Verwalten mobiler Geräte mit Microsoft Intune für Enterprise Security

Verwalten mobiler Geräte mit Microsoft Intune für Enterprise Security

08.03.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Verwendung von Microsoft Intune zur Verwaltung und Sicherung mobiler Geräte (iOS/iPadOS und Android) in einer Unternehmensumgebung helfen. Intune bietet als Unified Endpoint Management (UEM)-Lösung robuste Tools, um sicherzustellen, dass mobile Geräte, die auf Unternehmensressourcen zugreifen, sicher und konform konfiguriert werden, sei es in einem unternehmenseigenen oder persönlichen (BYOD) Modell [1].

Einführung

Mobile Geräte sind für die Produktivität unerlässlich, stellen jedoch ein erhebliches Risiko dar, wenn sie nicht verwaltet werden. Microsoft Intune begegnet diesen Herausforderungen durch zwei Hauptansätze: Mobile Device Management (MDM), das das Gerät als Ganzes verwaltet, und Mobile Application Management (MAM), das Daten in Anwendungen schützt, unabhängig davon, ob das Gerät verwaltet oder nicht verwaltet wird. Letzteres ist ideal für BYOD-Szenarien [2].

In diesem Leitfaden werden die Einrichtung von Intune für MDM und MAM, die Registrierung von Geräten, die Erstellung von Konfigurations- und Compliance-Richtlinien sowie die Bereitstellung von Anwendungen behandelt.

Warum ist Microsoft Intune so wichtig?

  • Umfassender Schutz: Bietet MDM und MAM zum Schutz von Geräten und Daten.
  • Zentralisierte Steuerung: Verwalten Sie mobile Geräte von einer einzigen Plattform aus.
  • Bedingter Zugriff: Integriert sich in den bedingten Zugriff von Azure AD, um sicherzustellen, dass nur konforme Geräte und Anwendungen auf Unternehmensdaten zugreifen.
  • Datentrennung: Isoliert Unternehmensdaten von persönlichen Daten auf BYOD-Geräten.

Voraussetzungen

  1. Lizenzierung: Microsoft Intune (in Abonnements wie Microsoft 365 E3/E5 enthalten).
  2. Administratorzugriff: Globaler Administrator oder Intune-Dienstadministrator.
  3. APNs-Zertifikat (für iOS/iPadOS): Erforderlich für die Verwaltung von Apple-Geräten [3].
  4. Verwaltetes Google Play-Konto (für Android): Erforderlich für Android Enterprise.

Schritt-für-Schritt: Konfigurieren von Intune für mobile Geräte

1. Konfigurieren der Geräteregistrierung

Konfigurieren Sie zunächst die Voraussetzungen für die Registrierung von iOS- und Android-Geräten im Microsoft Intune Admin Center („https://intune.microsoft.com“) unter Mandantenverwaltung > Connectors und Token.

  • Für iOS/iPadOS: Erstellen Sie ein Apple APN-Zertifikat und laden Sie es hoch.
  • Für Android: Verbinden Sie Ihr Intune-Konto mit Managed Google Play.

2. Compliance-Richtlinien erstellen

Compliance-Richtlinien definieren die Sicherheitsanforderungen, die ein Gerät erfüllen muss, um als „konform“ zu gelten. Nicht konforme Geräte können durch bedingten Zugriff blockiert werden.

  1. Gehen Sie im Intune Admin Center zu Geräte > Compliance-Richtlinien.
  2. Klicken Sie auf Richtlinie erstellen und wählen Sie die Plattform aus (z. B. „Android Enterprise“ oder „iOS/iPadOS“).
  3. Compliance-Einstellungen: Anforderungen definieren. Wesentliche Beispiele:
    • Gerätezustand: Erfordert, dass das Gerät nicht „Jailbreak/Root entsperrt“ ist.
    • Geräteeigenschaften: „Mindestversion des Betriebssystems“ festlegen.
    • Systemsicherheit:
      • „Zum Entsperren mobiler Geräte ist ein Passwort erforderlich“.
      • „Daten auf dem Gerät müssen verschlüsselt werden“.
  4. Aktionen bei Nichtkonformität: Die Standardaktion ist „Gerät als nicht konform markieren“. Sie können Aktionen hinzufügen, z. B. das Senden einer E-Mail an den Benutzer.
  5. Zuweisungen: Weisen Sie die Richtlinie einer Gruppe von Benutzern oder Geräten zu.

3. Konfigurationsprofile erstellen

Konfigurationsprofile übertragen Einstellungen an Geräte, z. B. Wi-Fi-Profile, VPN-Profile und Geräteeinschränkungen.

