wer arbeitete, befand sich im internen Netzwerk – physisch im Büro oder logisch innerhalb der eigenen Infrastruktur.
Daraus ergab sich ein einfaches, aber folgenreiches Modell: Der Schutz konzentrierte sich auf den Zugang zum Netzwerk selbst. Wurde dieser – etwa durch erfolgreiche Authentifizierung –überwunden, galt der Benutzer innerhalb des Netzwerks als vertrauenswürdig.
Die zugrunde liegende Annahme war daher klar: Wer sich erfolgreich authentifiziert, ist legitim – und bleibt es. Sicherheit wurde primär als einmalige Zugangskontrolle verstanden, nicht als kontinuierlicher Prozess.
Dieses implizite Vertrauen setzte sich im gesamten System fort:
- Interne Kommunikation wurde selten hinterfragt
- Sicherheitsprüfungen endeten häufig nach der Anmeldung
- Zugriffe innerhalb des Netzwerks wurden kaum eingeschränkt
Gleichzeitig war die Bedrohungslage vergleichsweise gering. Internetbasierte Angriffe, automatisierte Exploits oder großskalige Identitätsdiebstähle spielten in der Praxis nur eine untergeordnete Rolle.
Vor diesem Hintergrund war das Modell nicht nur praktikabel, sondern aus damaliger Sicht auch ausreichend – seine strukturellen Schwächen wurden jedoch erst mit der zunehmenden Vernetzung und Professionalisierung von Angriffen sichtbar.
Die 2000er Jahre: Erste Risse im Modell
Mit der zunehmenden Vernetzung von Systemen und der Professionalisierung von Angriffen begann dieses Modell zu erodieren. Schadsoftware, Phishing und gezielte Angriffe machten deutlich, dass ein einmal kompromittiertes Kennwort weitreichende Folgen haben kann.
Auch Microsoft selbst leitete in dieser Phase ein grundlegendes Umdenken ein. In der Sicherheitsstrategie, die unter anderem auf der RSA Conference 2006 vorgestellt wurde, wird deutlich, dass klassische perimeterbasierte Sicherheitsmodelle nicht mehr ausreichen.
Der Fokus verschob sich schrittweise:
- von Vertrauen → zu Risikoannahmen
- von statischer Authentifizierung → zu zusätzlichen Sicherheitsmechanismen
- von Komfort → zu kontrollierter Sicherheit
Das Passwort blieb zwar zentraler Bestandteil, verlor jedoch seine Rolle als alleiniger Vertrauensanker.
Gegenwart: Zero Trust als logische Konsequenz
Heute ist die Ausgangslage eine grundlegend andere. Identitäten sind das primäre Angriffsziel, Angriffe erfolgen automatisiert und skalierbar, und klassische Netzwerkgrenzen verlieren zunehmend an Bedeutung. Vor diesem Hintergrund ist das ursprüngliche Modell One User, One Password nicht mehr tragfähig. Ein einzelner Authentifizierungsfaktor kann die notwendige Sicherheit nicht gewährleisten.
Zero Trust stellt daher keinen radikalen Bruch dar, sondern die konsequente Weiterentwicklung dieser Erkenntnisse:
- Vertrauen wird nicht vorausgesetzt, sondern kontinuierlich überprüft
- Identität allein ist nicht ausreichend – Kontext und Gerätezustand werden einbezogen
- Zugriff wird dynamisch bewertet und bei Bedarf eingeschränkt oder entzogen
Das Ziel bleibt dabei unverändert: ein möglichst reibungsloser Zugriff für legitime Benutzer. Der Unterschied liegt jedoch in der Art und Weise, wie Vertrauen hergestellt wird.
Einordnung für moderne Intune-Architekturen
Im Kontext von Microsoft Intune wird dieser Wandel besonders greifbar. Während frühere Modelle stark auf einmalige Authentifizierung setzten, basiert die heutige Architektur auf einem Zusammenspiel aus Identität, Gerätezustand und Zugriffskontrolle.
Das bedeutet:
- Ein Benutzer ist nicht automatisch vertrauenswürdig, nur weil er sich erfolgreich angemeldet hat
- Ein Gerät muss kontinuierlich den definierten Sicherheitsanforderungen entsprechen
- Zugriffe werden situativ bewertet und gesteuert
Damit wird deutlich, dass moderne Plattformen wie Intune nicht nur Werkzeuge zur Verwaltung sind, sondern aktive Bestandteile einer Sicherheitsarchitektur, die auf den Prinzipien von Zero Trust basiert.
Vom Vertrauensmodell zur Verifikationsarchitektur
Die Entwicklung von One User, One Password hin zu Zero Trust ist kein technologischer Trend, sondern eine notwendige Reaktion auf eine fundamental veränderte Bedrohungslage.
Was früher als Komfortgewinn galt, stellt heute ein Sicherheitsrisiko dar. Moderne IT-Architekturen müssen daher den Spagat schaffen, Benutzerfreundlichkeit und Sicherheit neu auszubalancieren – nicht durch Vereinfachung, sondern durch intelligente, kontextbasierte Steuerung.
Conditional Access als Durchsetzungsebene
Moderne Sicherheitsarchitekturen entfalten ihre Wirkung nicht durch einzelne Maßnahmen, sondern durch das koordinierte Zusammenspiel mehrerer Ebenen. Im Microsoft-Ökosystem übernimmt Conditional Access dabei die Rolle der zentralen Durchsetzungsebene. Hier werden Entscheidungen darüber getroffen, ob und unter welchen Bedingungen ein Zugriff tatsächlich erlaubt wird.
Während Identitäten über Entra ID verwaltet und Geräte über Intune bewertet werden, verknüpft Conditional Access diese Informationen zu konkreten Zugriffsentscheidungen. Dadurch entsteht ein dynamisches Sicherheitsmodell, das Kontext, Zustand und Risiko in Echtzeit berücksichtigt.
Zusammenspiel von Identität, Gerätezustand und Zugriff
Eine belastbare Sicherheitsarchitektur im Modern Workplace basiert auf drei eng verzahnten Komponenten: Identität, Gerätezustand und Zugriffskontrolle.
Entra ID stellt die Identität als primären Sicherheitsanker bereit. Hier werden Benutzerkonten, Gruppen, Rollen und Authentifizierungsmechanismen verwaltet. Gleichzeitig liefert Entra ID Signale zur Risikobewertung, etwa im Kontext von Anmeldeverhalten oder potenziellen Kompromittierungen.
Intune ergänzt diese Perspektive um den Gerätezustand. Geräte werden kontinuierlich bewertet, etwa hinsichtlich Compliance, Sicherheitskonfiguration oder Patch-Stand. Diese Informationen sind entscheidend, um zu beurteilen, ob ein Gerät als vertrauenswürdig gilt.
Conditional Access fungiert schließlich als verbindende Instanz. Auf Basis der Identität und des Gerätezustands werden Zugriffsrichtlinien durchgesetzt. Ein Zugriff kann beispielsweise nur dann erlaubt werden, wenn sowohl die Identität als auch das verwendete Gerät definierte Sicherheitsanforderungen erfüllen.
Dieses Zusammenspiel bildet die technische Grundlage für Zero-Trust-Architekturen, in denen kein Zugriff per se als vertrauenswürdig gilt, sondern kontinuierlich überprüft wird.
Design Patterns für administrative Zugriffe
Besonders kritisch sind Zugriffe mit erhöhten Rechten. Für administrative Konten gelten daher strengere Anforderungen, die über Standardrichtlinien hinausgehen müssen.
Ein bewährtes Design Pattern besteht darin, administrative Zugriffe konsequent zu isolieren. Administrator:innen arbeiten nicht mit ihren regulären Konten, sondern nutzen dedizierte Identitäten für privilegierte Aufgaben. Diese Konten unterliegen verschärften Conditional-Access-Richtlinien, etwa durch verpflichtende phishing-resistente Authentifizierung und eingeschränkte Zugriffskontexte.
Darüber hinaus sollten administrative Zugriffe an den Zustand des verwendeten Geräts gebunden sein. Zugriffe erfolgen idealerweise ausschließlich von als compliant bewerteten und speziell gehärteten Systemen, etwa Privileged Access Workstations. Dadurch wird sichergestellt, dass administrative Aktionen nicht aus potenziell kompromittierten Umgebungen heraus durchgeführt werden.
Ein weiteres zentrales Muster besteht in der konsequenten Trennung von Rollen und Zugriffsebenen. Administrative Rechte werden nicht dauerhaft genutzt, sondern über Mechanismen wie PIM temporär aktiviert und anschließend wieder entzogen. Conditional Access kann diesen Prozess zusätzlich absichern, indem erhöhte Anforderungen an die Authentifizierung während der Aktivierungsphase gestellt werden.
Typische Fehlkonfigurationen in der Praxis
Trotz leistungsfähiger Sicherheitsmechanismen kommt es in der Praxis häufig zu Schwachstellen, die auf fehlerhafte oder unvollständige Konfigurationen zurückzuführen sind. Diese Schwachstellen entstehen selten aufgrund mangelnder technologischer Möglichkeiten, sondern meist durch unklare Architekturentscheidungen oder eine inkonsistente Umsetzung der Sicherheitsvorgaben. In vielen Fällen werden Sicherheitsmechanismen zwar implementiert, jedoch nicht mit der nötigen Sorgfalt und Konsequenz.
Ein typisches Beispiel für eine solche Fehlkonfiguration ist die zu allgemeine Definition von Conditional-Access-Richtlinien. Wenn alle Benutzer:innen identisch behandelt werden und keine differenzierten Schutzmechanismen für privilegierte Konten existieren, entstehen unnötige Risiken. Besonders kritische Zugriffe werden dadurch nicht ausreichend abgesichert, was die Angriffsfläche für potenzielle Bedrohungen erhöht.
Ebenso problematisch ist eine mangelnde Verknüpfung zwischen Gerätezustand und Zugriffskontrolle. Werden Compliance-Informationen aus Intune nicht konsequent in die Conditional-Access-Entscheidungen integriert, verlieren zentrale Sicherheitsmechanismen ihre Wirkung. Dadurch kann es passieren, dass Zugriffe von unsicheren oder nicht konformen Geräten ermöglicht werden und somit das Sicherheitsniveau der gesamten Umgebung sinkt.
