Bevor ein Gerät eine einzige Policy von Microsoft Intune empfangen kann, muss es wissen, wo es nach Hause telefonieren soll. Dieser Prozess wird als MDM Discovery bezeichnet. Während es für den Endnutzer wie Magie wirkt, steckt dahinter ein präzise definiertes Zusammenspiel aus DNS-Einträgen, HTTP-Requests und Zertifikatsprüfungen.
Das fundamentale Prinzip: Der Discovery-Prozess
Wenn ein Gerät (Windows, iOS oder Android) den Enrollment-Prozess startet, besitzt es initial keine direkte URL zum spezifischen Intune-Tenant. Stattdessen nutzt es eine standardisierte URL-Struktur, um den zuständigen MDM-Server zu finden. Dieser Prozess ist besonders bei Apple (iOS/macOS) und Android Enterprise strikt vorgegeben.
- DNS-Abfrage: Das Gerät fragt einen spezifischen DNS-Eintrag ab.
- Redirect-Response: Der DNS-Eintrag führt zu einem Server, der den Client an den tatsächlichen MDM-Endpunkt weiterleitet.
- Enrollment-Handshake: Das Gerät verbindet sich mit dem Endpunkt und startet den Authentifizierungsdialog.
Plattform-Spezifika
1. Apple (iOS/iPadOS/macOS)
Apple nutzt einen sehr strikten Discovery-Mechanismus. Geräte suchen nach einer spezifischen URL, basierend auf der Domain des Unternehmens.
# Beispiel für die Apple MDM Discovery URL https://deviceenrollment.yourdomain.com/company
Wenn ein Gerät via Apple Business Manager (ABM) registriert ist, kennt es den Server bereits durch das DEP-Profil (Device Enrollment Program). Wenn es jedoch manuell via „Settings“ registriert wird, ist der DNS-Eintrag entscheidend.
2. Android Enterprise
Bei Android erfolgt die Discovery primär über den Google Play Store und das hinterlegte Google-Konto (Managed Google Play). Der „Zero Touch“-Ansatz nutzt hierbei die Hardware-ID (IMEI/Seriennummer), die in der Google-Cloud mit dem Intune-Tenant verknüpft ist.
3. Windows 10/11
Windows nutzt primär Entra ID (Azure AD). Sobald ein Nutzer sich mit seinem Firmenkonto anmeldet, prüft Windows die MDM-Scope-Einstellungen im Intune-Tenant. Wenn der User im Scope ist, erhält Windows direkt die MDM-URL aus dem Entra-Token, ohne dass ein manueller DNS-Lookup nötig ist.
Technische Implementierung: DNS CNAMEs
Für Administratoren, die eine eigene Domain für das Management nutzen wollen, müssen oft CNAME-Einträge gesetzt werden. Ein klassischer Fehler ist die Verwechslung von A-Records und CNAMEs.
# Korrekte DNS Konfiguration für MDM Discovery TYPE HOST VALUE CNAME enterprise.yourdomain.com enrollment.manage.microsoft.com CNAME deviceenrollment.yourdomain.com enrollment.manage.microsoft.com
Troubleshooting: Wenn die Discovery scheitert
Wenn Geräte „Server nicht erreichbar“ melden, liegt das Problem meist an einer der folgenden Stellen:
- DNS Cache: Lokale DNS-Caches (Client oder Router) halten alte Einträge.
- Firewall/Proxy: Die Ports 80 (für initiale Redirects) und 443 sind blockiert. Intune benötigt zwingend Zugriff auf
*.manage.microsoft.com. - Zertifikatsfehler: Das Gerät vertraut dem SSL-Zertifikat des Discovery-Endpunkts nicht (häufig bei SSL-Inspection durch Firewalls).
# Test der Erreichbarkeit via PowerShell (Windows) Test-NetConnection -ComputerName enrollment.manage.microsoft.com -Port 443
Academy
Weiterlernen in der Kaffeeundcode Academy
Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.
Diskussion starten
Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.