Microsoft 365 · Microsoft Intune

Microsoft Intune — Mobile Device und App Management im Mittelstand.

Cloud-basiertes Endpoint-Management für Windows, macOS, iOS und Android — mit Geräte-Enrollment, App-Schutz, Conditional Access und automatisiertem Onboarding via Autopilot. Wir lizenzieren passend (Plan 1, Plan 2, Intune Suite), bauen das Konzept und führen produktiv ein.

Erstgespräch buchen Plan 1 vs. Plan 2 vergleichen

Microsoft Partner Windows Autopilot Zero-Touch-Onboarding Conditional Access + Compliance 20+ Jahre Microsoft-Praxis

Was ist Intune (MDM/MAM)

Cloud-Endpoint-Management — Geräte und Apps zentral steuern.

Microsoft Intune ist die cloud-basierte Endpoint-Management-Plattform aus Microsoft 365 / Entra-Stack. Sie kombiniert Mobile Device Management (MDM) für ganze Geräte mit Mobile Application Management (MAM) für einzelne Microsoft-Apps — die Wahl hängt von Eigentum (Firma vs. Mitarbeiter) und Sensibilität der Daten ab.

MDM vs. MAM in einem Satz

MDM (Mobile Device Management): Das gesamte Gerät wird in Intune enrollt. IT verwaltet Konfiguration, Apps, Sicherheits-Profile, Wipe-Optionen. Klassisch für Firmen-eigene Geräte.
MAM (Mobile Application Management): Nur die Microsoft-Apps (Outlook, Teams, OneDrive, Office) werden auf einem Gerät verwaltet. IT setzt App-Protection-Policies, ohne das Gerät selbst zu enrollen — sinnvoll für BYOD, Auftragnehmer, gemischte Endgeräte.
Cross-Plattform: Windows 10/11, macOS, iOS, iPadOS, Android, Android Enterprise, Linux (Plan-2-erweitert). Spezialgeräte wie Surface Hub, HoloLens und Android-Kioske ebenfalls verwaltbar.
Integration in den Stack: Microsoft Entra ID liefert Identität, Microsoft Defender for Endpoint liefert Risk-Signale, Conditional Access nutzt Compliance-Status aus Intune als Policy-Eingabe.

Lizenz-Stufen

Intune Plan 1 vs. Plan 2 — was Plan 2 wirklich draufpackt.

Plan 1 deckt den Standard-Bedarf der meisten Mittelständler vollständig ab. Plan 2 lohnt sich nur, wenn spezialisierte Geräte, Linux-Management oder Advanced-MAM gefragt sind.

Funktion	Plan 1	Plan 2
Standard-MDM (Windows, macOS, iOS, Android)	enthalten	enthalten
App-Protection-Policies (MAM ohne Enrollment)	enthalten	enthalten
Compliance-Policies, Conditional-Access-Integration	enthalten	enthalten
Windows Autopilot	enthalten	enthalten
Linux-Management (Ubuntu Desktop, RHEL)	—	erweitert
Spezialisierte Geräte (HoloLens, Surface Hub, Apple TV erweitert)	eingeschränkt	erweitert
Advanced MAM (kontextbasierte App-Policies)	—	enthalten

Faustregel: Plan 1 deckt den klassischen Windows-/Mac-/iOS-/Android-Park vollständig ab. Plan 2 als Add-on nur, wenn Linux- oder Specialized-Device-Management ein konkretes Thema ist. Premium-Funktionen wie Remote Help und Endpoint Privilege Management stecken nicht in Plan 2, sondern in der Intune Suite.

Intune in Microsoft-365-Plänen

Wo Intune schon enthalten ist — und wo nicht.

Ob Intune zusätzlich lizenziert werden muss, hängt vom gewählten Microsoft-365-Plan ab. Die folgende Übersicht zeigt es kompakt.