Ein weiterer kritischer Punkt ist die fehlende Absicherung von administrativen Zugängen. Wenn privilegierte Konten nicht durch zusätzliche Anforderungen geschützt werden oder von beliebigen Geräten aus genutzt werden können, entsteht ein erhebliches Angriffspotenzial. Die Gefahr, dass Angreifer administrative Rechte missbrauchen, steigt deutlich, sofern keine klaren Zugriffsregeln und Schutzmechanismen existieren.
Darüber hinaus zeigt sich in vielen Umgebungen, dass zwar Richtlinien definiert werden, diese jedoch nicht konsequent überwacht oder weiterentwickelt werden. Ohne regelmäßige Überprüfung schleichen sich Sicherheitslücken ein, beispielsweise durch veränderte Anforderungen oder neue Angriffsszenarien. Die fortlaufende Anpassung und Überwachung der Sicherheitsrichtlinien ist daher unerlässlich, um das Schutzniveau dauerhaft zu gewährleisten.
Insgesamt wird deutlich, dass Conditional Access nicht isoliert betrachtet werden darf. Erst durch das Zusammenspiel mit Identität und Gerätezustand entsteht eine wirksame Ebene zur Durchsetzung von Sicherheitsanforderungen, die Zero-Trust-Prinzipien technisch umsetzt und für eine kontinuierliche Kontrolle sorgt.
Identity als Fundament: Die eigentliche Kontrollinstanz moderner Sicherheitsarchitekturen
Die bisherigen Betrachtungen haben verdeutlicht, dass Microsoft Intune als zentrale Steuerungsinstanz innerhalb moderner IT-Architekturen fungiert und Sicherheitsmechanismen über verschiedene Ebenen hinweg orchestriert. Gleichzeitig wird jedoch klar: Diese Steuerung basiert nicht primär auf Geräten oder Richtlinien – sondern auf Identitäten.
Der zugrunde liegende Paradigmenwechsel ist dabei fundamental. Während klassische Sicherheitsmodelle auf klar definierten Netzwerkgrenzen beruhten, verlagert sich die Kontrollinstanz in modernen Cloud-Umgebungen konsequent auf die Identität. Sie ist nicht mehr nur ein Zugangselement, sondern das zentrale Steuerungsobjekt der gesamten Architektur.
Unabhängig davon, wie granular Berechtigungen modelliert, wie restriktiv Conditional-Access-Richtlinien definiert oder wie sicher Endgeräte konfiguriert sind – jede Entscheidung innerhalb dieser Architektur beginnt mit einer Identität. Damit wird Identity Security nicht zu einem Teilaspekt, sondern zur tragenden Grundlage der gesamten Sicherheitsstrategie.
Identity Security als Abhängigkeitsebene von Intune
Microsoft Intune ist tief in das Identitätsmodell von Microsoft Entra ID integriert. Jede administrative Aktion, jede Richtlinienzuweisung und jede Geräteinteraktion ist unmittelbar an eine authentifizierte Identität gebunden. Daraus ergibt sich eine zentrale Abhängigkeit: Die Sicherheitswirkung von Intune ist direkt gekoppelt an die Integrität der zugrunde liegenden Identitäten.
Wird eine Identität kompromittiert, verliert die darüber gesteuerte Sicherheitsarchitektur einen wesentlichen Teil ihrer Wirksamkeit. Angreifer agieren nicht mehr gegen Schutzmechanismen, sondern innerhalb legitimierter Zugriffspfade. Sie nutzen vorhandene Berechtigungen, umgehen klassische Sicherheitsgrenzen und bewegen sich entlang der vorgesehenen Steuerungslogik der Plattform.
Diese Perspektive ist entscheidend für das Verständnis moderner Angriffsszenarien. Ziel ist nicht mehr primär die technische Schwachstelle eines Systems, sondern die Übernahme der Identität, die dieses System steuert. Identitäten werden damit zu hochkritischen Angriffszielen – und zugleich zu den sensibelsten Kontrollpunkten der Architektur.
Privilegierte Identitäten, Anwendungen und Token als Risikofaktoren
Die Absicherung von Identitäten umfasst weit mehr als klassische Benutzerkonten. Besonders kritisch sind privilegierte Rollen, Service Principals sowie Enterprise Applications, die häufig im Hintergrund operieren und dennoch weitreichende Steuerungsrechte besitzen.
Privileged Identity Management (PIM) adressiert diese Herausforderung, indem es privilegierte Zugriffe zeitlich begrenzt, nachvollziehbar macht und an zusätzliche Prüfmechanismen bindet. Gleichzeitig entsteht jedoch eine zweite, oft unterschätzte Ebene: nicht-interaktive Identitäten und tokenbasierte Zugriffskonzepte.
Token-basierte Authentifizierung ermöglicht effiziente und skalierbare Zugriffsmodelle, bringt jedoch inhärente Risiken mit sich. Ein einmal ausgestelltes Token kann innerhalb seiner Gültigkeitsdauer genutzt werden, ohne dass eine erneute Authentifizierung erforderlich ist. In Kombination mit umfangreichen Berechtigungen entsteht daraus ein potenziell kritischer Angriffsvektor.
Im Kontext von Intune gewinnt dieser Aspekt besondere Relevanz. Tokens können nicht nur auf Daten zugreifen, sondern auch Managementfunktionen ausführen. Ein kompromittiertes Token ermöglicht somit nicht lediglich Einsicht, sondern aktive Einflussnahme auf Konfigurationen und Richtlinien – und damit auf die Steuerungslogik der gesamten Umgebung.
Operative Vertiefung durch spezialisierte Analysen
Die Komplexität moderner Identity- und Cloud-Sicherheitsarchitekturen lässt sich nur begrenzt innerhalb eines einzelnen Beitrags abbilden. Für die operative Umsetzung ist daher die gezielte Vertiefung einzelner Themenbereiche essenziell.
Insbesondere in den Bereichen Conditional Access, Identity Protection und Token-Sicherheit existieren spezialisierte Analysen, die konkrete Implementierungsansätze, typische Fehlkonfigurationen und bewährte Betriebsmodelle adressieren. Beiträge von Expert:innen wie Aaron Siller liefern hier wertvolle Einblicke, indem sie konzeptionelle Grundlagen mit praktischen Erfahrungen verknüpfen.
Die Einbindung solcher Deep Dives erweitert die architektonische Perspektive um eine operative Dimension. Sie unterstützt dabei, theoretische Sicherheitsprinzipien in belastbare Implementierungen zu überführen und die eigene Sicherheitsstrategie kontinuierlich zu validieren und weiterzuentwickeln.
Kernaussage: Identität definiert die Sicherheitsgrenze
Aus der Gesamtbetrachtung ergibt sich eine zentrale Erkenntnis: Die Sicherheitswirkung von Intune ist untrennbar mit der Sicherheit der zugrunde liegenden Identitäten verbunden.
Investitionen in Geräteschutz, Richtlinien und Managementprozesse entfalten nur dann ihre volle Wirkung, wenn die Identitätsebene konsequent abgesichert ist. Authentifizierung, Autorisierung und Token-Management bilden die erste und zugleich kritischste Verteidigungslinie moderner IT-Architekturen.
Damit schließt sich der Kreis zur übergeordneten Security-in-Depth-Strategie. Identität, Kontrolle und Durchsetzung sind keine isolierten Komponenten, sondern eng verzahnte Elemente eines ganzheitlichen Sicherheitsmodells. Erst ihr abgestimmtes Zusammenspiel ermöglicht eine nachhaltige, belastbare und zukunftsfähige Sicherheitsarchitektur.
Exkurs: Erweiterte Sicherheits- und Governancearchitektur mit Defender und Purview
Die Betrachtung von Intune als reine Gerätemanagementlösung greift in modernen IT-Umgebungen zu kurz. Mit zunehmender Integration in die Microsoft-Sicherheitsplattform entwickelt sich Intune zu einem zentralen Baustein innerhalb eines erweiterten Sicherheits- und Governance-Modells.
Insbesondere die Verzahnung mit Microsoft Defender und Microsoft Purview erweitert den Funktionsumfang erheblich – sowohl in Richtung Bedrohungserkennung als auch hinsichtlich Datenklassifikation und Compliance.
Microsoft Defender: Vom Gerätezustand zur Bedrohungsbewertung
Während Intune den gewünschten Zustand eines Geräts definiert und überprüft, ergänzt Microsoft Defender diese Sicht um eine dynamische Bedrohungsbewertung.
Defender for Endpoint liefert kontinuierlich Telemetriedaten über:
- Sicherheitsstatus des Geräts
- erkannte Bedrohungen und Angriffsindikatoren
- Risikobewertungen auf Geräteebene
Diese Informationen fließen direkt in Zugriffsentscheidungen ein, insbesondere in Kombination mit Conditional Access. Ein Gerät gilt nicht mehr nur dann als vertrauenswürdig, wenn es konform konfiguriert ist, sondern auch dann, wenn keine aktiven Sicherheitsrisiken bestehen.
Damit erweitert sich das klassische Compliance-Modell:
- von statischer Richtlinienerfüllung
- hin zu dynamischer Risikobewertung
Intune wird in diesem Kontext zur Steuerungsinstanz, während Defender die sicherheitsrelevante Kontextbewertung liefert.
Microsoft Purview: Daten als zusätzlicher Sicherheitsfaktor
Neben Identität und Gerät rückt eine weitere Dimension zunehmend in den Fokus: die Daten selbst.
Microsoft Purview erweitert die Architektur um Funktionen zur:
- Klassifikation sensibler Informationen
- Durchsetzung von Data Loss Prevention (DLP)
- Steuerung von Zugriffen basierend auf Datenkontext
In Kombination mit Entra ID und Conditional Access entstehen neue Steuerungsmöglichkeiten. Zugriffe können nicht nur anhand von Benutzer und Gerät bewertet werden, sondern auch anhand der Sensibilität der verarbeiteten Daten.
Beispiele hierfür sind:
- Einschränkung von Zugriffen bei sensiblen Daten
- zusätzliche Anforderungen bei erhöhtem Risiko (z. B. stärkere Authentifizierung)
- Kontextsteuerung basierend auf Informationsschutzrichtlinien
Damit verschiebt sich der Fokus der Sicherheitsarchitektur grundlegend. Während klassische Ansätze primär auf die Absicherung von Infrastrukturkomponenten ausgerichtet waren, rückt nun die Information selbst in den Mittelpunkt der Betrachtung.
