Brauchen alle Mitarbeiter MFA?

Ja, mindestens für privilegierte Konten. MFA lässt sich elegant einrichten, sodass es im Alltag kaum auffällt — z.B. per Microsoft Authenticator mit Push oder Windows Hello mit Gesichtserkennung.

Wie sicher sind private Handys mit Firmen-Mail?

Mit App-Schutzrichtlinien (MAM) bleiben Firmendaten in Outlook, Teams und Word geschützt — ohne dass das ganze Gerät verwaltet wird. Private Fotos und Apps bleiben unangetastet.

Welche Lizenzen brauche ich für Conditional Access?

Mindestens Microsoft 365 Business Premium oder Entra ID P1. Für Privileged Identity Management und risiko-basiertes CA wäre Entra ID P2 nötig — kann oft punktuell für Admin-Konten lizenziert werden.

Identity & Device Management

Wer darf was — und mit welchem Gerät? So bekommst du es endlich in den Griff.

Stell dir vor: Ein Mitarbeiter verliert sein iPhone in der U-Bahn. Du wischst die Firmendaten remote vom Gerät. Eine Praktikantin will von ihrem privaten Laptop auf SharePoint zugreifen — sie kann es, aber nur unter Bedingungen, die du vorher festgelegt hast. Ein neuer Mitarbeiter packt am ersten Tag seinen Laptop aus, gibt einmal seine Mail-Adresse ein, und alles ist da: Apps, Drucker, WLAN, Firmendaten.

Das ist Microsoft Entra ID + Intune. Die Cloud-Identität deines Unternehmens und die zentrale Geräteverwaltung — die zwei Bausteine, die dafür sorgen, dass du Sicherheit und Komfort nicht gegeneinander abwägen musst. Ich richte das für dich so ein, dass es niemanden im Team nervt — aber alles abdeckt, was du brauchst.

Erstgespräch buchen Anwendungsfälle ansehen

🔑

Entra ID — die Identität

Das Gehirn deiner Cloud — wer ist wer, wer darf was, mit welcher Stärke der Anmeldung?

Single-Sign-On für 1.000+ Cloud-Apps
Multi-Faktor-Authentifizierung (MFA)
Conditional Access & PIM
SCIM-Provisionierung aus HR-System

📱

Intune — die Geräte

Die Hände deiner IT — Geräte einrichten, sichern, updaten, im Notfall löschen.

Windows, Mac, iOS, Android
Autopilot für neue Geräte
Compliance-Richtlinien
App-Schutz für BYOD

Konkrete Beispiele

Was sich für dich konkret ändert

Theorie ist langweilig. Hier sind sechs Situationen aus dem Alltag, in denen Entra + Intune wirklich einen Unterschied machen — sortiert nach Häufigkeit, mit der ich diese Themen bei Kunden in München treffe.

📦

Neuer Mitarbeiter, erster Tag

Laptop aus der Box, einmal Mail eingeben, fertig. Alle Apps installiert, Drucker konfiguriert, WLAN aktiv. Statt 4 Stunden manuell nur 20 Minuten Wartezeit — und das ohne dass jemand vor Ort sein muss. Stichwort: Windows Autopilot.

🚇

Handy verloren in der U-Bahn

Du ploppst in dein Intune-Portal, klickst auf „Wipe" — die Firmen-Mails und SharePoint-Daten sind in 30 Sekunden vom Gerät weg. Private Fotos bleiben erhalten, falls es sich um ein BYOD-Gerät handelt.

🏖️

Mitarbeiter im Urlaub auf Bali

Ungewöhnliche Login-Region? Conditional Access verlangt eine zusätzliche MFA-Bestätigung — der echte Mitarbeiter bestätigt schnell, ein Angreifer scheitert. Sicherheit, ohne dass es nervt.

💼

Externer auf SharePoint

Eine Steuerberaterin braucht kurzzeitig Zugriff auf einen Teams-Kanal. Mit External ID läuft das sauber: zeitlich begrenzt, dokumentiert, kein eigener Mailbox-Aufwand, nach Ablauf automatisch entfernt.

