Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Intune basiert auf drei Säulen: den Identitäten, die sich anmelden, den Geräten, von denen aus sie sich anmelden, und den Apps, die sie zum Erledigen der Arbeit verwenden. Intune orchestriert diese Säulen über Microsoft Entra ID und leitet den Geräte- und App-Status an Microsoft Entra bedingten Zugriff zurück, der den Zugriff auf Unternehmensressourcen übergibt.
Eine Einführung dazu, was Intune macht und warum, finden Sie unter Was ist Microsoft Intune?. Informationen zu den Komponenten, Integrationen und der Bereitstellungsansicht finden Sie unter Microsoft Intune Architektur.
Die drei Säulen
| Pfeiler | Funktionsweise Intune | Worauf Intune angewiesen ist |
|---|---|---|
| Identitäten | Richtet Richtlinien auf Benutzer und Gruppen ab, legt den Administratorzugriff über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) fest und erstellt benutzeraffine Benutzeraffinität bei der Registrierung. | Microsoft Entra ID für Konten, Gruppen, Authentifizierung und bedingten Zugriff. |
| Geräte | Registriert, konfiguriert, schützt und deaktiviert die Hardware, die die Arbeit Ihrer organization ausführt. Meldet den Konformitätsstatus für bedingten Zugriff. | Plattformregistrierungsprogramme (Windows Autopilot, Apple Automated Device Enrollment, Android Enterprise). |
| Apps | Stellt die Von Benutzern benötigten Apps auf registrierten und persönlichen Geräten bereit, konfiguriert, schützt und aktualisiert sie. | App-Stores und Anbieterkataloge (Microsoft Store, App Store, Managed Google Play, Apple Business). |
Der Rest dieses Artikels führt sie durch die einzelnen Säulen und endet mit einem arbeitsintensiven Beispiel, das eine einzelne Anmeldung über alle drei Elemente hinweg verfolgt.
Identitäten
Intune speichert keine Benutzeridentitäten. Es verwendet Microsoft Entra ID für Konten, Gruppen, Authentifizierung und bedingten Zugriff. Innerhalb Intune werden Identitäten an drei Stellen angezeigt.
Benutzeraffinität bei der Registrierung
Wenn sich ein Benutzer zum ersten Mal bei einem Gerät anmeldet, wird das Gerät diesem Benutzer zugeordnet. Diese Zuordnung wird als Benutzeraffinität bezeichnet. Richtlinien, die dem Benutzer zugewiesen sind, folgen ihnen auf allen zugehörigen Geräten, und der Benutzer kann von jedem dieser Geräte aus auf seine E-Mails, Dateien und Apps zugreifen.
Wenn einem Gerät kein Benutzer zugeordnet ist, ist das Gerät benutzerlos. Dieses Muster ist üblich für Kioske, die für eine einzelne Aufgabe vorgesehen sind, und für gemeinsam genutzte Geräte, die von mehreren Personen verwendet werden.
Legen Sie vor der Registrierung den beabsichtigten Zweck des Geräts fest, damit Sie die richtige Registrierungsmethode auswählen können. Plattformspezifische Anleitungen finden Sie unter Geräteregistrierung in Microsoft Intune.
Rollenbasierter Zugriff für Administratoren
Intune verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um zu bestimmen, was jeder Administrator im Admin Center sehen und tun kann. Integrierte Rollen wie Anwendungs-Manager und Richtlinien- und Profil-Manager-Bereichsberechtigungen für bestimmte Endpunktverwaltungsaufgaben. Da Intune Microsoft Entra ID verwendet, sind auch die integrierten Microsoft Entra Rollen (einschließlich Intune Administrator) verfügbar.
Koppeln Sie die RBAC mit Bereichstags , um ein einzugrenzen, was ein Administrator sehen kann, und nicht nur, was er tun kann. Geben Sie z. B. einem regionalen Helpdesk eine Rolle, die Das Zurücksetzen von Geräten zulässt, sie aber so markieren, dass sie nur Geräte in ihrer Region sehen und zurücksetzen können.
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung mit Microsoft Intune und Verwenden von Bereichstags zum Filtern von Richtlinien.
Zielrichtlinien und -zuweisungen
Intune ist cloudbasiert und richtet sich direkt an Benutzer oder Gruppen. Es gibt keine Hierarchie von Containern wie Organisationseinheiten. Sie erstellen eine Richtlinie und weisen sie dann einer oder mehreren Microsoft Entra Gruppen zu.