Sicherheit wird nicht mehr ausschließlich darüber definiert, wo sich ein Benutzer befindet oder über welches Gerät er zugreift, sondern zunehmend darüber, auf welche Daten zugegriffen wird und in welchem Kontext diese Nutzung erfolgt.
Diese Entwicklung zeigt sich in zwei zentralen Dimensionen:
- Von Infrastruktur zu Informationssicherheit: Der Schutz verlagert sich von Systemen und Netzwerken hin zu den eigentlichen Werten eines Unternehmens – den Daten. Klassische Sicherheitsgrenzen verlieren an Bedeutung, während Klassifikation, Sensitivität und Schutzbedarf von Informationen zu entscheidenden Steuerungsgrößen werden.
- Von Zugriff zu Nutzungskontext: Es genügt nicht mehr, einen Zugriff lediglich zu erlauben oder zu verweigern. Entscheidend ist, wie Daten genutzt werden: Wird eine Datei nur gelesen oder heruntergeladen? Erfolgt der Zugriff aus einer vertrauenswürdigen Umgebung? Wird versucht, sensible Informationen weiterzugeben? Sicherheitsentscheidungen werden damit kontextabhängig und dynamisch – sie berücksichtigen nicht nur den Zugriff selbst, sondern auch die nachgelagerte Nutzung.
In der Konsequenz entsteht ein Sicherheitsmodell, das nicht mehr an statischen Grenzen orientiert ist, sondern an der tatsächlichen Verwendung von Informationen. Genau hier entfaltet Microsoft Purview seine Stärke als verbindendes Element zwischen Datenklassifikation, Compliance und Zugriffskontrolle.
Zusammenspiel mit Conditional Access
Die eigentliche Stärke dieser Erweiterungen entfaltet sich im Zusammenspiel mit Conditional Access. Erst hier werden die unterschiedlichen Signale aus den verschiedenen Systemen zusammengeführt und in konkrete Zugriffsentscheidungen überführt.
Dabei entsteht ein integriertes Gesamtbild: Die Identität eines Benutzers wird durch Entra ID bewertet, der Gerätezustand durch Intune bestimmt, sicherheitsrelevante Risiken durch Microsoft Defender erkannt und der Kontext der verarbeiteten Daten durch Microsoft Purview berücksichtigt. Diese Informationen fließen nicht isoliert, sondern als kombinierte Entscheidungsgrundlage in die Zugriffskontrolle ein.
Conditional Access übernimmt in diesem Modell die Rolle der zentralen Durchsetzungsebene. Auf Basis der aggregierten Signale werden Richtlinien definiert und angewendet, die festlegen, unter welchen Bedingungen ein Zugriff erlaubt, eingeschränkt oder vollständig blockiert wird. Entscheidungen erfolgen damit nicht mehr statisch, sondern dynamisch und kontextabhängig.
Das Ergebnis ist ein mehrdimensionales Sicherheitsmodell, in dem Identität, Gerät, Risiko und Datenkontext untrennbar miteinander verknüpft sind. Zugriffe werden nicht mehr isoliert bewertet, sondern immer im Kontext eines umfassenden Lagebildes entschieden – und genau darin liegt die Grundlage moderner Zero-Trust-Architekturen.
Einordnung im Gesamtbild
Die Integration von Defender und Purview hat die Rolle von Intune neu definiert. Früher diente Intune primär als Plattform für das Gerätemanagement, doch durch die Erweiterung mit diesen spezialisierten Lösungen wird Intune zu einem zentralen Bestandteil einer ganzheitlichen Sicherheits- und Governancearchitektur. Dadurch können nicht mehr nur Geräte verwaltet werden, sondern es wird ermöglicht, Sicherheit und Compliance unternehmensweit zu gewährleisten. Die Verbindung dieser Plattformen sorgt dafür, dass Intune weit über die reine Gerätesteuerung hinausgeht und in das gesamte Sicherheitsmodell eines Unternehmens eingebunden wird.
Diese Entwicklung verdeutlicht einen grundlegenden Trend in der modernen IT: Sicherheit wird nicht mehr durch einzelne, isolierte Systeme geschaffen, sondern entsteht durch das koordinierte Zusammenspiel verschiedener spezialisierter Plattformen. Erst die Integration und das Zusammenwirken von Lösungen wie Defender, Purview und Intune ermöglichen eine effektive und flexible Steuerung der Sicherheit und Compliance im Unternehmen. Das Zusammenspiel dieser Komponenten bildet das Rückgrat einer modernen Sicherheitsarchitektur, in der alle relevanten Dimensionen – Identität, Gerät, Risiko und Datenkontext – miteinander verbunden sind und gemeinsam bewertet werden.
Vom Gerätemanagement zur integrierten Sicherheits- und Governanceplattform
Die Erweiterung von Intune durch Defender und Purview verdeutlicht, wie sich die klassische IT-Verwaltung grundlegend verändert: Sie entwickelt sich von einer reinen Gerätemanagementlösung hin zu einer umfassenden Sicherheits- und Governancearchitektur. Während früher einzelne Systeme für spezifische Aufgaben eingesetzt wurden, steht heute das Zusammenspiel verschiedener Plattformen im Mittelpunkt. So kann Intune durch die Integration mit Defender und Purview nicht mehr nur Geräte steuern, sondern wird zum zentralen Bestandteil einer gesamtheitlichen Sicherheitsstrategie. Die Kombination dieser Lösungen ermöglicht es, sowohl die Sicherheit als auch die Compliance unternehmensweit zu gewährleisten.
Ein zentrales Merkmal dieser Entwicklung ist, dass Geräte, Identitäten und Daten nicht mehr als einzelne, voneinander getrennte Bereiche betrachtet werden. Stattdessen werden sie als miteinander verbundene Dimensionen eines integrierten Sicherheitsmodells verstanden. Das bedeutet, dass jede Zugriffsanfrage auf Informationen auf Basis eines umfassenden Lagebildes bewertet wird, in dem sowohl der Nutzer, das verwendete Gerät als auch der Kontext der Daten berücksichtigt werden. Diese ganzheitliche Sichtweise ermöglicht es, Sicherheitsentscheidungen dynamisch und kontextabhängig zu treffen, was die Effektivität und Flexibilität der Schutzmaßnahmen deutlich erhöht.
Aus dieser Architektur entsteht ein System, das weit über reine Schutzfunktionen hinausgeht. Es ermöglicht, Risiken aktiv zu bewerten, Zugriffe gezielt zu priorisieren und Steuerungsmaßnahmen flexibel anzupassen. Die Grundlage dafür bildet der Zero-Trust-Ansatz, bei dem jeder Zugriff und jede Nutzung von Daten stets unter Berücksichtigung des aktuellen Kontexts geprüft wird. So wird sichergestellt, dass nur berechtigte und sichere Aktionen zugelassen werden. Diese kontinuierliche Bewertung und Steuerung bildet das Herzstück moderner IT-Sicherheitsarchitekturen und trägt entscheidend dazu bei, die Herausforderungen einer zunehmend komplexen und vernetzten IT-Landschaft erfolgreich zu meistern.
Evolution der Gerätesteuerung: Declarative Device Management (DDM)
Die Art und Weise, wie Geräte verwaltet und gesteuert werden, befindet sich aktuell in einem grundlegenden Wandel. Während klassische Managementansätze stark auf direkte Steuerung und zentrale Kontrolle setzen, entwickelt sich die Architektur zunehmend hin zu deklarativen Modellen. Dieser Übergang lässt sich exemplarisch am Konzept des Declarative Device Management (DDM) nachvollziehen, das insbesondere im Apple-Ökosystem (iOS und iPadOS) zunehmend an Bedeutung gewinnt und auch in Intune integriert wird.
Imperatives vs. deklaratives Management
Die traditionelle Geräteverwaltung orientiert sich am imperativen Ansatz, bei dem das Management-System konkrete Befehle an das Endgerät sendet. Dieser Command-and-Control-Ansatz setzt auf eine zentrale Steuerung: Das System sorgt kontinuierlich dafür, dass der gewünschte Zustand aktiv durchgesetzt wird.
In der Praxis zeigt sich, dass Änderungen explizit vom Management-System angestoßen werden müssen. Diese werden überwacht und gegebenenfalls erneut ausgeführt, falls der Zielzustand nicht erreicht oder aufrechterhalten wird. Die Intelligenz liegt dabei primär auf Seiten des Management-Systems, während das Endgerät vor allem als ausführende Instanz agiert und nur die erhaltenen Anweisungen umsetzt.
Im Gegensatz dazu steht das deklarative Modell. Hier wird nicht mehr festgelegt, wie ein Zustand zu erreichen ist, sondern welcher Zustand gelten soll. Das Endgerät erhält eine Beschreibung des angestrebten Zielzustands und übernimmt selbst die Verantwortung, diesen Zustand herzustellen sowie aufrechtzuerhalten.
Die Verlagerung eines Teils der Logik vom zentralen Management-System auf das Endgerät führt zu einer flexibleren und resilienteren Architektur. Das Endgerät ist nicht mehr bloß ein Empfänger von Befehlen, sondern agiert eigenständiger und kann auf Abweichungen selbst reagieren, was die Stabilität und Anpassungsfähigkeit der Gesamtarchitektur erhöht.
Funktionsweise von DDM in Intune (iOS/iPadOS)
Im Rahmen von Microsoft Intune kommt das Declarative Device Management (DDM) insbesondere bei iOS- und iPadOS-Geräten zum Einsatz. Apple bietet hierfür spezielle Frameworks, die es ermöglichen, Gerätekonfigurationen nicht mehr als einzelne Befehle, sondern als deklarative Beschreibungen eines gewünschten Zielzustands zu übermitteln. Dadurch wird die Verwaltung von Geräten erheblich flexibler und effizienter.
Intune überträgt anstatt sequenzieller Befehle eine umfassende Beschreibung des Zielzustands an die Geräte. Diese Beschreibung enthält beispielsweise Sicherheitsrichtlinien, Konfigurationsparameter sowie Compliance-Anforderungen. Das Endgerät erhält dadurch einen klar definierten Rahmen, innerhalb dessen es selbstständig agiert und die Vorgaben lokal umsetzt.
Die Umsetzung erfolgt direkt auf dem Gerät: Es interpretiert die erhaltenen Vorgaben eigenständig und sorgt dafür, dass der definierte Zustand hergestellt und aufrechterhalten wird. Das Endgerät ist in der Lage, Veränderungen im eigenen Zustand selbstständig zu erkennen und darauf zu reagieren, ohne dass jede Anpassung erneut von Intune angestoßen werden muss. Dies erhöht die Autonomie und die Resilienz der Geräteverwaltung.
