Homeoffice, BYOD-Richtlinien und Cloud-Dienste wie Microsoft 365 haben die IT-Landschaft im Mittelstand grundlegend verändert. Während früher alle Geräte sicher im Firmennetzwerk hinter einer Firewall saßen, greifen Mitarbeitende heute von überall und mit unterschiedlichsten Endgeräten auf Unternehmensdaten zu — vom privaten Smartphone bis zum Firmen-Notebook im Homeoffice. Diese Entwicklung eröffnet Angreifern neue Einbruchswege, die mit klassischen Perimeter-Schutzmaßnahmen nicht mehr beherrschbar sind. Microsoft Intune und Conditional Access sind die Antwort auf diese veränderte Bedrohungslage: Sie stellen sicher, dass nur geprüfte, compliant konfigurierte Geräte auf Ihre Unternehmensdaten zugreifen können — unabhängig davon, wo sich die Mitarbeitenden befinden.
Was ist Microsoft Intune?
Microsoft Intune ist eine cloudbasierte Lösung für Mobile Device Management (MDM) und Mobile Application Management (MAM), die Teil des Microsoft Endpoint Manager-Portfolios ist. Mit Intune verwalten Sie alle Endgeräte in Ihrem Unternehmen zentral über ein einziges webbasiertes Verwaltungsportal — unabhängig vom Betriebssystem. Windows-Notebooks, macOS-Rechner, iPhones, iPads und Android-Smartphones lassen sich gleichermaßen einbinden und über einheitliche Richtlinien steuern.
Die Kernanwendungsfälle von Intune umfassen die Verteilung von Anwendungen und Updates, die Durchsetzung von Sicherheitskonfigurationen, die Einrichtung von WLAN- und VPN-Profilen sowie die Verwaltung von Geräten über ihren gesamten Lebenszyklus hinweg — vom automatisierten Onboarding via Windows Autopilot bis zur sicheren Löschung bei Geräteverlust oder Mitarbeiteraustritt. Für kleine und mittlere Unternehmen ist Intune besonders attraktiv, weil keine lokale Serverinfrastruktur benötigt wird und die Verwaltung vollständig über die Cloud erfolgt.
Mehr zu unseren Microsoft 365-Leistungen erfahren Sie auf unserer Leistungsseite.
Was ist Conditional Access?
Conditional Access (Bedingter Zugriff) ist eine Funktion von Microsoft Entra ID (ehemals Azure Active Directory), die den Zugriff auf Cloud-Ressourcen wie Exchange Online, SharePoint, Teams oder andere Microsoft 365-Dienste an definierbare Bedingungen knüpft. Das Prinzip folgt der Zero-Trust-Philosophie: Vertrauen Sie niemandem pauschal, sondern prüfen Sie bei jedem Zugriffsversuch die relevanten Signale — Benutzeridentität, Gerätzustand, Standort, Anwendung und Risikoverfassung.
Ein typisches Conditional-Access-Szenario lautet: „Erlaube den Zugriff auf SharePoint nur dann, wenn das Gerät als compliant in Intune eingetragen ist und der Benutzer per Multi-Faktor-Authentifizierung bestätigt wurde." Ist eine dieser Bedingungen nicht erfüllt, wird der Zugriff automatisch blockiert — ohne dass ein Administrator manuell eingreifen muss. Conditional Access ersetzt damit eine Vielzahl manueller Kontrollen durch automatisierte, richtlinienbasierte Entscheidungen.
Warum KMU Microsoft Intune brauchen
Geräte zentral verwalten
In einem mittelständischen Unternehmen ohne zentrales Device Management laufen Endgeräte oft in sehr unterschiedlichen Zuständen: Manche Windows-Rechner haben seit Monaten keine Updates erhalten, andere sind mit veralteter Antivirensoftware ausgestattet, und auf Privatgeräten von Mitarbeitenden sind womöglich keine Unternehmensrichtlinien angewendet. Intune beendet diesen unkontrollierten Zustand. Sie sehen in Echtzeit den Compliance-Status aller enrollten Geräte, erkennen Schwachstellen sofort und können Konfigurationen per Mausklick auf alle Geräte gleichzeitig ausrollen.
Compliance erzwingen
Mit Intune-Compliance-Policies definieren Sie verbindliche Mindestanforderungen für alle Endgeräte: Das Betriebssystem muss in einer Mindestversion vorliegen, die Festplattenverschlüsselung muss aktiviert sein, ein aktueller Virenschutz muss laufen und der Gerätesperrbildschirm muss mit PIN oder biometrischer Authentifizierung gesichert sein. Geräte, die diese Anforderungen nicht erfüllen, werden automatisch als „nicht compliant" markiert — und können per Conditional Access vom Zugriff auf Unternehmensressourcen ausgeschlossen werden, bis die Mängel behoben sind.
