Praxis-Guide: RDP-Zugriff auf Windows-Geräten dynamisch per Entra ID und Intune steuern

In vielen Unternehmen ist der Remote Desktop Protocol (RDP) Zugriff historisch bedingt entweder komplett deaktiviert oder über veraltete Gruppenrichtlinien (GPOs) viel zu weiträumig geöffnet. In einer modernen Arbeitswelt mit Microsoft Entra ID (ehemals Azure AD) und Intune-verwalteten Endgeräten stellt ein unkontrollierter RDP-Zugang ein massives Sicherheitsrisiko dar. Wenn jeder Benutzer theoretisch eine RDP-Sitzung aufbauen kann, haben Angreifer bei kompromittierten Zugangsdaten leichtes Spiel für Lateral Movement im Netzwerk.

Dieser Leitfaden zeigt, wie du das Problem löst, indem du RDP nicht nur sicher aktivierst, sondern den Zugriff hochdynamisch und granulär steuerst. Das Ziel: RDP wird automatisch auf relevanten Geräten aktiviert, aber nur explizit autorisierte IT-Administratoren erhalten die Berechtigung, sich via RDP anzumelden. Neue Geräte werden durch dynamische Gruppen automatisch erfasst, ohne dass ein Admin manuell eingreifen muss.

Voraussetzungen

Bevor wir mit der Konfiguration starten, müssen folgende Rahmenbedingungen in deinem Microsoft 365 Tenant erfüllt sein:

• Lizenzen: Microsoft Intune Plan 1 und Microsoft Entra ID P1 (zwingend erforderlich für dynamische Geräte- und Benutzergruppen).
• Berechtigungen: Global Administrator oder Intune Administrator.
• Geräte-Status: Die Windows 10/11 Endgeräte müssen Entra ID joined oder Hybrid Entra ID joined sein.
• Netzwerk: Für externe RDP-Verbindungen (ohne VPN) empfehlen wir dringend Azure Virtual Desktop oder Windows 365. Dieser Guide behandelt den Zugriff im internen Netz oder via VPN (Port 3389).
• Vorhandene Testgruppen: Es sollte mindestens ein Testgerät zur Verfügung stehen.

Konzept und Architektur

Unsere Strategie basiert auf drei wesentlichen Säulen:

1. Dynamische Gerätegruppen in Entra ID: Wir nutzen eine Abfrage, um bestimmte Geräte (z. B. anhand von Namenskonventionen oder Geräte-Kategorien) automatisch in eine RDP-Zielgruppe aufzunehmen.
2. Aktivierung per Settings Catalog: Über ein Intune-Konfigurationsprofil aktivieren wir den Remote Desktop Dienst und erzwingen Network Level Authentication (NLA).
3. Endpoint Security Account Protection: Wir manipulieren die lokale Gruppe der „Remotedesktopbenutzer“ auf dem Windows-Gerät. Dort entfernen wir alle Standard-Einträge und fügen ausschließlich eine dynamische oder statische Entra ID Gruppe der IT-Admins hinzu.

Dieser modulare Ansatz garantiert, dass ein Endanwender niemals aus Versehen RDP-Rechte auf seinem Arbeitsgerät erhält, selbst wenn der Dienst technisch läuft.

---

Schritt-für-Schritt-Anleitung

Schritt 1: Dynamische Geräte- und Benutzergruppen erstellen

Zuerst benötigen wir die Zielgruppen in Entra ID. Wir trennen sauber zwischen Geräten (die die RDP-Policy erhalten) und Benutzern (die die Erlaubnis erhalten).

1. Navigiere zum Microsoft Entra Admin Center.
2. Gehe zu Identity > Groups > All groups und klicke auf New group.
3. Erstelle die Gerätegruppe:
   • Group type: Security
   • Group name: GRP-DEV-Windows-RDP-Enabled
   • Membership type: Dynamic Device
4. Klicke auf Add dynamic query und definiere die Regel, um z. B. alle Windows-Geräte im Unternehmen zu erfassen.
   • Syntax-Beispiel: (device.deviceOSType -eq "Windows") and (device.managementType -eq "MDM")
5. Speichere die Gruppe.
6. Erstelle analog eine Benutzergruppe namens GRP-USR-IT-Admins-RDP (entweder statisch Assigned oder ebenfalls dynamisch anhand der Job-Titel/Abteilung) und füge die entsprechenden IT-Mitarbeiter hinzu.
   • Wichtig: Notiere dir die Object-ID dieser IT-Admin-Benutzergruppe, wir benötigen sie in Schritt 3.

Bildquelle:Microsoft Learn

Schritt 2: RDP-Dienst via Intune Settings Catalog aktivieren

Nun müssen wir sicherstellen, dass RDP auf den Zielgeräten technisch aktiv ist.

1. Öffne das Microsoft Intune Admin Center.
2. Navigiere zu Devices > Configuration profiles > Create profile.
3. Wähle als Plattform Windows 10 and later und als Profiltyp Settings catalog.
4. Benenne das Profil: WIN-CFG-RDP-Enable-System.
5. Klicke auf Add settings und suche nach Terminal Services.
6. Wähle die Kategorie Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Connections und setze den Haken bei Allow users to connect remotely by using Remote Desktop Services.
7. Schließe den Settings Picker und stelle den Schalter im Profil auf Enabled.
8. Weise das Profil im Tab Assignments der in Schritt 1 erstellten Gerätegruppe GRP-DEV-Windows-RDP-Enabled zu.

Bildquelle:Microsoft Learn

Schritt 3: Zugriff granulär auf die IT-Abteilung beschränken

Dies ist der wichtigste Sicherheitsaspekt. Wir steuern, wer sich verbinden darf.

