Kaffeeundcode
Knowledge Base / Learning

Intune A-Z Mastercourse: Teil 1 – Intune Basics: Tenant Setup, Licensing & Global Admin Basics

27. Juni 2026 Bruno 0 Kommentare

Intune A-Z Mastercourse: Teil 1

Intune Basics: Tenant Setup, Licensing & Global Admin Basics

Dieser Artikel bildet das Fundament für den gesamten Intune A-Z Mastercourse. Bevor wir uns in komplexe Richtlinien oder Autopilot-Workflows stürzen, müssen die infrastrukturellen Voraussetzungen in Ihrem Microsoft 365 Tenant absolut wasserdicht sein. Ein fehlerhaftes Setup in dieser Phase führt unweigerlich zu „Ghost-Devices“ oder Enrollment-Fehlern, die Stunden an Troubleshooting kosten.

1. Der Tenant-Start: Die Architektur hinter Intune

Microsoft Intune ist kein isoliertes Produkt, sondern ein Teil von Microsoft Endpoint Manager. Es operiert als Cloud-native MDM-Lösung (Mobile Device Management) und MAM-Lösung (Mobile Application Management), die eng mit Microsoft Entra ID (ehemals Azure AD) verknüpft ist.

Kernkonzept: Intune verwaltet das Gerät, Entra ID verwaltet die Identität. Nur wenn beide Systeme synchron arbeiten, funktioniert das moderne Management.

Kritische Checkliste für den Start:

  • Tenant-Region: Überprüfen Sie die Datenresidenz. Ein Wechsel der Region nach dem Enrollment ist komplex.
  • Domain-Verifizierung: Ist die primäre Organisationsdomain verifiziert? (domain.com statt onmicrosoft.com).
  • MDM Authority: Sicherstellen, dass die Intune-Autorität auf den Tenant gesetzt ist (Standard bei neuen Tenants).

2. Lizenzierung: Wer darf was?

Intune ist kein „One-Size-Fits-All“. Die Lizenz bestimmt, welche Features (z.B. Remote Help, Advanced Analytics) verfügbar sind.

Lizenz Typ Intune Status Key Feature
Microsoft 365 Business Premium Inklusive Ideal für KMU, enthält Intune & Defender.
Microsoft 365 E3 Inklusive Standard Enterprise Management.
Microsoft 365 E5 Inklusive Full Suite inkl. Advanced Security & Compliance.
Intune Plan 1 Standalone Basis-MDM für alle Plattformen.

Wichtig: Eine Lizenz ist die Voraussetzung für das Enrollment. Ohne zugewiesene Lizenz schlägt das Enrollment mit einem kryptischen Fehler ab.

3. Die Rolle des Global Admin & RBAC

Der Global Administrator hat „Götterrechte“. In einer produktiven Umgebung sollte dieser Account jedoch nur für das initiale Setup und die Zuweisung von administrativen Rollen genutzt werden.

Das Prinzip der minimalen Rechte (Least Privilege)

Statt jedem Techniker Global Admin Rechte zu geben, nutzen wir Role-Based Access Control (RBAC). In Intune gibt es vordefinierte Rollen:

  • Intune Administrator: Voller Zugriff auf das Intune-Portal.
  • Policy and Profile Manager: Kann Konfigurationen ändern, aber keine Geräte löschen.
  • Help Desk Operator: Kann Geräte remote neu starten oder Passwörter zurücksetzen.

Implementierung via PowerShell (Beispiel: User-Zuweisung)

Um eine Rolle programmatisch zuzuweisen oder zu prüfen, wird die Microsoft Graph API genutzt.

# Beispiel: Abfrage der zugewiesenen Lizenzen für einen User
# Benötigt: Microsoft.Graph PowerShell Modul
Connect-MgGraph -Scopes "User.Read.All", "Directory.Read.All"

Get-MgUserLicenseDetail -UserId "admin@kaffeeundcode.com" | Select-Object SkuId, ServicePlans

4. Initial Setup: Die „First-Hour“ Konfiguration

Bevor das erste Gerät im Tenant landet, müssen folgende drei Punkte konfiguriert sein:

A. Enrollment Restrictions (Einschreibungsbeschränkungen)

Verhindern Sie, dass User ihre privaten Geräte (BYOD) ohne Erlaubnis in den Tenant bringen.

  • Pfad: Devices -> Enrollment device join restrictions
  • Empfehlung: Blockieren Sie „Personal“ Geräte für Windows, wenn nur Firmenhardware erlaubt ist.

B. MDM User Scope

Legt fest, welche Benutzer überhaupt Geräte einschreiben dürfen.

  • Automatic Enrollment: Setzen Sie dies auf „All“ (für den Start) oder eine spezifische Gruppe, um den Rollout zu steuern.

C. DNS CNAME Records (Für Discovery)

Damit Geräte Intune automatisch finden, müssen DNS-Einträge gesetzt werden. Dies verhindert, dass User manuell URLs eingeben müssen.

# Beispiel für Windows MDM Discovery
CNAME: enterpriseregistration.microsoftonline.com
Host: enroll.kaffeeundcode.com

Zusammenfassung: Der „Industrial Precision“ Workflow

  1. Identität prüfen: Domain verifiziert? Entra ID sauber?
  2. Lizenzen prüfen: Hat der User die passende M365-Lizenz?
  3. RBAC setzen: Keine Global Admins im Tagesgeschäft -> Intune Admin Rollen nutzen.
  4. Guardrails bauen: Enrollment Restrictions setzen -> MDM Scope definieren.

Nächster Schritt im Mastercourse: Wir tauchen tief in Entra ID (Azure AD) ein, um zu verstehen, wie Objekte, Gruppen und Identitäten das Fundament für jede Intune-Richtlinie bilden.

Academy

Weiterlernen in der Kaffeeundcode Academy

Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.

Academy ansehen Warteliste

Diskussion starten

Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert.

Vorheriger Beitrag
Nächster Beitrag