Zum Inhalt springen
Schmittel IT
Modern Workplace

Intune Rollout: Vom ersten Gerät zum vollständig verwalteten Arbeitsplatz

Schluss mit manuellen Setups und USB-Sticks. Wie Sie mit Microsoft Intune und Autopilot jeden Laptop in 30 Minuten einsatzbereit machen – ohne dass die IT ihn anfassen muss.

25. February 2026 · Aktualisiert 01. June 2026

Wie sieht IT-Alltag ohne Intune aus?

Ein neuer Mitarbeiter fängt an. Der Admin holt einen Laptop aus dem Lager, setzt sich hin und beginnt das Ritual: Windows installieren, Treiber suchen, Office installieren, Outlook einrichten, VPN konfigurieren, Drucker verbinden, Firmenlogo als Hintergrund, Bitlocker aktivieren – hoffentlich.

Das dauert 2–3 Stunden. Pro Gerät. Von Hand.

Dann die Übergabe: „Hier, dein Passwort ist auf dem Post-it. Ändere es bitte."

Beim nächsten Mitarbeiter dasselbe Spiel. Und beim übernächsten. Und wenn nach 6 Monaten ein Windows-Update die Outlook-Konfiguration zerschießt, sitzt der Admin wieder am Gerät.

Das ist kein IT-Management. Das ist Handwerk. Und es skaliert nicht.

Was ist Intune?

Microsoft Intune (offiziell: Microsoft Intune, früher: Endpoint Manager) ist die Cloud-basierte Geräteverwaltung von Microsoft. Damit verwalten Sie alle Geräte in Ihrem Unternehmen – Laptops, Desktops, Smartphones, Tablets – von einer zentralen Stelle aus.

Was Intune kann:

  • Automatisches Deployment: Ein neuer Laptop wird eingeschaltet, verbindet sich mit dem Internet, und richtet sich komplett selbst ein. Apps, Konfiguration, Security – alles automatisch. Das ist Autopilot.
  • Compliance Policies: Definieren Sie Regeln: Gerät muss verschlüsselt sein, aktuelles Windows, Defender aktiv, kein Jailbreak. Geräte die nicht compliant sind, bekommen keinen Zugriff auf Firmendaten.
  • App Management: Office, Teams, Browser, VPN-Client, Branchenanwendungen – alles zentral installieren, aktualisieren und entfernen. Ohne das Gerät anfassen zu müssen.
  • Configuration Profiles: WLAN-Profile, VPN-Einstellungen, Bitlocker-Verschlüsselung, Windows Hello for Business, Firewall-Regeln – zentral definiert, automatisch angewendet.
  • Remote Actions: Gerät verloren? Remote Wipe. Mitarbeiter verlässt das Unternehmen? Selective Wipe – nur Firmendaten entfernen, private Daten bleiben.

Autopilot: Der Gamechanger

Windows Autopilot ist die Funktion, die den größten Unterschied macht. So funktioniert es:

  1. Gerät bestellen: Sie bestellen einen Laptop beim Händler. Der Händler registriert die Hardware-ID direkt bei Microsoft (oder Sie machen es selbst).
  2. Gerät versenden: Der Laptop geht direkt zum Mitarbeiter. Ungeöffnet. Die IT fasst ihn nicht an.
  3. Mitarbeiter schaltet ein: Der Mitarbeiter öffnet den Karton, schaltet den Laptop ein, verbindet sich mit dem WLAN und meldet sich mit seiner Firmen-E-Mail an.
  4. Autopilot übernimmt: Windows wird automatisch konfiguriert. Firmenprofil wird angewendet. Office, Teams, VPN und alle nötigen Apps werden installiert. Compliance Policies greifen. Bitlocker wird aktiviert. In 30-45 Minuten ist das Gerät einsatzbereit.

Der Mitarbeiter kann sofort arbeiten. Die IT hat nichts getan.

Das ist kein Zukunftsszenario. Das ist Standard bei jedem Unternehmen, das Intune richtig eingerichtet hat.