Ein wesentlicher Vorteil dieses Ansatzes liegt darin, dass das Gerät nicht mehr als reine Ausführungsinstanz fungiert, sondern aktive Verantwortung für die Einhaltung des gewünschten Zustands übernimmt. Dadurch wird die Architektur insgesamt flexibler und kann auf unerwartete Abweichungen oder lokale Besonderheiten besser reagieren.
Ebenso wichtig ist die kontinuierliche Rückmeldung des aktuellen Gerätezustands. Die Geräte liefern fortlaufend Statusinformationen, sodass Abweichungen vom gewünschten Zustand nahezu in Echtzeit erkannt werden können. Dies ermöglicht eine schnelle Reaktion und eine hohe Transparenz im Gerätemanagement.
Vorteile: Stabilität, Skalierbarkeit und Echtzeitstatus
Der Übergang zu deklarativen Modellen bringt mehrere wesentliche Vorteile mit sich. Einer der wichtigsten Aspekte ist die erhöhte Stabilität. Da Geräte eigenständig auf Zustandsabweichungen reagieren können, reduziert sich die Abhängigkeit von kontinuierlicher zentraler Steuerung. Temporäre Verbindungsprobleme oder Verzögerungen wirken sich dadurch deutlich weniger stark aus.
Darüber hinaus reduziert der deklarative Ansatz technische Reibungsverluste, die in klassischen, imperativen Modellen häufig auftreten. Wenn die zentrale Steuereinheit nicht in der Lage ist, gerätespezifische Einstellungen korrekt oder vollständig bereitzustellen, entstehen Inkonsistenzen oder Fehlkonfigurationen. Durch die zentrale Definition des gewünschten Zielzustands und die lokale Umsetzung auf dem Endgerät wird dieses Problem deutlich entschärft, da das Gerät selbst die bestmögliche Umsetzung innerhalb seiner Systemlogik vornimmt.
Auch die Skalierbarkeit verbessert sich signifikant. In großen Umgebungen entfällt die Notwendigkeit, jede einzelne Änderung aktiv zu orchestrieren. Stattdessen wird der gewünschte Zustand einmal definiert und anschließend dezentral umgesetzt.
Ein weiterer Vorteil liegt in der verbesserten Transparenz. Durch kontinuierliche Statusmeldungen entsteht ein nahezu Echtzeitbild des aktuellen Gerätezustands. Dies ermöglicht schnellere Reaktionen auf Abweichungen und unterstützt sowohl den operativen Betrieb als auch Sicherheitsanalysen.
Architektonischer Wandel: Von Command-and-Control zu Desired State
Der Einsatz von Declarative Device Management markiert einen grundlegenden architektonischen Wandel. Während klassische Ansätze auf direkte Steuerung setzen, verschiebt sich der Fokus hin zur Beschreibung und Durchsetzung eines gewünschten Zielzustands.
Dieser Übergang lässt sich als Wechsel von einem Command-and-Control-Modell hin zu einem Desired-State-Modell beschreiben. Die zentrale Instanz definiert nicht mehr jede einzelne Aktion, sondern formuliert die Rahmenbedingungen, innerhalb derer sich Geräte selbstständig konfigurieren und stabilisieren.
Diese Entwicklung fügt sich nahtlos in moderne IT-Architekturen ein. Ähnliche Prinzipien finden sich bereits in Bereichen wie Infrastructure as Code, Cloud-Native-Design oder Policy-driven Security.
Im Kontext von Intune bedeutet dies, dass Gerätemanagement zunehmend intelligenter, autonomer und resilienter wird. Gleichzeitig steigen jedoch auch die Anforderungen an das Design der Zielzustände, da diese präzise definiert und konsistent umgesetzt werden müssen.
Cloud Policy Preferences: Erweiterung des Intune-Steuerungsmodells
Die Transformation von klassischer Active-Directory-basierter Verwaltung hin zu cloudbasierten Modellen bringt nicht nur neue Möglichkeiten, sondern auch funktionale Lücken mit sich. Eine dieser Lücken betrifft die feingranulare Konfiguration von Systemen, wie sie in der On-Premises-Welt über Group Policy Preferences (GPP) etabliert war.
Mit der Einführung von Cloud Policy Preferences entsteht nun ein Ansatz, diese Lücke im Modern Workplace gezielt zu schließen.
Rückblick auf Group Policy Preferences (GPP)
In klassischen Active-Directory-Umgebungen stellten Group Policy Preferences eine flexible Ergänzung zu klassischen Gruppenrichtlinien dar. Während Richtlinien strikt durchgesetzt wurden, ermöglichten Preferences eine weniger restriktive, aber sehr praxisnahe Konfiguration von Systemen.
Typische Einsatzszenarien umfassten:
- Anlegen von Verknüpfungen
- Erstellen geplanter Aufgaben
- Konfiguration von Netzlaufwerken und Druckern
- Setzen von Registry-Werten
- Verteilen von Dateien
Gerade im operativen Alltag erwiesen sich GPP als unverzichtbares Werkzeug, da sie Konfigurationsaufgaben abbildeten, die über klassische Richtlinien hinausgingen.
Funktionale Lücke beim Wechsel zu Intune
Mit dem Übergang zu Microsoft Intune als cloudbasierte Managementplattform wurde eine zentrale funktionale Lücke sichtbar. Zahlreiche etablierte Szenarien aus den Group Policy Preferences (GPP) ließen sich zunächst nur eingeschränkt oder mit unverhältnismäßigem Aufwand abbilden. Insbesondere die Kombination aus Flexibilität und operativer Praxistauglichkeit, die GPP auszeichnete, fehlte in der frühen Intune-Welt.
Zwar bietet Intune ein breites Spektrum an Konfigurationsmöglichkeiten über Richtlinien, Einstellungskataloge und Skripte, jedoch fehlte lange ein konsistentes Modell für typische Preference-Szenarien. In der Praxis führte dies dazu, dass Administratoren auf individuelle Lösungen ausweichen mussten – häufig in Form von PowerShell-Skripten oder komplexen Automatisierungslogiken.
Die daraus resultierende Fragmentierung hatte unmittelbare Auswirkungen auf den Betrieb. Unterschiedliche Lösungsansätze mussten parallel gepflegt, angepasst und miteinander kombiniert werden. Dies erhöhte nicht nur den administrativen Aufwand, sondern auch die Komplexität und Fehleranfälligkeit der Umgebung. Die fehlende Standardisierung im Umgang mit nicht sicherheitskritischen, aber betrieblich relevanten Konfigurationen entwickelte sich damit zu einem strukturellen Defizit im Modern-Management-Ansatz.
Einführung von Cloud Policy Preferences
Cloud Policy Preferences adressieren diese Lücke auf konzeptioneller Ebene. Der Ansatz greift die Grundidee der Group Policy Preferences auf, überführt sie jedoch in ein cloudbasiertes, identitätszentriertes Steuerungsmodell.
Im Kern geht es darum, wiederkehrende Konfigurationsanforderungen nicht mehr isoliert oder skriptbasiert umzusetzen, sondern in eine zentrale, strukturierte und wiederverwendbare Logik zu überführen. Dabei stehen nicht die Ablösung klassischer Richtlinienmechanismen im Vordergrund, sondern deren gezielte Ergänzung.
Cloud Policy Preferences erweitern somit die bestehende Intune-Architektur um eine zusätzliche Ebene: Neben strikt durchgesetzten Policies entsteht ein flexibler Mechanismus zur Abbildung operativer Anforderungen. Diese Integration erfolgt nahtlos innerhalb der bestehenden Entra-ID- und Intune-Strukturen und fügt sich damit konsistent in das identitätsbasierte Steuerungsmodell moderner IT-Umgebungen ein.
Inhalte und Möglichkeiten
Cloud Policy Preferences fokussieren gezielt jene Konfigurationsszenarien, die im täglichen Betrieb regelmäßig auftreten, jedoch keine zwingend sicherheitskritische Durchsetzung erfordern. Ihr Mehrwert liegt in der strukturierten und standardisierten Abbildung solcher Anforderungen innerhalb eines konsistenten Modells.
Typische Einsatzbereiche umfassen die Bereitstellung und Verwaltung von Dateien, die Definition geplanter Aufgaben, die Einbindung von Netzlaufwerken und Druckern, die Erstellung von Verknüpfungen sowie die Konfiguration von Registry-Einstellungen. Diese Szenarien waren bislang häufig Gegenstand individueller Skriptlösungen und damit nur eingeschränkt standardisierbar.
Durch die Integration in ein zentrales Steuerungsmodell werden diese Konfigurationsaufgaben nun vereinheitlicht umgesetzt. Anstelle isolierter Einzelmaßnahmen entsteht ein wiederverwendbarer Ansatz, der sich in bestehende Management- und Automatisierungsstrategien integrieren lässt.
Das Ergebnis ist eine deutlich verbesserte Wartbarkeit und Nachvollziehbarkeit der Konfigurationen. Gleichzeitig wird der operative Aufwand reduziert, da weniger individuelle Sonderlösungen erforderlich sind. Cloud Policy Preferences leisten damit einen wesentlichen Beitrag zur Standardisierung administrativer Prozesse und zur Reduktion struktureller Komplexität in modernen IT-Umgebungen.
Technische Umsetzung
Die technische Umsetzung von Cloud Policy Preferences beruht auf einer Kombination moderner Cloud- und Automatisierungsmechanismen. Im Zentrum steht dabei der Einsatz von Azure Functions, mit denen Konfigurationslogik zentral bereitgestellt, versionskontrolliert verwaltet und skalierbar ausgeführt werden kann. Diese Logik definiert den angestrebten Soll-Zustand der jeweiligen Konfiguration und ermöglicht eine flexible und nachhaltige Steuerung.
Die tatsächliche Umsetzung auf den Endgeräten erfolgt über PowerShell-basierte Remediation-Mechanismen, wie sie bereits in Microsoft Intune etabliert sind. Remediation beschreibt ein zweistufiges Verfahren: Zunächst wird der aktuelle Zustand eines Systems erkannt (Detection). Im Falle einer Abweichung vom definierten Soll-Zustand erfolgt anschließend automatisch eine Korrektur (Remediation), um die gewünschte Konfiguration wiederherzustellen.