Sie können eine Richtlinie auf Folgendes ausrichten:
- Benutzergruppen, wenn die Einstellung dem Benutzer auf seinen Geräten folgen soll. Beispielsweise ein E-Mail-Profil oder eine App-Bereitstellung.
- Gerätegruppen, wenn die Einstellung unabhängig davon angewendet werden soll, wer angemeldet ist. Beispiel: Eine Kioskkonfiguration oder eine Richtlinie für Mitarbeiter in Service und Produktion.
- Integrierte virtuelle Gruppen (Alle Benutzer, Alle Geräte), wenn eine Einstellung mandantenweit angewendet wird.
Weitere Informationen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten undZuweisen von Geräteprofilen in Microsoft Intune.
Geräte
Intune verwaltet und schützt die Desktops, Laptops, Tablets und Smartphones, auf die Ihre organization in Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS und Windows basiert. Die vollständige Unterstützte Betriebssystemmatrix finden Sie unter Unterstützte Betriebssysteme und Browser.
Gerätelebenszyklus
Jedes verwaltete Gerät durchläuft vier Phasen, die alle im selben Admin Center verarbeitet werden.
- Registrieren: Bringen Sie Geräte in die Verwaltung. Organisationseigene Hardware verwendet in der Regel die automatisierte Registrierung über Windows Autopilot, die automatisierte Geräteregistrierung von Apple oder Android Enterprise. Persönliche Geräte werden über die Unternehmensportal-App registriert.
- Konfigurieren: Wenden Sie Einstellungen für WLAN, VPN, Zertifikate, E-Mail, Gerätefeatures und plattformspezifische Optionen an. Der Einstellungskatalog macht Tausende von Plattformeinstellungen verfügbar.
- Schützen: Erzwingen Sie Complianceregeln, verschlüsseln Sie Datenträger, stellen Sie Sicherheitsbaselines bereit und integrieren Sie sie in mobile Bedrohungsabwehr. Konformitätszustandsfeeds Microsoft Entra bedingten Zugriff.
- Außerbetriebnahme: Wenn ein Gerät verloren geht, ersetzt oder nicht mehr benötigt wird, können Sie mithilfe von Remoteaktionen organization Daten zurücksetzen, das Gerät auf die Werkseinstellungen zurücksetzen oder die Registrierung aufheben.
MDM und MAM
Intune unterstützt zwei Verwaltungsmodi. Sie können sie unabhängig oder zusammen verwenden.
- Bei der Verwaltung mobiler Geräte (Mobile Device Management, MDM) wird das gesamte Gerät unter Intune Kontrolle versetzt: Einstellungen, Apps und Daten. MDM ist typisch für organization Hardware.
- Die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) verwaltet nur die Arbeits-Apps und die darin enthaltenen Daten. Der Benutzer behält die Kontrolle über den Rest des Geräts. MAM ist typisch für BYOD-Szenarien (Bring Your Own Device).
Sie können beides auf demselben Gerät kombinieren. Beispielsweise kann ein registriertes Unternehmenstelefon (MDM) auch Über App-Schutzrichtlinien (MAM) für Apps verfügen, die besonders vertrauliche Daten verarbeiten.
Weitere Informationen finden Sie unter Geräteregistrierung in Microsoft Intune und übersicht über App-Schutz Richtlinien.
Organisationseigene und persönliche Geräte
Die meisten Organisationen verwalten zwei Gerätepopulationen: Hardware, die sie besitzen, und persönliche Geräte, die Mitarbeiter für die Arbeit verwenden. Intune unterstützt beides mit unterschiedlichen Steuerelementen.
- Organisationseigene Geräte sollten bei MDM registriert werden. Verlassen Sie sich nicht darauf, dass Benutzer diese Geräte selbst verwalten.
- Persönliche Geräte können MDM-registriert werden, wenn Benutzer vollständigen Zugriff auf Organisationsressourcen wünschen, oder sie können nur MAM-Richtlinien verwenden, die Daten in Outlook, Teams und anderen verwalteten Apps schützen.
Gerätegruppen
Gerätegruppen sind Microsoft Entra Gruppen, die nur Geräte enthalten. Sie sind nützlich, wenn eine Einstellung unabhängig davon angewendet werden soll, wer angemeldet ist: Kioske, freigegebene PCs, Frontline-Workergeräte oder Spezialhardware.