Schritt-für-Schritt: Intune Rollout-Plan

Phase 1: Foundation (Woche 1–2)

  • Entra ID Connect konfigurieren (Hybrid) oder Cloud-Only Identitäten einrichten
  • Intune Tenant konfigurieren: Enrollment Restrictions, Company Branding
  • Autopilot Deployment Profile erstellen: User-driven, Self-deploying oder Pre-provisioned
  • Erste Compliance Policy: Windows verschlüsselt, Defender aktiv, OS aktuell

Phase 2: Apps & Configuration (Woche 2–3)

  • Microsoft 365 Apps for Enterprise (Office) als Intune App deployen
  • Weitere Standard-Apps: Teams, Edge, Adobe Reader, VPN-Client
  • WLAN-Profile für Firmen-WLAN
  • Windows Hello for Business aktivieren (passwortlose Anmeldung)
  • Bitlocker Configuration Profile

Phase 3: Pilot (Woche 3–4)

  • 5–10 Pilotgeräte über Autopilot enrollen
  • Testen: Alle Apps da? Drucker verbunden? VPN funktioniert? Compliance erfüllt?
  • Feedback der Pilotbenutzer einarbeiten
  • Probleme beheben (es gibt immer welche – besser jetzt als bei 50 Geräten)

Phase 4: Rollout (Woche 4–6)

  • Bestandsgeräte schrittweise in Intune enrollen (Autopilot for existing devices ODER manuelle Enrollment)
  • Neue Geräte nur noch über Autopilot
  • Alte GPOs parallel reduzieren (nicht abrupt abschalten!)
  • SCCM-Workloads nach Intune verschieben (falls vorhanden)

Phase 5: Optimierung (ab Woche 6)

  • Conditional Access mit Geräte-Compliance verknüpfen
  • App Protection Policies für Mobile (BYOD)
  • Windows Autopatch aktivieren (automatische Windows Updates)
  • Monitoring und Reporting einrichten

Warum scheitern die meisten Intune-Projekte?

Intune einrichten ist nicht schwer. Intune richtig einrichten ist eine Kunst.

Die häufigsten Gründe warum Intune-Projekte scheitern oder halbfertig liegen bleiben:

  1. Alte GPOs 1:1 in Intune nachbauen wollen. Intune ist nicht SCCM in der Cloud. Es funktioniert anders. Wer versucht, 200 Gruppenrichtlinien in Configuration Profiles umzuwandeln, wird scheitern. Stattdessen: Von Null denken. Was braucht der Arbeitsplatz wirklich?
  2. Zu viele Compliance Policies auf einmal. Am ersten Tag verlangen, dass alle Geräte verschlüsselt, aktuell, Defender-geschützt UND MDM-enrolled sein müssen = 80% der Geräte nicht compliant = 80% der Mitarbeiter ausgesperrt. Schrittweise einführen.
  3. Kein Testing. Eine falsche Configuration Profile Einstellung und 200 Laptops haben kein WLAN mehr. Immer erst an einer kleinen Gruppe testen.
  4. Admin kennt sich nicht aus. Intune hat eine steile Lernkurve. Die Microsoft-Dokumentation ist umfangreich aber komplex. Ohne Erfahrung verbringt man Wochen mit Trial and Error.
  5. Hybride Identitäten nicht sauber. Intune braucht saubere Entra ID Identitäten. Wenn das Active Directory ein Chaos ist (siehe unser Artikel über IT-Kosten pro Arbeitsplatz), funktioniert Intune nicht zuverlässig.

Intune selbst machen oder machen lassen?

Ehrliche Einschätzung:

Selbst machen wenn: Sie einen dedizierten IT-Admin haben, der 2–4 Wochen Vollzeit in das Thema investieren kann, bereits Erfahrung mit Entra ID hat und bereit ist, die Microsoft Learn Paths durchzuarbeiten.

Machen lassen wenn: Sie schnell Ergebnisse brauchen, Ihr Admin bereits mit dem Tagesgeschäft ausgelastet ist, oder Sie von SCCM migrieren (das ist komplex).

Wir rollen Intune regelmäßig aus. Von 10 bis 500 Geräte. Die Foundation steht in einer Woche, der Pilot in der zweiten, der Rollout in Woche 3 bis 4. Danach übergeben wir an Ihr Team oder betreuen die Umgebung als Managed Service weiter.

Intune Rollout anfragen →

FAQ

Häufige Fragen

Ja. Mit App Protection Policies können Sie Firmendaten auf privaten Geräten schützen, ohne das gesamte Gerät zu verwalten. Die Firmen-Apps (Outlook, Teams, OneDrive) werden in einem geschützten Container betrieben. Private Apps und Daten werden nicht angetastet.
Ja, das nennt sich Co-Management. SCCM und Intune teilen sich die Verwaltung. Sie verschieben Workloads schrittweise – zum Beispiel zuerst Compliance Policies, dann Software Updates, dann App Deployment. So gibt es keinen harten Umstieg.
Die Intune-Lizenz ist in Microsoft 365 Business Premium enthalten (kein Aufpreis). Der Rollout als Projekt kostet je nach Größe zwischen 3.000€ (10-20 Geräte) und 15.000€ (100+ Geräte). Inklusive Planung, Konfiguration, Pilot und Rollout.