  1. Gehen Sie zu Geräte > Konfigurationsprofile und klicken Sie auf Profil erstellen.
  2. Wählen Sie die Plattform und den Profiltyp aus (z. B. „Modelle > Geräteeinschränkungen“).
  3. Konfigurationseinstellungen: Konfigurieren Sie die gewünschten Einschränkungen. Beispiele:
    • Allgemein: „Screenshot und Bildschirmassistent“ blockieren.
    • Passwort: „Erforderlicher Passworttyp“ auf „Alphanumerisch“ setzen.
    • Apps: Zugriff auf persönliche App-Stores blockieren.
  4. Weisen Sie das Profil einer Benutzergruppe oder einem Gerät zutives.

4. Implementierung von Anwendungsschutzrichtlinien (MAM)

MAM ist ideal für den Schutz von Daten auf persönlichen Geräten (BYOD), ohne diese vollständig zu verwalten.

  1. Gehen Sie zu Anwendungen > App-Schutzrichtlinien und klicken Sie auf Richtlinie erstellen.
  2. Wählen Sie die Plattform aus (z. B. „iOS/iPadOS“).
  3. Anwendungen: Wählen Sie die Anwendungen aus, die Sie schützen möchten (z. B. „Microsoft Outlook“, „Microsoft Teams“).
  4. Datenschutz: Konfigurieren Sie DLP-Regeln (Data Loss Prevention).
    • „Orgeldaten sichern“: „Sperren“.
    • „Organisationsdaten an andere Apps senden“: „Von Richtlinien verwaltete Apps“ (verhindert das Kopieren/Einfügen in nicht verwaltete Apps).
    • „Daten von anderen Apps empfangen“: „Alle Apps“.
    • „Ausschneiden, Kopieren und Einfügen zwischen anderen Anwendungen beschränken“: „Blockiert“.
  5. Zugriffsanforderungen: Erfordern eine „PIN für den Zugriff“ oder Unternehmensanmeldeinformationen.
  6. Weisen Sie die Richtlinie einer Benutzergruppe zu.

5. Anwendungen bereitstellen

Verteilen Sie Apps an die Geräte der Benutzer.

  1. Gehen Sie zu Apps > Alle Apps und klicken Sie auf Hinzufügen.
  2. Wählen Sie den Anwendungstyp (z. B. „iOS Store App“ oder „Android Store App“).
  3. Suchen Sie im Store nach der App (z. B. „Microsoft Authenticator“).
  4. Konfigurieren Sie die Anwendungsinformationen und gehen Sie zu Aufgaben.
  5. Weisen Sie die Anwendung als Erforderlich einer Gruppe zu (erzwungene Installation) oder als Verfügbar (Benutzer kann über das Unternehmensportal installieren).

Remote-Aktionen und Überwachung

In Intune können Sie ein bestimmtes Gerät auswählen und Remoteaktionen ausführen, wie zum Beispiel:

  • Synchronisieren: Erzwingt die Anmeldung des Geräts bei Intune.
  • Neustart: Startet das Gerät neu.
  • Löschen: Entfernt alle Unternehmensdaten und setzt das Gerät auf die Werkseinstellungen zurück (ideal für verlorene Unternehmensgeräte).
  • Deaktivieren: Entfernt Unternehmensdaten, persönliche Daten bleiben jedoch erhalten (ideal für BYOD-Szenarien).
  • Fernsperre: Sperrt das Gerät.

Fazit

Microsoft Intune bietet einen vollständigen Satz an Tools, um die Herausforderungen der modernen mobilen Sicherheit zu bewältigen. Durch die Kombination von Compliance-Richtlinien, Konfigurationsprofilen und Anwendungsschutzrichtlinien können Unternehmen sicherstellen, dass Unternehmensdaten sicher bleiben, unabhängig davon, wo auf sie zugegriffen wird, und gleichzeitig Benutzern die Flexibilität bieten, die sie benötigen. Die sorgfältige Umsetzung dieser Richtlinien ist ein wesentlicher Schritt auf dem Weg zu einer effektiven Zero-Trust-Sicherheitsstrategie.

Referenzen

[1] Microsoft. (2023). Was ist Microsoft Intune? [2] Microsoft. (2023). Was ist Microsoft Intune-App-Verwaltung? [3] Apfel. (2023). Apple Push-Benachrichtigungsdienst. [4] Microsoft. (2023). Lizenzen verfügbar für Microsoft Intune. [5] Microsoft. (2023). Erstellen Sie eine Compliance-Richtlinie in Microsoft Intune. [6] Google. (2023). Verbinden Sie Intune mit Ihrem verwalteten Google Play-Konto.