Intune Basics: Tenant Setup, Licensing & Global Admin Basics
Kategorie: Learning | Course: Intune A-Z Mastercourse
Willkommen zum ersten Modul des Intune A-Z Mastercourses. Bevor wir in die Tiefe der Konfigurationsprofile und App-Deployments eintauchen, müssen die Fundamente stehen.
Ein falsch konfigurierter Tenant führt zu inkonsistenten Policies und frustrierten Usern. In diesem Artikel behandeln wir den Tenant Setup,
die Lizenzierung und die kritischen Global Admin Basics.
1. Der Intune Tenant Setup Prozess
Die Initialisierung eines Intune-Tenants ist mehr als nur das Anklicken eines Buttons im Microsoft 365 Admin Center. Es geht darum, die MDM-Authority (Mobile Device Management) korrekt zu setzen und die erforderlichen DNS-Einträge für die Discovery bereitzustellen.
Schritte zur Initialisierung:
- Domain-Verifizierung: Stellen Sie sicher, dass Ihre öffentliche Domain verifiziert ist. Ohne validierte Domain gibt es kein professionelles Enrollment.
- MDM-Authority: In modernen Tenants ist dies automatisch Microsoft Intune. Bei Legacy-Migrationen muss dies explizit geprüft werden. Ein Wechsel der Authority ist nach der ersten Registrierung nahezu unmöglich ohne Tenant-Reset.
- Branding: Unter Tenant Administration > Customization sollten Firmenname und Logo hinterlegt werden, da diese in der Company Portal App erscheinen.
2. Lizenzierung: Wer darf was?
Intune ist kein kostenloses Feature. Die Lizenzierung erfolgt meist über Bundles. Die gängigsten Optionen sind:
| Lizenz | Fokus | Intune Inkludiert? |
|---|---|---|
| Microsoft 365 E3 | Enterprise Core | Ja |
| Microsoft 365 E5 | Security & Analytics | Ja (inkl. Advanced) |
| Business Premium | KMU (bis 300 User) | Ja |
3. Global Admin Basics & RBAC
Der Global Administrator hat volle Kontrolle. Aus Sicherheitsgründen (Zero Trust) sollte dieser Account nur für die initiale Einrichtung genutzt werden. Für den Day-to-Day Betrieb setzen wir auf Role-Based Access Control (RBAC).
Intune bietet eigene Rollen (z.B. Intune Administrator, Help Desk Operator), die feingranular gesteuert werden können. Es ist fatal, jedem Techniker Global Admin Rechte zu geben, da diese auch Zugriff auf Exchange, Entra ID und Billing haben.
Praxis: Automatisierung via Graph API
Viele Setup-Tasks lassen sich automatisieren. Ein Beispiel ist das Auslesen der registrierten Autopilot-Devices, um die Tenant-Gesundheit zu prüfen. Anstatt hunderte Geräte manuell in der UI zu scrollen, nutzen wir PowerShell und die Microsoft Graph API.
# Beispiel: Autopilot Devices abrufen
# Benötigt Modul: Microsoft.Graph
Connect-MgGraph -Scopes "DeviceManagementServiceConfig.Read.All"
Write-Host "Lade Autopilot Geräte..."
$Devices = Get-MgDeviceManagementWindowsAutopilotDeviceIdentity -All
Write-Host "Gefunden: $($Devices.Count)"
$Devices | Select-Object SerialNumber, Model, DeploymentProfileDisplayName | Format-Table -AutoSizeAcademy
Weiterlernen in der Kaffeeundcode Academy
Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.
Diskussion starten
Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.