Konkret bedeutet dies, dass ein Gerät regelmäßig mithilfe definierter Skripte überprüft, ob beispielsweise ein bestimmter Registry-Wert, eine Datei oder eine geplante Aufgabe vorhanden ist. Wird festgestellt, dass der gewünschte Zustand nicht erfüllt ist, greift unmittelbar die Remediation-Logik und stellt die korrekte Konfiguration wieder her. Dieses Verfahren folgt dem Prinzip der kontinuierlichen Zustandsvalidierung und -korrektur und gewährleistet eine stabile und verlässliche Umsetzung der Anforderungen.
Im Gegensatz zu klassischen, einmalig angewendeten Konfigurationen entsteht so ein zyklischer Prozess: Systeme werden fortlaufend überwacht und bei Bedarf automatisiert in den gewünschten Zustand zurückgeführt. Diese dynamische und adaptive Steuerung ist insbesondere in cloudbasierten Umgebungen von zentraler Bedeutung, da sie auf Veränderungen flexibel reagieren kann und damit die Stabilität im Alltag erhöht.
Die Integration in Entra ID sorgt dafür, dass Zuweisungen und Zielgruppensteuerung konsistent über Identitäten und Gruppen erfolgen. Geräte und Benutzer erhalten die relevanten Mechanismen basierend auf ihrer Zugehörigkeit, was eine nahtlose Einbindung in bestehende Compliance- und Conditional-Access-Strategien ermöglicht.
Insgesamt entsteht dadurch ein flexibles und zugleich robustes Steuerungsmodell: Die zentrale Konfigurationslogik, automatisierte Zustandsprüfung und dynamische Korrekturmechanismen greifen ineinander und ermöglichen eine präzise, skalierbare und nachhaltige Umsetzung selbst komplexer Konfigurationsanforderungen.
Bewertung: Ergänzung zu Intune, kein Ersatz
Cloud Policy Preferences sind nicht als Ersatz für bestehende Intune-Funktionalitäten zu verstehen, sondern als gezielte Erweiterung innerhalb der Gesamtarchitektur. Sie adressieren spezifische Anforderungen, die durch klassische Richtlinien nur eingeschränkt oder mit unverhältnismäßigem Aufwand abgebildet werden können.
Während Intune-Richtlinien weiterhin die zentrale Rolle bei der Durchsetzung sicherheitsrelevanter und verbindlicher Konfigurationen übernehmen, schaffen Cloud Policy Preferences eine zusätzliche Ebene für operative Anpassungen. Sie ermöglichen es, praxisnahe Anforderungen flexibel umzusetzen, ohne die Stabilität und Klarheit der übergeordneten Richtlinienstruktur zu beeinträchtigen.
Diese Differenzierung folgt einem bewährten Prinzip aus der klassischen Windows-Welt, das auch in modernen Architekturen weiterhin Bestand hat. Policies definieren verbindliche Rahmenbedingungen und Sicherheitsanforderungen, die konsequent eingehalten werden müssen. Preferences hingegen unterstützen den operativen Betrieb, indem sie Konfigurationen bereitstellen, die sinnvoll, aber nicht zwingend sicherheitskritisch sind.
In der Kombination entsteht ein ausgewogenes Modell: Klare, strikt durchgesetzte Sicherheitsrichtlinien bilden das Fundament, während flexible Mechanismen wie Cloud Policy Preferences die notwendige Anpassungsfähigkeit im Alltag ermöglichen. Genau dieses Zusammenspiel ist entscheidend, um sowohl Stabilität als auch Praxisnähe in modernen IT-Umgebungen sicherzustellen.
Brücke zwischen AD-Welt und Cloud
Ein besonderer Mehrwert von Cloud Policy Preferences liegt in ihrer Funktion als verbindendes Element zwischen der klassischen Active-Directory-Welt und modernen, cloudbasierten Architekturen. Sie schaffen eine Kontinuität in der Steuerung, die es Organisationen ermöglicht, den Übergang schrittweise und kontrolliert zu gestalten.
Gerade in Transformationsphasen, in denen On-Premises- und Cloud-Modelle parallel existieren, entsteht häufig die Herausforderung, etablierte Betriebsprozesse mit neuen Technologien in Einklang zu bringen. Cloud Policy Preferences greifen hier bekannte Konzepte aus der AD- und GPO-Welt auf und übertragen sie in ein modernes, cloudfähiges Modell. Dadurch bleiben vertraute Denkweisen und Arbeitsmuster erhalten, während gleichzeitig die Vorteile einer identitätszentrierten Steuerung genutzt werden können.
Diese Brückenfunktion hat nicht nur technische, sondern auch organisatorische Relevanz. Sie reduziert die Komplexität der Migration, erleichtert den Wissenstransfer innerhalb von IT-Teams und ermöglicht eine evolutionäre Weiterentwicklung bestehender Strukturen, anstatt einen vollständigen Bruch mit bisherigen Modellen zu erzwingen.
Gleichzeitig unterstützen Cloud Policy Preferences die strategische Neuausrichtung hin zu einer cloudbasierten IT-Architektur. Sie helfen dabei, klassische Anforderungen in moderne Steuerungsmodelle zu überführen und tragen so dazu bei, dass sich Organisationen konsequent in Richtung einer identitäts- und kontextbasierten Verwaltung entwickeln können.
Damit leisten sie nicht nur einen funktionalen Beitrag zur Erweiterung von Intune, sondern wirken als Katalysator für die gesamte Transformation moderner IT-Landschaften.
Exkurs: Vom AD-Zielbaum zur Cloud-Steuerung – Die Evolution von Richtlinienmodellen
Die Transformation von klassischen Active-Directory-Strukturen hin zu modernen Cloud-Managementansätzen ist kein reiner Technologiewechsel, sondern ein fundamentaler architektonischer Paradigmenwechsel. Um diesen zu verstehen, lohnt sich ein Blick auf die historische Entwicklung von Domänen, Organisationseinheiten und Gruppenrichtlinien.
Die klassische Welt: AD, OU und GPO als Steuerungsmodell
Mit der Einführung von Active Directory im Jahr 1999 etablierte Microsoft – als Weiterentwicklung der bestehenden NT-Domänenmodelle – ein hierarchisches Modell zur Verwaltung von Identitäten und Systemen. Domänen bildeten die zentrale Verwaltungseinheit, innerhalb derer Organisationseinheiten (OUs) zur strukturierten Abbildung von Unternehmensbereichen dienten.
Gruppenrichtlinien (Group Policy Objects, GPOs) waren dabei das zentrale Instrument zur Steuerung von Systemkonfigurationen und Benutzerumgebungen.
Das Modell folgte einer klaren Logik:
- Hierarchische Strukturierung über OUs
- Verknüpfung von Richtlinien entlang dieser Struktur
- Vererbung und Priorisierung (LSDOU-Prinzip: Local, Site, Domain, OU)
Dieses Konzept war über viele Jahre hinweg äußerst erfolgreich. Es ermöglichte eine zentrale Steuerung von Systemen und Benutzern, stellte konsistente Konfigurationen sicher und war tief in das Windows-Betriebssystem integriert. Gerade diese enge Verzahnung von Infrastruktur, Identität und Richtlinien machte Active Directory zu einem leistungsfähigen und stabilen Fundament für Unternehmensnetzwerke.
Gleichzeitig war das Modell jedoch stark an die zugrunde liegende Infrastruktur gebunden. Verwaltung erfolgte im Kontext der Domäne, Kommunikation setzte eine stabile Netzwerkverbindung voraus, und viele Mechanismen waren auf stationäre, fest eingebundene Systeme ausgelegt.
Grenzen des klassischen Modells
Mit der zunehmenden Mobilität von Endgeräten, der Verlagerung von Anwendungen in die Cloud und der schrittweisen Auflösung klassischer Netzwerkgrenzen stieß das etablierte Modell zunehmend an seine Grenzen.
Ein zentraler Schwachpunkt lag in der engen Kopplung an die Domänenmitgliedschaft und die permanente Netzwerkverfügbarkeit. Systeme, die sich außerhalb des Unternehmensnetzwerks befanden, konnten nur eingeschränkt oder verzögert verwaltet werden. Gleichzeitig führte die wachsende Komplexität vieler Active-Directory-Strukturen – insbesondere durch tief verschachtelte Organisationseinheiten – zu einer sinkenden Transparenz in der Richtliniensteuerung.
Hinzu kam, dass die Vererbung von Gruppenrichtlinien in größeren Umgebungen oft nur schwer nachvollziehbar war. Abhängigkeiten, Prioritäten und Ausnahmen entwickelten sich im Laufe der Zeit zu einem Geflecht, das selbst für erfahrene Administratoren nur mit erheblichem Aufwand vollständig zu durchdringen war.
Darüber hinaus fehlte dem Modell die notwendige Flexibilität für hybride und cloudbasierte Szenarien. Die zugrunde liegende Architektur war primär für stationäre, klar abgegrenzte Infrastrukturen konzipiert und ließ sich nur bedingt auf dynamische, verteilte Umgebungen übertragen.
Nicht zuletzt war die Steuerung stark technisch geprägt. Im Fokus stand die Konfiguration von Systemen, während Aspekte wie Gerätezustand, Nutzungskontext oder dynamische Risikobewertung kaum berücksichtigt wurden.
Der Übergang: Koexistenz und Migration
Der Wechsel in die Cloud erfolgt in der Praxis selten abrupt. Vielmehr entsteht eine Übergangsphase, in der klassische und moderne Ansätze über einen längeren Zeitraum parallel betrieben werden. Active Directory, Gruppenrichtlinien und domänengebundene Systeme existieren neben Entra ID, Intune und cloudbasierten Steuerungsmechanismen.
Werkzeuge wie Group Policy Analytics in Microsoft Intune unterstützen diesen Prozess, indem sie bestehende GPOs analysieren und eine erste Einschätzung liefern, inwieweit sich diese in moderne Richtlinien überführen lassen. Dabei wird jedoch schnell deutlich, dass eine direkte 1:1-Migration in vielen Fällen weder technisch möglich noch architektonisch sinnvoll ist.
Stattdessen erfordert dieser Übergang ein grundlegendes Umdenken. Die klassische Orientierung an Organisationseinheiten wird durch ein zielgruppenbasiertes Modell ersetzt, in dem Entra-ID-Gruppen und dynamische Zuweisungen die zentrale Rolle übernehmen. Richtlinien werden nicht mehr entlang einer festen Hierarchie vererbt, sondern bewusst und explizit zugewiesen, was eine höhere Transparenz, aber auch eine klarere konzeptionelle Planung erfordert.