BYOD sicher ermöglichen
Viele Mittelständler stehen vor dem Dilemma: Mitarbeitende möchten ihre privaten Smartphones für Geschäftszwecke nutzen, aber eine vollständige MDM-Enrollierung des Privatgeräts ist rechtlich problematisch und wird von Mitarbeitenden oft abgelehnt. Die Lösung heißt Mobile Application Management (MAM) ohne Enrollment: Intune-App-Schutzrichtlinien (App Protection Policies) trennen Unternehmens- und Privatdaten auf dem Gerät strikt voneinander, ohne das gesamte Gerät zu verwalten. Unternehmensdaten in der Outlook-App oder Teams lassen sich so im Schadensfall selektiv löschen, ohne private Fotos oder Kontakte zu berühren.
Weitere Informationen zu unserer Mobile Device Management-Lösung für KMU finden Sie auf unserer Leistungsseite.
Schritt-für-Schritt-Einrichtung von Intune und Conditional Access
Schritt 1: Geräte kartieren
Vor der Einrichtung steht eine vollständige Bestandsaufnahme: Welche Geräte sind firmenbetrieben, welche sind Privatgeräte der Mitarbeitenden? Welche Betriebssysteme und Versionen sind im Einsatz? Welche Geräte greifen auf welche Unternehmensressourcen zu? Diese Inventur bildet die Grundlage für alle weiteren Schritte und verhindert, dass nach dem Aktivieren von Conditional Access plötzlich Mitarbeitende den Zugriff auf Exchange verlieren, weil ihre Geräte noch nicht in Intune enrollt sind.
Schritt 2: Compliance-Policies definieren
Erstellen Sie für jede Geräteplattform (Windows, iOS, Android, macOS) eigene Compliance-Policies mit klar definierten Mindestanforderungen. Typische Anforderungen sind: Mindest-OS-Version (z.B. Windows 11 22H2 oder höher), aktiviertes BitLocker, aktiver Microsoft Defender oder gleichwertiger Antivirusschutz, PIN-Schutz und maximales Gerätealter von 24 Stunden ohne Check-in. Legen Sie außerdem fest, nach welchem Zeitraum ein nicht-compliant-Gerät blockiert wird — ein Vorlauf von 3–7 Tagen gibt Mitarbeitenden Zeit zur Selbstkorrektur.
Schritt 3: Conditional Access aktivieren
Erstellen Sie zunächst Conditional-Access-Policies im Modus „Nur Bericht" (Report-only), um zu verstehen, welche Geräte und Benutzer betroffen wären, ohne sofort Zugriffe zu blockieren. Nach einer Auswertungsphase von 1–2 Wochen aktivieren Sie die Policies schrittweise — beginnend mit weniger kritischen Anwendungen. Schlüssel-Policies: Zugriff auf Exchange Online, SharePoint und Teams nur von compliant-Geräten; Blockierung aller Legacy-Authentifizierungsprotokolle (Basic Auth); MFA-Pflicht für alle administrativen Konten.
Schritt 4: App Protection Policies für BYOD
Richten Sie MAM-Policies (Mobile Application Management ohne Enrollment) für iOS und Android ein. Diese Policies steuern, welche Aktionen innerhalb der Microsoft-Apps erlaubt sind: Datei-Kopieren in andere Apps blockieren, Screenshot-Verbot in Unternehmens-Apps, automatische Gerätepersistenz nach definierten Zeiträumen, selektives Wipe bei Mitarbeiteraustritt. Die Mitarbeitenden registrieren nur die App beim ersten Start — das Privatgerät bleibt unberührt.
Schritt 5: Windows Autopatch aktivieren
Windows Autopatch automatisiert die Verteilung von Windows-Updates, Microsoft 365 Apps-Updates, Microsoft Edge-Updates und Microsoft Teams-Updates vollständig. Das System teilt Geräte automatisch in Ringe (Test, First, Fast, Broad) auf und verteilt Updates schrittweise, um Kompatibilitätsprobleme frühzeitig zu erkennen. Für IT-Administratoren in KMU reduziert Autopatch den manuellen Aufwand für Patch-Management erheblich — ein wesentlicher Vorteil angesichts häufig knapper IT-Ressourcen.
Typische Conditional-Access-Policies für KMU
Die folgenden Policies bilden ein solides Grundgerüst für mittelständische Unternehmen:
- „Require device to be marked as compliant": Blockiert den Zugriff auf alle Microsoft 365-Dienste von Geräten, die die definierten Compliance-Anforderungen nicht erfüllen. Diese Policy ist der Kern jedes Intune-Deployments.