Die Mitgliedschaft kann statisch oder dynamisch sein:
- Statische Gruppen erfordern das manuelle Hinzufügen und Entfernen von Geräten. Sie sind nützlich für kleine, stabile Gerätegruppen.
- Dynamische Gruppen fügen Geräte basierend auf den von Ihnen definierten Kriterien automatisch hinzu und entfernen diese. Sie sind nützlich für große, sich ändernde Geräteflotten
Apps
Intune deckt den gesamten App-Lebenszyklus (Bereitstellen, Konfigurieren, Schützen, Aktualisieren) auf jeder unterstützten Plattform ab.
App-Lebenszyklus
- Stellen Sie Apps aus öffentlichen Stores, Anbieterkatalogen, Ihren eigenen Branchenpaketen oder integrierten Einträgen im Admin Center bereit.
- Konfigurieren Sie Apps mithilfe von App-Konfigurationsrichtlinien, bevor Benutzer sie öffnen. Legen Sie die App-Sprache fest, fügen Sie das Logo Ihrer organization hinzu, blockieren Sie persönliche Konten und vieles mehr.
- Schützen Sie die Daten in Apps mithilfe von App-Schutzrichtlinien. Fordern Sie eine PIN an, blockieren Sie das Kopieren und Einfügen in persönliche Apps, verhindern Sie Sicherungen in persönlichen Clouddiensten, verschlüsseln Sie ruhende Daten, und setzen Sie organization Daten selektiv zurück.
- Aktualisieren Sie Apps automatisch, wenn neue Versionen verfügbar werden. Für Microsoft 365-Apps, Microsoft Edge und Microsoft Teams unter Windows können Sie Updates an Windows Autopatch übergeben.
App-Schutz ohne Registrierung (MAM-WE)
App-Schutz Richtlinien erfordern keine MDM-Registrierung. Sie arbeiten mit drei Gerätepopulationen:
- Persönliche Geräte , die bei keinem MDM (BYOD) registriert sind.
- Geräte, die bei einem anderen MDM-Anbieter registriert sind: Intune können die Daten in den verwalteten Apps weiterhin schützen.
- Intune registrierten Geräte für Apps, die eine zusätzliche Ebene über MDM hinaus benötigen.
Weitere Informationen finden Sie unter Übersicht über App-Schutz-Richtlinien.
Apps nach Plattform
Intune unterstützt Apps im öffentlichen Store, branchenspezifische Apps, Web-Apps und plattformspezifische App-Typen für Android, iOS, iPadOS, macOS und Windows. Eine plattformspezifische Aufschlüsselung der App-Typen und deren Herkommen finden Sie unter Hinzufügen und Aktualisieren von Apps in Microsoft Intune.
Wie die Säulen zusammenpassen
Eine typische Zugriffsentscheidung berührt alle drei Säulen:
- Ein Benutzer meldet sich bei einem verwalteten Gerät an, und Microsoft Entra ID authentifiziert den Benutzer.
- Das Gerät checkt mit Intune ein und meldet seinen Konformitätszustand und Bestand.
- Intune leitet den Konformitätszustand an Microsoft Entra ID weiter.
- Der Benutzer öffnet eine Unternehmens-App. Microsoft Entra bedingter Zugriff wertet die Anforderung anhand des Benutzers, des Konformitätszustands des Geräts, der App, des Standorts und der Signale der Endpunktsicherheit in Microsoft Defender aus.
- Bedingter Zugriff erlaubt oder blockiert den Zugriff. Wenn der Zugriff zulässig ist und es sich bei der App um eine verwaltete App handelt, erzwingen App-Schutzrichtlinien In-App-Steuerelemente (PIN, Einschränkungen beim Kopieren und Einfügen, selektives Zurücksetzen).
Bei jeder Zugriffsentscheidung werden alle drei Säulen gemeinsam ausgeführt: die Identität des Benutzers, die Konformität des Geräts und die App, die der Benutzer öffnet.
Verwandte Inhalte
- Identitäten: Microsoft Entra ID Grundlagen, Verwenden des bedingten Zugriffs mit Microsoft Intune, rollenbasierte Zugriffssteuerung mit Microsoft Intune
- Geräte: Geräteregistrierung in Microsoft Intune, Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für von Ihnen verwaltete Geräte, Verwalten der Endpunktsicherheit in Microsoft Intune
- Apps: Hinzufügen und Aktualisieren von Apps in Microsoft Intune, App-KonfigurationsrichtlinienApp-Schutz Übersicht
- Architektur: Microsoft Intune Architektur