Gleichzeitig verändert sich die Art der Steuerung selbst. Während in der klassischen Welt primär statische Konfigurationen definiert wurden, rücken in modernen Umgebungen dynamische Aspekte stärker in den Fokus. Gerätezustand, Compliance, Benutzerkontext und Risiko werden kontinuierlich bewertet und in die Steuerung einbezogen.
Diese Phase ist daher weniger als technischer Migrationsprozess zu verstehen, sondern vielmehr als architektonische Transformation. Bestehende Konzepte werden nicht einfach übertragen, sondern bewusst hinterfragt, neu strukturiert und an die Anforderungen einer cloudbasierten, hochdynamischen IT-Landschaft angepasst.
Moderne Steuerung: Intune Richtlinien und Microsoft 365 Apps
In der Cloud-Welt wird die Gerätesteuerung durch Intune übernommen. Konfigurationen erfolgen über:
- Configuration Profiles
- Compliance Policies
- App-spezifische Richtlinien (z.B. für Microsoft 365 Apps)
Die Zuweisung erfolgt nicht mehr entlang einer hierarchischen Struktur, sondern über Gruppen und Filter. Geräte und Benutzer erhalten Richtlinien basierend auf ihrer Zugehörigkeit und ihrem Kontext.
Dieses Modell bietet entscheidende Vorteile. Es ermöglicht eine deutlich höhere Flexibilität, da Richtlinien nicht mehr an feste Strukturen gebunden sind, sondern dynamisch zugewiesen werden können. Gleichzeitig verbessert sich die Transparenz, weil Zuordnungen klar nachvollziehbar und unabhängig von komplexen Vererbungslogiken sind. Darüber hinaus erlaubt die granulare Steuerbarkeit eine sehr gezielte Umsetzung von Anforderungen, da Richtlinien präzise auf bestimmte Benutzer- oder Gerätegruppen zugeschnitten werden können.
Gleichzeitig erfordert dieser Ansatz jedoch eine bewusstere und strukturiertere Planung. Klassische Mechanismen wie die automatische Vererbung entlang von Organisationseinheiten entfallen, wodurch Entscheidungen explizit getroffen und sauber dokumentiert werden müssen. Architektur, Namenskonventionen und Gruppendesign gewinnen dadurch erheblich an Bedeutung.
Cloud Policy Preferences: Die Brücke zur Praxis
Ein zentrales Problem moderner MDM-Ansätze bestand lange Zeit darin, dass sich viele klassische GPO-Use-Cases – insbesondere aus dem Bereich der Group Policy Preferences – nur unzureichend oder mit erheblichem Zusatzaufwand abbilden ließen. Während Intune stark auf deklarative Konfigurationsmodelle ausgerichtet ist, fehlte es in der Praxis häufig an Möglichkeiten, operative Detailanforderungen flexibel umzusetzen.
Genau an dieser Stelle setzen Cloud Policy Preferences an. Sie ermöglichen es, typische Konfigurationsszenarien wie Registry-Anpassungen, Dateibereitstellungen, Verknüpfungen oder geplante Aufgaben strukturiert in die Cloud-Welt zu übertragen – ohne dabei auf individuelle, schwer wartbare Skriptlösungen angewiesen zu sein.
Damit schließen sie eine entscheidende Lücke zwischen zwei Welten. Auf der einen Seite stehen die etablierten Mechanismen der klassischen Windows-Verwaltung, die über Jahre hinweg eine hohe Flexibilität im Detail ermöglicht haben. Auf der anderen Seite befinden sich moderne, deklarative Richtlinienmodelle, die bewusst abstrahieren und standardisieren, jedoch nicht jede spezifische Anforderung direkt abdecken.
Cloud Policy Preferences fungieren hier als verbindendes Element. Sie erlauben es, operative Feinsteuerung weiterhin umzusetzen, ohne die Vorteile moderner Cloud-Architekturen aufzugeben. Gleichzeitig tragen sie dazu bei, den Übergang in hybride und cloudbasierte Betriebsmodelle praktikabel zu gestalten, da bestehende Anforderungen nicht vollständig neu gedacht, sondern schrittweise überführt werden können.
Wichtig ist dabei die Einordnung: Cloud Policy Preferences sind kein Ersatz für Intune oder klassische Richtlinienmodelle, sondern eine gezielte Ergänzung. Ihr Mehrwert liegt nicht in der Ablösung bestehender Konzepte, sondern in der Fähigkeit, funktionale Lücken zu schließen und damit eine konsistente, realitätsnahe Umsetzung moderner Gerätesteuerung zu ermöglichen.
Architektur im Wandel
Die Entwicklung von GPOs hin zu Intune-Richtlinien und Cloud Policy Preferences verdeutlicht exemplarisch, wie sich IT-Architekturen im Laufe der Zeit verändern. Während klassische Modelle auf hierarchischen Strukturen basierten, in denen Richtlinien entlang von Organisationseinheiten vererbt wurden, orientieren sich moderne Ansätze zunehmend an dynamischen Zielgruppen und kontextabhängigen Zuweisungen.
Damit verschiebt sich auch die Logik der Steuerung. An die Stelle impliziter Vererbungsmechanismen treten explizite, bewusst definierte Zuordnungen. Gleichzeitig löst sich die enge Bindung an die zugrunde liegende Infrastruktur auf und wird durch cloudbasierte, ortsunabhängige Steuerungsmodelle ersetzt.
Diese Transformation ist jedoch mehr als ein technologischer Fortschritt. Sie verändert grundlegend, wie IT gedacht, betrieben und gesteuert wird – von der Architektur über das Betriebsmodell bis hin zu Governance-Strukturen.
Für viele erfahrene Administrator:innen entsteht in diesem Zusammenhang ein durchaus vertrautes Gefühl. Die Argumente, die heute für den Wechsel von klassischen Active-Directory-Strukturen hin zu cloudbasierten Modellen angeführt werden, erinnern nicht selten an jene Diskussionen, die bereits beim Übergang von den flachen NT-Domänenstrukturen mit einfachen Systemrichtlinien (NTConfig.pol) zu Active Directory, OUs und GPOs geführt wurden.
Damals wie heute ging es um bessere Skalierbarkeit, klarere Strukturierung und eine effizientere Steuerung komplexer Umgebungen – wenn auch unter anderen technologischen Rahmenbedingungen.
Vom Richtlinienbaum zur kontextbasierten Steuerungsarchitektur
Am Ende dieses Wandels steht ein grundlegender Perspektivwechsel. Während klassische GPOs eng an die organisatorische Struktur gekoppelt waren und entlang eines statischen Richtlinienbaums wirkten, orientieren sich moderne Ansätze stärker an Anforderungen, Kontext und Zielzuständen.
Die Steuerung erfolgt nicht mehr entlang einer festen Hierarchie, sondern als flexibles, kontextabhängiges System, das Identität, Gerätezustand und Nutzungsszenarien berücksichtigt.
Die scheinbare Wiederholung historischer Argumentationsmuster ist dabei kein Widerspruch, sondern Ausdruck eines kontinuierlichen Anpassungsprozesses. IT-Architekturen entwickeln sich nicht linear, sondern reagieren auf sich verändernde Anforderungen, Bedrohungslagen und technologische Möglichkeiten.
Was sich verändert, sind nicht die grundlegenden Ziele – Konsistenz, Steuerbarkeit und Sicherheit –, sondern die Mittel, mit denen diese Ziele erreicht werden.
Vom Strukturmodell zur Steuerungsarchitektur
Die Transformation von Active Directory, OU und GPO hin zu Intune und Cloud Policy Preferences ist ein exemplarisches Beispiel für den grundlegenden Wandel moderner IT: weg von statischen, hierarchischen Strukturen hin zu adaptiven, cloudbasierten Steuerungsmodellen.
Organisationen, die diesen Wandel erfolgreich gestalten wollen, stehen daher nicht nur vor einer technologischen Migration. Vielmehr erfordert dieser Übergang ein Umdenken auf architektonischer Ebene. Bestehende Konzepte müssen hinterfragt, Steuerungslogiken neu definiert und in ein identitätszentriertes, dynamisches Gesamtmodell überführt werden.
Typische Schwachstellen in realen Umgebungen
Trotz moderner Werkzeuge und klar definierter Best Practices zeigt sich in der Praxis ein wiederkehrendes Muster: Sicherheitslücken entstehen selten durch fehlende Technologie, sondern durch unzureichende oder inkonsistente Umsetzung. Gerade in Intune- und Microsoft-365-Umgebungen lassen sich typische Schwachstellen identifizieren, die sich durch viele Organisationen hinweg wiederholen.
Diese Schwachstellen sind häufig das Ergebnis historischer Entwicklungen, pragmatischer Entscheidungen oder fehlender architektonischer Leitlinien. Umso wichtiger ist es, sie systematisch zu erkennen und gezielt zu adressieren.
Überprivilegierte Rollen
Eine der häufigsten Schwachstellen liegt in übermäßig weit gefassten Berechtigungen. Administrative Rollen werden oft zu großzügig vergeben, um operative Flexibilität zu gewährleisten oder kurzfristige Anforderungen zu erfüllen.
In der Folge entstehen jedoch Risiken, da kompromittierte Konten mit weitreichenden Rechten erhebliche Auswirkungen auf die gesamte Umgebung haben können. Besonders kritisch ist dies in Kombination mit fehlender Segmentierung oder unzureichender Nutzung von RBAC und Scope Tags.
Eine konsequente Umsetzung des Least-Privilege-Prinzips sowie die Nutzung von Just-in-Time-Mechanismen sind hier zentrale Gegenmaßnahmen.
Schwache Authentifizierung
Ein weiterer kritischer Punkt ist die Absicherung von Identitäten. In vielen Umgebungen wird zwar Multi-Faktor-Authentifizierung eingesetzt, jedoch häufig in einer Form, die nicht gegen moderne Angriffe resistent ist.
Phishing-basierte Angriffe, MFA-Fatigue oder Token-Missbrauch können klassische Authentifizierungsverfahren umgehen. Besonders problematisch ist dies bei privilegierten Konten, die häufig nicht ausreichend durch stärkere Verfahren wie FIDO2 oder Windows Hello for Business geschützt sind.
Eine konsequente Umstellung auf phishing-resistente Authentifizierung ist daher ein wesentlicher Bestandteil moderner Sicherheitsstrategien.
