Die Security Baseline umfasst Einstellungen für Gruppen­richt­linien oder MDM, die Micro­soft als Best Practice empfiehlt. Compliance-Richtlinien kon­fi­gurieren da­gegen Regeln und Ein­stellungen, die Benutzer und Geräte er­füllen müssen. Mit Microsoft Intune können Firmen Compliance- und Sicher­heits­richtlinien auf ihren End­geräten durch­setzen.

Restriktive Sicherheits­einstellungen für End­geräte sind eine wesent­liche Maß­nahme im Schutz gegen Angriffe. Die unkon­trollierte Instal­lation von USB-Geräten öffnet Einfalls­tore für Malware und erhöht das Risiko für Daten­diebstahl. Mit Microsoft Intune können Admins End­benutzer daran hindern, USB-Peri­pherie auf ihren PCs zu installieren.

Mit dem Cloud-Service Microsoft Intune können Unter­nehmen ihre Geräte ver­walten, auch wenn sich diese nicht im Firmen-LAN befinden. Intune deckt dabei die meisten Auf­gaben des PC-Lifecycle-Managements ab. Dazu gehört auch das Patch-Management, bei dem es Windows Update über Profile konfi­guriert.

Microsoft Intune bietet voll­wertige Funktionen für das Bereit­stellen von Anwendungen. Damit können Unter­nehmen ihre Apps für Windows, macOS, Android und iOS verteilen. Ein typischer Kandidat sind Microsofts Office-Anwendungen, die bereits in Intune hinterlegt sind und deren Setup nur angepasst werden muss.

Das zu­nehmende Ar­beiten von unter­wegs oder zu Hause er­fordert eine Ver­waltung von PCs, die nicht von der Ver­bindung zum Firmen­netz­ abhängt. Micro­soft Intune ist ein Cloud-basierter Dienst, der ein Mobile Device Management (MDM) und Mobile Application Management (MAM) auch für Windows-PCs bietet.

Windows AutoPilot ist ein Cloud-Dienst von Microsoft, mit dem Firmen ihre Windows-PCs bereit­stellen können. End­benutzer können so ihre Rechner weit­gehend selb­ständig in Be­trieb nehmen. Neben dem OS kann man auch gleich Anwen­dungen wie MS Office in­stal­lieren. Diese An­leitung zeigt, wie man den Ser­vice nutzt.

Microsofts Endpoint Manager kombi­niert SCCM (jetzt: Endpoint Config­uration Manager) mit dem Cloud-Service Intune. Er sieht ein Co-Manage­ment für Windows-10-PCs vor, für das man die lokale MECM-Infra­struktur und Intune koppelt. Wer von beiden Aufgaben über­nimmt, kann der Admin fest­legen.

Ein mobiles Gerät kann schnell ver­loren gehen, etwa weil es einem aus der Tasche ge­fallen ist oder man es irgend­wo liegen ge­lassen hat. Im schlimm­sten Fall ist natürlich auch ein Dieb­stahl denk­bar. In solchen Situa­tionen sollte man sicher­stellen, dass die Daten auf dem Smart­phone nicht in die fal­schen Hände fallen.

Bevor man mobile Geräte über Intune ver­walten kann, muss man diese bei Microsofts Cloud-basierten MDM-Service regi­strieren. In Frage kommen dafür neben Android und Windows 10 auch iPhones oder iPads. Dafür bean­tragt man erst ein Zertifikat von Apple und kann dann die erfor­derliche Intune-App auf das Device laden.

Sobald mobile Geräte in Intune regi­striert sind, gewährt ihnen der Admini­strator Zugriff auf Ressourcen im Netz­werk. Das kann er allerdings unter der Auflage tun, dass die Geräte be­stimmte Sicher­heits­richtlinien erfüllen. Uner­wünschte Geräte lassen sich aber schon bei der Regi­strierung ab­weisen.