🏢

BYOD im Büro

Mitarbeiter wollen ihr eigenes iPhone für Mails nutzen. Mit App-Schutzrichtlinien (MAM) bleiben Firmendaten in der Outlook-App geschützt, ohne dass du das ganze Gerät verwaltest. Privates bleibt privat.

🔐

Admin-Konto für 2 Stunden

Mit Privileged Identity Management (PIM) bekommt dein Admin nur dann erhöhte Rechte, wenn er sie wirklich braucht — mit Begründung und Zeitlimit. Standardmäßig läuft alles mit normalen Rechten. Hacker, die ein Konto übernehmen, finden nichts Brauchbares.

Conditional Access

Die Regeln, die im Hintergrund deine IT bewachen

Conditional Access ist der „Bouncer" deines Unternehmens. Vor jedem Login prüft er: Wer? Von wo? Mit welchem Gerät? Wie hoch ist das Risiko? Und entscheidet auf Basis deiner Regeln. Hier sind die Standard-Policies, die ich bei jedem Kunden einrichte:

MFA für alle

Multi-Faktor-Authentifizierung für jeden Login — außer aus dem Firmennetz mit gemanagtem Gerät.

Admins immer mit MFA

Admin-Konten bekommen MFA ohne Ausnahme. Bei Bedarf zusätzlich PIM-Genehmigung.

Nur compliant Devices

Zugriff auf SharePoint und Mail nur von Geräten, die Intune als „regelkonform" eingestuft hat.

Risiko-basiertes MFA

Erhöhtes Login-Risiko (neue Region, Tor, ungewöhnlicher Login)? Zusätzliche MFA-Anforderung.

Legacy-Auth blockieren

Alte Authentifizierungsmethoden (POP, IMAP, SMTP-Auth) werden gesperrt — Hauptangriffsvektor.

Break-Glass-Konten

Zwei Notfall-Konten ohne MFA, die nur im Ernstfall benutzt werden — überwacht und gemeldet.

Plattformen

Funktioniert mit allem, was dein Team nutzt

Intune ist nicht nur für Windows. Egal ob dein Team mit Macbook, iPhone oder Android-Tablet arbeitet — alles kommt in eine zentrale Verwaltung.

🪟 Windows 10/11

Autopilot, BitLocker, LAPS, Update-Ringe, Compliance

🍎 macOS

ABM-Enrollment, Gatekeeper, FileVault, Compliance

📱 iOS / iPadOS

ADE-Enrollment, App-Schutz, per-App-VPN, Mail-Profile

🤖 Android

Work Profile (BYOD) oder Fully Managed (Firmengerät)

So gehen wir vor

In drei Phasen zur fertigen Lösung

1

Analyse & Konzept

Was hast du heute? Was brauchst du? Wie sehen die Risiken aus?

Bestand AD / Entra / Intune
Risiko- & Compliance-Anforderungen
Backup- & Recovery-Plan
Break-Glass-Konzept

2

Umsetzung

Schrittweiser Aufbau mit Pilot vor Rollout — keine Big-Bang-Migration.

Conditional Access Policies
Autopilot & App-Pakete
SCIM-Provisionierung
PIM für Admin-Rollen
Pilot mit 5–10 Usern

3

Betrieb & Übergabe

Klare Doku, Schulung deines IT-Teams oder optional Managed Service.

Monitoring (Defender/Intune)
Reports & Runbooks
Schulung für IT-Verantwortliche
Optional: laufende Betreuung

Ali Sasanipour, IT-Berater aus München

Identity & Device Management ist mein Hauptarbeitsgebiet seit Jahren. Ich habe Entra ID, Intune und Conditional Access für Kunden vom 5-Personen-Büro bis zum 80-Personen-Mittelständler eingerichtet — und genau gelernt, wo die Stolpersteine liegen, die in keiner Microsoft-Doku stehen. Sprich mich gerne an, wenn du unsicher bist, wo bei dir die Lücken sind.