Fehlende oder unzureichende Compliance Policies
Compliance-Richtlinien bilden die Grundlage für die Bewertung des Gerätezustands. Dennoch zeigt sich in der Praxis häufig, dass diese entweder gar nicht definiert oder nur rudimentär umgesetzt sind.
Ohne klare Compliance-Bewertung fehlt eine zentrale Entscheidungsbasis für Conditional Access. Geräte können dann auf Ressourcen zugreifen, ohne dass ihr Sicherheitszustand zuverlässig überprüft wird.
Eine saubere Definition und konsequente Durchsetzung von Compliance Policies ist daher entscheidend, um den Gerätezustand als Sicherheitskriterium wirksam zu nutzen.
Keine Absicherung kritischer Aktionen
In vielen Umgebungen fehlt eine gezielte Absicherung besonders sensibler administrativer Aktionen. Maßnahmen wie Device Wipe, Skriptausführung oder Rollenänderungen können häufig ohne zusätzliche Freigabe durchgeführt werden.
Dies erhöht sowohl das Risiko gezielter Angriffe als auch die Wahrscheinlichkeit unbeabsichtigter Fehlkonfigurationen. Ohne Mechanismen wie Multi Admin Approval entsteht hier ein direkter Angriffspunkt innerhalb der Verwaltungsplattform.
Die Einführung von Freigabeprozessen für kritische Aktionen stellt daher einen wichtigen Baustein zur Risikominimierung dar.
Unzureichendes Monitoring
Ein weiterer zentraler Schwachpunkt liegt im Bereich Monitoring und Transparenz. In vielen Umgebungen werden administrative Aktivitäten zwar protokolliert, jedoch nicht aktiv ausgewertet oder in Sicherheitsprozesse integriert.
Dadurch bleiben auffällige Muster, ungewöhnliche Änderungen oder potenziell kompromittierte Konten häufig lange unentdeckt. Gerade in cloudbasierten Umgebungen, in denen Angriffe oft subtil und über legitime Mechanismen erfolgen, ist dies besonders kritisch.
Ein wirksames Monitoring erfordert daher nicht nur Logging, sondern auch eine kontinuierliche Auswertung und Integration in Sicherheitsprozesse, etwa über SIEM- oder XDR-Lösungen.
Dieses Kapitel verdeutlicht, dass Sicherheit nicht allein durch Architektur entsteht, sondern durch deren konsequente Umsetzung im operativen Betrieb. Die identifizierten Schwachstellen liefern dabei konkrete Ansatzpunkte, um bestehende Umgebungen systematisch zu überprüfen und gezielt zu verbessern.
Exkurs: Von Konfiguration zu Observability – Logging, Monitoring und SIEM mit Sentinel
Moderne Gerätesteuerung endet nicht mit der erfolgreichen Ausbringung von Richtlinien. Erst die kontinuierliche Überwachung und Auswertung von Zuständen, Ereignissen und Abweichungen ermöglicht eine belastbare Sicherheitsarchitektur.
Während Intune primär für die Konfiguration und Compliance-Bewertung zuständig ist, entsteht Sicherheit im operativen Betrieb erst durch Transparenz. Logging und Monitoring sind daher keine optionalen Ergänzungen, sondern zentrale Bestandteile einer funktionierenden Gesamtarchitektur.
Intune als Datenquelle: Logs, Reports und Diagnosedaten
Intune stellt eine Vielzahl an Informationen bereit, die für Betrieb und Sicherheit gleichermaßen relevant sind. Dazu gehören unter anderem Gerätezustände, Richtlinienzuweisungen, Compliance-Bewertungen und Ereignisprotokolle.
Diese Informationen werden über verschiedene Mechanismen zugänglich gemacht. Reports liefern strukturierte Auswertungen über den Zustand der Umgebung, beispielsweise zur Compliance oder zu Richtlinienkonflikten. Ergänzend dazu ermöglichen Diagnosefunktionen wie das Sammeln von Gerätestatusdaten eine detaillierte Analyse einzelner Systeme im Fehlerfall.
Darüber hinaus existieren auf Client-Seite umfangreiche Logdateien, die insbesondere bei der Fehlersuche eine zentrale Rolle spielen. Sie geben Einblick in Richtlinienverarbeitung, MDM-Kommunikation und lokale Zustandsänderungen.
Damit wird deutlich: Intune generiert bereits eine große Menge an relevanten Betriebs- und Sicherheitsdaten. Ohne eine strukturierte Auswertung bleiben diese jedoch isoliert und entfalten nur begrenzten Nutzen.
Vom Monitoring zur aktiven Steuerung
Monitoring bedeutet in modernen IT-Umgebungen weit mehr als die reine Anzeige von Zuständen. Ziel ist es, Abweichungen frühzeitig zu erkennen, Zusammenhänge zu verstehen und daraus konkrete Maßnahmen abzuleiten.
In der Praxis zeigt sich dies darin, dass Systeme kontinuierlich beobachtet und Ereignisse nicht isoliert, sondern im jeweiligen Kontext bewertet werden. Abweichungen vom gewünschten Zustand bleiben dabei nicht folgenlos, sondern führen gezielt zu Reaktionen, die entweder automatisiert oder durch administrative Eingriffe ausgelöst werden.
Werkzeuge und Ansätze für erweitertes Monitoring – insbesondere in Kombination mit Automatisierungslösungen – ermöglichen es, Intune-Daten nicht nur passiv auszuwerten, sondern aktiv in Steuerungsprozesse einzubinden. Dadurch entsteht eine enge Rückkopplung zwischen Konfiguration und Betrieb: Zustände werden nicht nur definiert, sondern fortlaufend überprüft und bei Bedarf korrigiert.
SIEM und Korrelation: Microsoft Sentinel als zentrale Plattform
Die eigentliche Stärke moderner Sicherheitsarchitekturen liegt in der Fähigkeit, Daten aus unterschiedlichen Quellen zusammenzuführen und in einen gemeinsamen Kontext zu setzen. Erst durch diese Korrelation entsteht ein belastbares Gesamtbild, das über isolierte Einzelereignisse hinausgeht. Genau an dieser Stelle setzen SIEM-Systeme (Security Information and Event Management) an.
Microsoft Sentinel übernimmt dabei die Rolle einer zentralen Analyse- und Korrelationsplattform. Daten aus Intune werden mit Informationen aus Entra ID, Microsoft Defender und weiteren Systemen verknüpft und gemeinsam ausgewertet. Dadurch entsteht ein integriertes Lagebild, in dem Ereignisse nicht mehr isoliert betrachtet werden, sondern in ihrem Zusammenhang sichtbar werden.
In diesem erweiterten Kontext lassen sich Beziehungen zwischen Identität, Gerät und potenziellen Bedrohungen nachvollziehen und bewerten. Sicherheitsrelevante Ereignisse gewinnen an Aussagekraft, weil sie nicht nur auf Einzelindikatoren basieren, sondern aus der Kombination mehrerer Signale abgeleitet werden.
Ein nicht konformes Gerät entfaltet beispielsweise erst dann seine volle sicherheitstechnische Relevanz, wenn es mit einer auffälligen Anmeldung und einem erhöhten Risikoindikator aus Microsoft Defender zusammen betrachtet wird. Erst die Gesamtschau dieser Informationen ermöglicht eine fundierte Bewertung des Vorfalls.
Microsoft Sentinel erlaubt es, solche Zusammenhänge automatisiert zu erkennen, visuell aufzubereiten und mit definierten Reaktionsmechanismen zu verknüpfen. Damit wird aus einer Sammlung von Einzeldaten ein steuerbarer Sicherheitsprozess, der Analyse, Bewertung und Reaktion in einer Plattform vereint.
Bedeutung für moderne Sicherheitsarchitekturen
Mit der Integration von Logging, Monitoring und SIEM verschiebt sich die Rolle von Intune grundlegend. Die Plattform ist nicht mehr ausschließlich für die Umsetzung von Konfigurationen verantwortlich, sondern wird zu einem integralen Bestandteil eines kontinuierlichen Sicherheitsprozesses.
Konfiguration, Überwachung und Reaktion greifen dabei eng ineinander. Intune definiert den angestrebten Soll-Zustand der Systeme, während Monitoring-Mechanismen fortlaufend überprüfen, ob dieser Zustand eingehalten wird. Abweichungen werden nicht nur erkannt, sondern durch SIEM-Systeme kontextualisiert und bewertet. Auf dieser Grundlage können automatisierte oder gesteuerte Reaktionen erfolgen, die den gewünschten Zustand wiederherstellen oder weitergehende Sicherheitsmaßnahmen einleiten.
Diese enge Verzahnung bildet eine zentrale Voraussetzung für moderne Zero-Trust-Architekturen. Vertrauen wird nicht einmalig vergeben, sondern kontinuierlich neu bewertet – basierend auf aktuellen Zuständen, Ereignissen und Risikosignalen. Intune wird damit Teil eines dynamischen Sicherheitsmodells, das nicht nur definiert, wie Systeme konfiguriert sein sollen, sondern fortlaufend überprüft, ob sie diesen Anforderungen auch tatsächlich entsprechen.
Von Sichtbarkeit zu Handlungsfähigkeit
Am Ende dieses Exkurses steht eine zentrale Erkenntnis: Sichtbarkeit allein reicht nicht aus. Entscheidend ist die Fähigkeit, aus Daten konkrete Maßnahmen abzuleiten.
Logging und Monitoring schaffen Transparenz. SIEM-Systeme wie Microsoft Sentinel liefern die notwendige Kontextualisierung. Erst durch die Kombination mit klar definierten Prozessen und automatisierten Reaktionen entsteht jedoch echte Handlungsfähigkeit.
Damit wird Observability zu einem integralen Bestandteil moderner IT-Architekturen – und Intune zu einer wichtigen Datenquelle innerhalb dieses Gesamtsystems.
Architekturelle Gesamtbetrachtung
Die zuvor betrachteten Aspekte moderner Gerätesicherheit – von Identität über Gerätekontrolle bis hin zu Zugriff und Monitoring – entfalten ihre volle Wirkung erst im Kontext einer konsistenten Gesamtarchitektur. Einzelne Funktionen sind dabei weniger entscheidend als ihr strukturiertes Zusammenspiel.
Ein belastbares Modell lässt sich in drei logisch getrennte, aber eng verzahnte Ebenen gliedern: Identität, Kontrolle und Zugriff.
