Geräte löschen in Intune ist schnell gemacht — ein Klick, und das Gerät ist weg. Was im Alltag bequem ist, wird zum Risiko, wenn der falsche Klick trifft. Multi Admin Approval schafft einen festen Freigabe-Prozess, bevor kritische Aktionen wie Gerätelöschung überhaupt ausgeführt werden.
Das Problem
Jeder Intune-Administrator mit den richtigen Berechtigungen kann ein Gerät sofort retire oder delete — ohne Nachfrage, ohne Kontrolle. In größeren Teams führt das zu:
- Versehentliche Löschungen — ein Klick auf den falschen Button, und ein produktives Gerät ist weg
- Fehlende Transparenz — wer hat was gelöscht und warum?
- Keine Trennung von Verantwortung — dieselbe Person kann anfordern UND ausführen
Genau hier setzt Multi Admin Approval an.
Was ist Multi Admin Approval?
Multi Admin Approval ist ein Feature im Microsoft Intune Admin Center, das bestimmte Aktionen von einer Freigabe durch einen zweiten Administrator abhängig macht. Der Admin, der die Aktion anfordert, kann sie nicht selbst freigeben — das muss ein anderer tun.
Unterstützte Aktionen (aktuell):
| Aktion | Beschreibung |
| Device Retirement | Gerät wird aus Intune entfernt und zurückgesetzt |
| Device Deletion | Gerätedatensatz wird aus Intune gelöscht |
Hinweis: Das Feature befindet sich aktuell im Rollout und wird schrittweise für alle Tenants verfügbar. Verfügbarkeit über das Intune Admin Center → Tenant administration → Multi Admin Approval prüfen.
Einrichtung Schritt für Schritt
1. Voraussetzungen
- Intune-Lizenz: Mindestens Intune Plan 1 (in Microsoft 365 E3/E5 enthalten)
- Rolle: Intune Administrator oder Privileged Role Administrator
- Mindestens 2 Administratoren im Tenant (sonst macht das keinen Sinn)
2. Richtlinie aktivieren
- Intune Admin Center öffnen: https://intune.microsoft.com
- Navigieren zu Tenant administration → Multi Admin Approval
- Auf Create policy klicken
- Aktion auswählen: Device retirement und/oder Device deletion
- Approver definieren: Mindestens einen zusätzlichen Administrator als Genehmiger festlegen
- Benachrichtigung konfigurieren: E-Mail-Benachrichtigung bei neuer Anforderung aktivieren
- Richtlinie speichern und aktivieren
3. Alternativ über Graph API
Für automatisierte Setups lässt sich die Richtlinie auch per Microsoft Graph konfigurieren:
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"
$params = @{
"@odata.type" = "#microsoft.graph.multiAdminApprovalPolicy"
displayName = "Device Deletion Requires Approval"
description = "Geraeteloeschung und Retirement erfordern Multi-Admin-Freigabe"
enabled = $true
operations = @(
@{
operationType = "delete"
workloadType = "device"
},
@{
operationType = "retire"
workloadType = "device"
}
)
}
Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/beta/deviceManagement/multiAdminApprovalPolicies" `
-Body ($params | ConvertTo-Json -Depth 5)Wichtig: Die Graph API-Endpunkte für Multi Admin Approval befinden sich ggf. noch im Beta-Stadium. Produktivsetzen mit Vorsicht.
Ablauf in der Praxis
Sobald die Richtlinie aktiv ist, ändert sich der Workflow:
- Admin A fordert Gerätelöschung an → Status: „Approval Pending“
- Admin B erhält Benachrichtigung → prüft Anforderung
- Admin B genehmigt oder lehnt ab
- Genehmigt: Aktion wird ausgeführt
- Abgelehnt: Anforderung wird verworfen
- Audit-Log dokumentiert alles
Was Admin A sieht:
- Im Intune Admin Center: Gerät → Retire/Delete klicken
- Statt sofortiger Ausführung: Status „Approval Pending“
- Keine Möglichkeit, die eigene Anforderung selbst zu genehmigen
Was Admin B (Genehmiger) sieht:
- E-Mail-Benachrichtigung: „Approval required for device action“
- Im Admin Center: Multi Admin Approval → Pending requests
- Detailansicht mit Geräteinformationen und Begründung
- Approve oder Reject klicken
Best Practices
| Empfehlung | Warum? |
| Mindestens 3 Approver konfigurieren | Wenn einer krank/im Urlaub ist, blockiert der Prozess nicht |
| Separate Rollen für Anforderer und Genehmiger | Vier-Augen-Prinzip erzwingen |
| Benachrichtigungen aktivieren | Anfragen nicht im Posteingang verwaisten lassen |
| Begründungspflicht einführen | Warum wird das Gerät gelöscht? Dokumentation für Audit |
| Audit-Logs regelmäßig prüfen | Transparenz über genehmigte und abgelehnte Anfragen |
| Test-Tenant nutzen | Neue Richtlinie erst testen, dann produktiv setzen |
Was passiert bei Ablehnung?
Wird eine Anforderung abgelehnt:
- Das Gerät bleibt unverändert in Intune
- Admin A erhält eine Benachrichtigung über die Ablehnung
- Die Aktion wird ins Audit-Log geschrieben
- Admin A kann eine neue Anforderung stellen (ggf. mit besserer Begründung)
Fazit
Multi Admin Approval ist ein einfaches, aber wirkungsvolles Feature, um kritische Geräteaktionen abzusichern. In Umgebungen mit mehreren Administratoren sollte es Standard sein — nicht zuletzt, um den Nachweis zu haben, dass Gerätelöschungen kontrolliert und nachvollziehbar ablaufen.
Empfehlung: Aktivieren, Approver definieren, Benachrichtigungen einschalten. Fertig. Der Mehraufwand pro Löschung ist minimal, der Schutz maximal.
Academy
Weiterlernen in der Kaffeeundcode Academy
Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.
Diskussion starten
Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.