- „Require Microsoft Entra hybrid joined device": Für Unternehmen mit lokalem Active Directory erlaubt diese Policy den Zugriff nur von Geräten, die sowohl in das lokale AD als auch in Microsoft Entra ID eingebunden sind — ein bewährtes Modell für den schrittweisen Übergang in die Cloud.
- „Block legacy authentication": Ältere Protokolle wie POP3, IMAP und SMTP AUTH unterstützen keine moderne Authentifizierung und keine MFA. Das Blockieren dieser Protokolle ist eine der wirksamsten Maßnahmen gegen Credential-Stuffing-Angriffe.
- „Require MFA for admin roles": Administrative Konten sind das bevorzugte Ziel von Angreifern. Diese Policy erzwingt für alle Benutzer mit privilegierten Rollen (Global Admin, Exchange Admin usw.) eine Multi-Faktor-Authentifizierung bei jedem Anmeldeversuch.
Lizenzierung: Was brauchen Sie?
Die gute Nachricht für KMU: Microsoft 365 Business Premium enthält sowohl Intune Plan 1 als auch Microsoft Entra ID P1 — damit haben Sie alle Voraussetzungen für Conditional Access und MDM bereits in einer Lizenz, die für viele kleine und mittlere Unternehmen ohnehin die geeignete Wahl ist. Intune Plan 1 deckt die grundlegenden MDM/MAM-Funktionen vollständig ab. Für erweiterte Szenarien wie Intune Suite (Remote Help, Advanced Endpoint Analytics, Tunnel for MAM) sind zusätzliche Add-on-Lizenzen erforderlich. Unternehmen, die bereits Microsoft 365 E3 einsetzen, benötigen für Conditional Access eine zusätzliche Entra ID P1-Lizenz.
Häufige Fehler und wie Sie sie vermeiden
PRT-Probleme: dsregcmd /status
Ein häufiges Problem bei der Einrichtung: Geräte sind zwar in Intune enrollt, werden aber von Conditional Access trotzdem blockiert. Die Ursache liegt oft in einem fehlerhaften Primary Refresh Token (PRT), das für die nahtlose Anmeldung an Microsoft Entra ID erforderlich ist. Prüfen Sie den Entra ID-Join-Status mit dem Befehl dsregcmd /status in der Eingabeaufforderung. Die Ausgabe zeigt unter „Device State", ob das Gerät korrekt in Entra ID registriert ist und ob ein gültiges PRT vorhanden ist.
Browser-Zugriff trotz Conditional Access
Mitarbeitende berichten manchmal, dass sie über den Browser trotz aktiver Conditional-Access-Policy auf Exchange zugreifen können. Ursache ist meist, dass der Browser-Zugriff auf Outlook Web App (OWA) noch nicht in die Conditional-Access-Policy einbezogen wurde oder dass die Policy nur für „All cloud apps" ohne expliziten Exchange-Eintrag gilt. Stellen Sie sicher, dass die Policy explizit Exchange Online, SharePoint Online und Teams als Zielanwendungen umfasst und dass die Bedingung „Client apps" sowohl Browser als auch Mobile Apps und Desktop-Clients einschließt.
Wie Fürstmann.IT Sie bei Intune und Conditional Access unterstützt
Fürstmann.IT begleitet mittelständische Unternehmen in Brandenburg und der Uckermark bei der vollständigen Einrichtung und dem laufenden Betrieb von Microsoft Intune und Conditional Access. Unser Leistungsumfang umfasst die initiale Bestandsaufnahme und Planung, die technische Einrichtung von Intune-Enrollment und Compliance-Policies, die Konfiguration von Conditional-Access-Policies nach dem Prinzip der minimalen Rechte, die Einrichtung von App Protection Policies für BYOD-Geräte sowie die Schulung Ihrer IT-Verantwortlichen. Wir stellen sicher, dass die Migration ohne Produktivitätsverlust verläuft — durch schrittweise Aktivierung und intensive Kommunikation mit den betroffenen Mitarbeitenden.
Unsere Erfahrung zeigt: Unternehmen, die Intune und Conditional Access vollständig eingeführt haben, reduzieren ihr Risiko durch kompromittierte Geräte drastisch und erfüllen gleichzeitig wesentliche Anforderungen aus dem IT-Grundschutz nach BSI-Grundschutz-Methodik. Im Rahmen unserer Netzwerksicherheits-Leistungen prüfen wir zudem, ob Ihre Netzwerkinfrastruktur optimal auf den Zero-Trust-Ansatz ausgerichtet ist.
Sprechen Sie uns an — wir erarbeiten gemeinsam mit Ihnen ein passgenaues Konzept für Ihr Unternehmen, das Sicherheit und Benutzerfreundlichkeit in die richtige Balance bringt.