1. Gehe im Intune Admin Center zu Endpoint security > Account protection.
2. Klicke auf Create Policy, wähle Plattform Windows 10 and later und das Profil Local user group membership.
3. Name: WIN-SEC-RDP-ITAdmins-Only.
4. Unter Configuration settings klickst du auf Add.
5. Wähle im Dropdown für Local group den Wert Remote Desktop Users.
6. Setze die Group and user action auf Add (Replace). Achtung: Dies überschreibt bestehende RDP-Berechtigungen und sorgt für einen sauberen, definierten Zustand (Zero Trust).
7. Wähle als User selection type Users/Groups und suche nach der Entra ID Gruppe GRP-USR-IT-Admins-RDP aus Schritt 1. Füge sie hinzu.
8. Weise das Profil im Tab Assignments ebenfalls der Gerätegruppe GRP-DEV-Windows-RDP-Enabled zu.

Bildquelle:Microsoft Learn

---

Best-Practice Konfiguration & Empfehlungen

Um das RDP-Setup nicht nur funktional, sondern hochsicher zu gestalten, empfehlen wir diese zusätzlichen Settings im Intune Settings Catalog:

Richtlinie (Settings Catalog / Endpoint Security)	Empfohlener Wert	Begründung
Require user authentication for remote connections by using Network Level Authentication	Enabled	Verhindert Verbindungsversuche ohne vorherige Authentifizierung, schützt effektiv vor RDP-Schwachstellen wie BlueKeep.
Set time limit for active but idle Remote Desktop Services sessions	Enabled (z. B. 15 Minuten)	Verhindert, dass Admins Sitzungen im Hintergrund offen lassen und Sperrbildschirme umgangen werden.
Windows Defender Firewall Rules	Port 3389 auf bestimmte IP-Ranges limitieren	RDP sollte niemals für das gesamte Subnetz offen sein. Beschränke den Port in Intune Firewall-Policies auf die IP-Range des IT-Management-VLANs.

In Google Sheets exportieren

---

Empfohlene Rollout-Strategie

Verteile tiefgreifende System-Settings und Account-Protection-Regeln niemals sofort im gesamten Unternehmen (Big Bang). Ein Fehler bei „Add (Replace)“ in lokalen Gruppen kann dazu führen, dass wichtige Dienste oder lokale Admins ausgesperrt werden.

1. Ring 0 (Test): Zuweisung an eine statische Test-Gruppe (GRP-DEV-Ring0-Test). Prüfe hier, ob RDP läuft und sich ein Standard-Benutzer nicht mehr per RDP anmelden kann.
2. Ring 1 (IT-Abteilung): Erweitere die Abfrage der dynamischen Gerätegruppe so, dass alle Geräte der IT-Abteilung erfasst werden. Sammle Feedback.
3. Ring 2 (Produktion): Schalte die dynamische Regelung (wie in Schritt 1 beschrieben) für alle Windows-Geräte scharf.

Best Practice: Trennung Test / Produktion. Nutze für die Konfigurationsprofile Scope Tags, um zu verhindern, dass Helpdesk-Mitarbeiter versehentlich die RDP-Richtlinie für die Produktion ändern.

---

Überprüfung und Troubleshooting

Wie prüfe ich das Setup?

• Intune Portal: Überprüfe in den „Device status“ Reports der Profile WIN-CFG-RDP-Enable-System und WIN-SEC-RDP-ITAdmins-Only, ob der Status „Succeeded“ anzeigt.
• Lokales Gerät: Öffne auf einem Zielgerät die Computerverwaltung (compmgmt.msc). Navigiere zu Lokale Benutzer und Gruppen > Gruppen > Remotedesktopbenutzer. Hier sollte nun ein Eintrag in Form einer SID (Security Identifier) stehen, der zur Entra ID IT-Gruppe gehört.

Typische Fehler in der Praxis

1. „Zugriff verweigert“ trotz Mitgliedschaft in der IT-Gruppe: Oft greift die lokale Windows Firewall. Stelle sicher, dass du ein Firewall-Profil in Intune konfiguriert hast, das eingehende Verbindungen auf TCP/UDP 3389 zulässt.
2. RDP-Sitzung baut sich auf, bricht dann ab: Dies passiert oft, wenn NLA (Network Level Authentication) erzwungen wird, der zugreifende Rechner aber den DNS-Namen oder die Kerberos/Entra-Token des Zielgeräts im internen Netzwerk nicht sauber auflösen kann. Nutze mstsc.exe und prüfe, ob die Anmeldung im Format AzureAD\Benutzername@domain.com erfolgt.
3. Endlos-Loop „Pending“ in Intune: Manchmal bleiben Account Protection Policies hängen. Ein Neustart des Service „Microsoft Intune Management Extension“ oder ein manueller Sync über die Einstellungen (Konten > Auf Arbeits- oder Schulkonto zugreifen > Info > Synchronisieren) löst das Problem meist schnell.

---

Fazit

Durch die Kombination von dynamischen Entra ID Gruppen, dem Intune Settings Catalog und der „Account Protection“ für lokale Gruppen erreichst du ein Enterprise-Ready RDP-Management. Neue Geräte erhalten automatisch das richtige RDP-Setup, ohne dass ein Administrator händisch eingreifen muss. Gleichzeitig ist sichergestellt, dass ausschließlich deine designierten IT-Profis Remote-Zugriff haben. Das minimiert die Angriffsfläche drastisch und stellt sicher, dass das Unternehmen auch bei Audits glänzt, da das Prinzip der geringsten Rechte (Least Privilege) strikt angewendet wird.