Was gut dazu passt

Identity & Device-Management ist die Basis für viele weitere Sicherheitsbausteine. Diese Themen kombiniere ich am häufigsten mit Entra + Intune:

🔐

E-Mail-Sicherheit

Conditional Access schützt den Login. SPF/DKIM/DMARC schützen den Inhalt deiner E-Mails. Beides gehört zusammen.

🔑

Active Directory & PKI

Wenn Geräte über Zertifikate authentifizieren sollen (z.B. fürs WLAN), brauchst du eine eigene PKI. Die liefere ich dazu.

📦

Microsoft 365 Migration

Du bist noch nicht in der Microsoft-Cloud? Erst kommt die Migration, dann der Identity-/Device-Aufbau. Gerne aus einer Hand.

Häufige Fragen

Was Kunden mich oft fragen

Was ist der Unterschied zwischen Entra ID und lokalem Active Directory?

Entra ID (früher „Azure AD") ist Microsofts Cloud-Identität — gemacht für Cloud-Apps wie Microsoft 365, Salesforce, Zoom. Das lokale Active Directory ist das klassische Verzeichnis im Firmennetz, das Geräte und Logins on-premises steuert. In Hybrid-Szenarien (also wenn beides existiert) werden Identitäten zwischen AD und Entra synchronisiert. Ich helfe gerne, herauszufinden, was bei dir Sinn ergibt.

Brauchen wirklich alle Mitarbeiter MFA?

Ja, mindestens für privilegierte Konten. Microsoft macht MFA auch für Standard-User ohnehin Schritt für Schritt zur Pflicht. Es gibt elegante Wege, MFA so einzurichten, dass es im Alltag kaum auffällt — z.B. per Microsoft Authenticator-App mit Push-Benachrichtigung oder per Windows Hello mit Gesichtserkennung. Niemand muss mehr 6-stellige Codes abtippen.

Wie sieht es mit privaten Handys aus, die fürs Büro genutzt werden?

Mit App-Schutzrichtlinien (MAM) bleiben Firmendaten in der Outlook-, Teams-, Word-App geschützt, ohne dass du das ganze Gerät verwaltest. Der Mitarbeiter installiert Outlook, gibt seine Firmen-Mail ein, und Intune sorgt im Hintergrund dafür, dass Firmendaten nicht in private Apps wandern. Private Fotos und WhatsApp bleiben unangetastet.

Funktioniert Autopilot auch ohne Internet?

Beim Erstaufsetzen braucht Autopilot zwingend Internet, weil das Gerät die Konfiguration aus der Cloud lädt. Wir planen für solche Fälle Fallback-Mechanismen: z.B. ein vorkonfiguriertes Image für den absoluten Notfall, lokale Admin-Zugänge mit dokumentierten Passwörtern (LAPS), und Provisioning-Pakete für USB-Sticks bei Außendienst-Szenarien.

Wie aufwändig ist der Aufbau für 20 Mitarbeitende?

Für ein typisches KMU mit 20 Mitarbeitenden, einem M365 Business Premium Tenant und überschaubaren Compliance-Anforderungen rechne einen Zeitraum von 4–6 Wochen inklusive Pilotphase. Die Umsetzung selbst sind etwa 5–8 Beratertage. Ich liefere gerne ein konkretes Angebot nach dem Erstgespräch — du erfährst vorher, was es kostet.

Welche Microsoft-Lizenzen brauche ich?

Für volle Conditional Access-Funktionalität brauchst du mindestens Microsoft 365 Business Premium oder einzeln „Entra ID P1". Für Privileged Identity Management und risiko-basiertes Conditional Access wäre Entra ID P2 nötig — das ist aber meist nur für Admin-Konten sinnvoll und kann punktuell lizenziert werden. Im Erstgespräch klären wir, welche Lizenzen du wirklich brauchst — oft weniger als gedacht.

Dein nächster Schritt

Schauen wir uns deine IT-Sicherheit gemeinsam an

15–30 Minuten Erstgespräch, kostenlos. Wir sprechen über deinen aktuellen Stand und ich sage dir ehrlich, wo die größten Lücken sind und welche Bausteine bei dir wirklich Priorität haben.

Termin buchen Lieber schreiben