Identity Layer: Entra ID als Fundament
Die Identität bildet den Ausgangspunkt aller sicherheitsrelevanten Entscheidungen. In Entra ID laufen Authentifizierung, Autorisierung und Risikobewertung zusammen. Mechanismen wie phishing-resistente Authentifizierung, Privileged Identity Management und die Absicherung von Tokens definieren hier das grundlegende Vertrauensniveau. Wird diese Ebene kompromittiert, verlieren nachgelagerte Kontrollen ihre Wirksamkeit.
Control Layer: Intune als Steuerungsinstanz
Aufbauend auf der Identitätsebene definiert Intune den vertrauenswürdigen Gerätezustand. Richtlinien, Compliance-Bewertungen und Konfigurationsvorgaben werden hier umgesetzt.
Mit Ansätzen wie Declarative Device Management verschiebt sich die Steuerung zunehmend von zentraler Kontrolle hin zu einer zustandsbasierten, resilienten Architektur. Ergänzend ermöglichen Cloud Policy Preferences die strukturierte Überführung klassischer Konfigurationsmuster in moderne Cloud-Modelle.
Access Layer: Conditional Access als Durchsetzungsebene
Conditional Access bildet die operative Entscheidungsinstanz. Auf Basis von Identität, Gerätezustand und Kontext wird festgelegt, ob und unter welchen Bedingungen Zugriff gewährt wird. Damit wird das Zero-Trust-Prinzip technisch umgesetzt: Vertrauen ist kein statischer Zustand, sondern das Ergebnis kontinuierlicher Bewertung.
Zusammenspiel der Ebenen
Sicherheit entsteht nicht innerhalb einzelner Schichten, sondern durch ihr koordiniertes Zusammenwirken. Identität definiert den Akteur, Intune bewertet den Zustand des Endgeräts, und Conditional Access setzt die daraus abgeleiteten Anforderungen konsequent durch.
Aus dieser Perspektive wird deutlich, dass Intune kein isoliertes Werkzeug ist, sondern eine zentrale Steuerungskomponente innerhalb einer mehrschichtigen Sicherheitsarchitektur.
Intune im Kontext moderner Sicherheitsarchitekturen
Die Rolle von Microsoft Intune geht weit über klassische Gerätekonfiguration hinaus. Die Plattform wirkt als operative Instanz innerhalb einer Architektur, in der Identität, Gerätezustand und Zugriff dynamisch miteinander verknüpft sind.
Entscheidend ist dabei eine klare Fokusverschiebung: Nicht einzelne Features stehen im Mittelpunkt, sondern deren Einbettung in ein konsistentes Sicherheitsmodell. Richtlinien, Compliance-Prüfungen und Gerätekonfigurationen entfalten ihren Wert erst im Zusammenspiel mit Identitäts- und Zugriffskontrollen.
Diese Integration ist eine zentrale Voraussetzung für die Umsetzung von Zero-Trust-Strategien. Intune liefert den aktuellen Gerätekontext, Entra ID bewertet Identität und Risiko, und Conditional Access kombiniert beide Dimensionen zu einer fundierten Zugriffsentscheidung in Echtzeit.
Gleichzeitig verstärkt Intune bestehende architektonische Qualitäten – sowohl im positiven als auch im negativen Sinne. Sauber definierte Identitätsmodelle, klare Rollenstrukturen und konsistente Zugriffskonzepte werden durch Intune effektiv operationalisiert. Schwächen in diesen Bereichen hingegen werden durch die zentrale Steuerungsfunktion sichtbar und können sich unmittelbar auf das Sicherheitsniveau auswirken.
Die zentrale Herausforderung besteht daher nicht in der Aktivierung möglichst vieler Funktionen, sondern in der Entwicklung einer tragfähigen Architektur. Sicherheit entsteht durch strukturierte Zusammenhänge, nicht durch isolierte Maßnahmen.
Abschlussgedanke
Nachhaltige Sicherheit ist das Ergebnis eines durchdachten Systems. Intune stellt die notwendigen technischen Mechanismen bereit – ihre Wirksamkeit hängt jedoch vollständig von der architektonischen Einbettung ab. Erst das abgestimmte Zusammenspiel von Identität, Kontrolle und Zugriff ermöglicht ein Sicherheitsniveau, das modernen Anforderungen dauerhaft standhält.
Quellenangaben
(Abgerufen am 28.03.2026)
Offizielle Dokumentation
- Microsoft Learn: Common ways to use Conditional Access with Intune
- Microsoft Learn: Integrate Microsoft Defender for Endpoint with Intune for Device Compliance
- Microsoft Learn: Microsoft Intune planning guide
- Microsoft Learn: Microsoft Intune securely manages identities, manages apps, and manages devices
- Microsoft Learn: Use compliance policies to set rules for devices you manage with Intune
- Microsoft Learn: What is Conditional Access?
- Microsoft Learn: What is Microsoft Entra ID?
Sicherheit und Zero Trust
- Aaron Siller (Siller Consulting): Microsoft 365 Security: Tipps zur Härtung Deines Mandanten!
- Dorian Garbe (Softtailor): How does Zero Trust work with Microsoft 365 and Intune?
- Keytos: How to Protect Your Microsoft Intune Environment
- Microsoft Learn: What is Zero Trust?
- Microsoft Learn: Zero Trust security guidance
- Niklas Tinner (Oceanleaf): Top 10 Entra & Intune Security Tips
Sicherheitsvorfälle und Angriffsszenarien
- Cryptika: CISA Urges Organizations to Secure Microsoft Intune Environments Following Stryker Breach
- Dirk-jan Mollema: Extending AD CS attack surface to the cloud with Intune certificates
- James Azar (CyberHub Podcast): Stryker Hack Used Intune to Wipe 200K Devices, China Espionage Hits Asian Militaries, Wing FTP 0-Day
- Rithula Nisha (Cyber Magazine): Stryker Cyberattack: The Case to Secure Microsoft Intune
- Uwe Gradenegger: Attack on the Active Directory via Microsoft Intune – and how it can be contained with TameMyCerts
Best Practices und Sicherheitskonfiguration
- Aymen Eneljaziri (LinkedIn): Intune Security Deep Dive : Enable Tamper Protection to Secure Defender Settings on Windows Devices
- Marco Wohler (Oneconsult): Windows 11 Hardening mit Intune: Methoden und Empfehlungen für eine sichere Umgebung
- Microsoft TechCommunity: Best practices for securing Microsoft Intune
- Nicholas Bock (Medium): These 5 Intune mistakes are ruining your environment.
Conditional Access und Identity Protection
- Aaron Siller (Siller Consulting): Conditional Access Best Practices: Die 5 Must-Have Richtlinien!
- Aaron Siller (Siller Consulting): Entra ID Identity Protection: Dein Guide zur Einrichtung
- Anders Ahl (MSEndpointMgr): Microsoft Conditional Access: Implementation Considerations and Common Mistakes
- Microsoft Learn: Conditional Access with Microsoft Purview
- Microsoft Learn: Configure Conditional Access in Microsoft Defender for Endpoint
- Oktay Sari (AllThingsCloud): A Deep Dive into Location and Device-Based Access Control
- Ulrich Boddenberg: Conditional Access in Microsoft 365
Gerätemanagement und moderne Architektur (DDM, Compliance)
- Apple: Einführung in die deklarative Geräteverwaltung für Apple-Geräte
- Bonpago: Intune Default Device Compliance Policy: Risiken und Best Practices
- Julian Stabentheiner: macOS & iOS Updates mit Intune per DDM effizient verwalten
- Microsoft TechCommunity: Support tip: Move to declarative device management for Apple software updates
- Peter Klapwijk (InTheCloud247): Intune compliance for Windows 365 Cloud PCs
- Somesh Pathak (IntuneIRL): macOS & iOS 26 for Enterprise: DDM, Deployment, and the Intel Mac Sunset
Automatisierung, Erweiterung und neue Funktionen
- Ben Whitmore (MSEndpointMgr): Getting started with Microsoft Security Copilot for Intune
- Maurice Daly (MSEndpointMgr): Introducing Cloud Policy Preferences
- Microsoft Learn: Azure Functions documentation
- Microsoft Learn: Overview of Microsoft Graph
- Microsoft Learn: Remediations
- Ulrich Boddenberg: Management Summary – Warum Labels + Policies + Automation heute Pflicht sind
Migration und Transformation: GPO, Entra ID und Intune
- Angelo Salandanan (ninjaOne): Modern GPO Alternatives: Transitioning to Intune Configuration Profiles
- Benoit Lecours (systemcenterdudes): Migrate Group Policy to Microsoft Intune
- Microsoft Learn: Create a Settings Catalog policy using your imported GPOs in Microsoft Intune
- Ulrich Boddenberg: Entra ID Sync – Praxisleitfaden für IT-Leiter und M365-Administratoren
Logging, Monitoring und SIEM (Intune & Sentinel)
- Aastik Gakhar (Medium): Microsoft Intune Monitoring Walkthrough Notes | TryHackMe
- Benoit Lecours (systemcenterdudes): Understanding Microsoft Intune Logs files for Troubleshooting
- Jeff Johnson (ControlUp): How to Supercharge Microsoft Intune with Real-Time Monitoring and IT Automation
- Microsoft Learn: Intune Reports
- Microsoft Learn: Remote device action: collect diagnostics
- Microsoft Learn: What is Microsoft Sentinel?
- Rod Trent (myITforum): Unlocking the Power of Intune: Monitor and Analyze Device Data to Enhance Security and Compliance
Historische Grundlagen: Identität, Sicherheit und klassische Verwaltung
- Integer IT: Passwords: the end is nigh!
- Microsoft Learn: Group Policy overview for Windows Server
- Microsoft Learn: Group Policy Preferences
- Microsoft: Bill Gates: Microsoft’s Security Vision and Strategy, RSA Conference 2006
Weiterlesen hier im Blog
- Ada Lovelace und ihre Nachfolgerinnen – Frauen in der Geschichte von Computer- und Netzwerktechnologie
- ARPANET, TCP/IP und das World Wide Web – Wie das Internet die Welt vernetzte
- Die Entwicklung des Computers: Von Turing bis zur KI-Workstation
- Externes Routing im Internet und WAN – Architektur, Historie und Bedeutung von BGP
- PowerShell Toolmaking als Architekturfrage – Einordnung und Aufbau der Beitragsreihe
- Wie KI lernt – vom Datenpunkt zur Entscheidung