Mit Intune Plan 1 enthalten: Microsoft 365 Business Premium, Microsoft 365 E3, Microsoft 365 E5, Microsoft 365 F3, Enterprise Mobility + Security (EMS) E3 und E5.
Ohne Intune: Microsoft 365 Business Basic, Business Standard, Apps for Business, Office 365 E1, Microsoft 365 F1.
Intune Plan 1 Standalone: rund 7 € pro Nutzer und Monat, falls Sie auf einem Plan ohne Intune sitzen, aber MDM/MAM benötigen.
Intune Plan 2 als Add-on: rund 4 € pro Nutzer und Monat zusätzlich, nur bei tatsächlichem Bedarf.
Intune Suite als Add-on: rund 10 € pro Nutzer und Monat — bündelt Plan 1 plus Premium-Features.

Typische Konstellation: Office-Mitarbeiter auf Business Premium oder E3/E5 (Intune Plan 1 inklusive) plus Produktions-/Frontline-Worker auf F3 (Intune Plan 1 ebenfalls inklusive) — kein separater Intune-Kauf nötig.

Intune Suite

Was die Suite über Plan 1 hinaus liefert.

Die Microsoft Intune Suite bündelt Plan 1 mit fünf Premium-Bausteinen — interessant, wenn Sie heute Fernwartungs-Tools, Privilege-Management oder kontext-basierte App-Policies separat zukaufen.

Remote Help

Microsoft-eigene Fernwartung mit Entra-ID-Authentifizierung und Compliance-Kontext — Helpdesk verbindet sich ohne Drittanbieter-Tool auf das Gerät, Sitzungen werden auditiert. Alternative zu TeamViewer, AnyDesk & Co.

Endpoint Privilege Management

Temporäre Admin-Rechte für definierte Aktionen — User installiert Software unter „Run with elevated access", ohne dauerhaft lokaler Admin zu sein. Senkt Angriffsfläche, ohne den Service-Desk täglich zu beschäftigen.

Microsoft Tunnel for MAM

VPN-Tunnel direkt aus der Microsoft-App heraus — ohne dass das Gerät enrolled sein muss. Damit lassen sich On-Premises-Web-Apps sicher auch auf BYOD-Geräten nutzen.

Advanced Endpoint Analytics

Detaillierte Telemetrie über Boot-Performance, App-Crashes, Geräte-Score-Verteilung — Datengrundlage für Endpoint-Konsolidierung und Lifecycle-Entscheidungen.

Specialized Device Management

Erweiterte Verwaltung von HoloLens, Apple TV, Android-Sondergeräten und Kiosk-Modi — über das hinaus, was Plan 1 standardmäßig bietet.

Suite-Preis und Bezug

Rund 10 € pro Nutzer und Monat als Add-on auf eine bestehende Intune-Lizenz. Häufig wirtschaftlich, sobald Remote Help oder Privilege Management ein konkretes Thema sind.

Intune Add-ons einzeln buchbar

Wer die Suite nicht braucht, kann gezielt einzelne Add-ons dazubuchen.

Microsoft bietet die Premium-Bausteine der Intune Suite auch einzeln an — sinnvoll, wenn Sie nur eine bestimmte Funktion benötigen (zum Beispiel nur Remote Help oder nur Endpoint Privilege Management) und sich der Suite-Preis nicht rechnet. Eine strukturierte Lizenzberatung rechnet beide Varianten gegeneinander.

Add-on	Was es liefert	Listenpreis (indikativ)
Remote Help	Microsoft-eigene Fernwartung mit Entra-ID-Authentifizierung und Compliance-Kontext	ca. 3,50 € / User / Monat
Endpoint Privilege Management (EPM)	Temporäre Admin-Rechte (Just-in-Time) ohne dauerhaftes Local-Admin-Privileg	ca. 3,30 € / User / Monat
Advanced Endpoint Analytics	Telemetrie zu Boot-Performance, App-Crashes, Device-Score-Verteilung für Lifecycle-Entscheidungen	ca. 9,30 € / User / Monat
Microsoft Tunnel for MAM	VPN-Tunnel aus der Microsoft-App heraus, auch für BYOD-Geräte ohne Enrollment	Bestandteil der Suite — einzeln aktuell nicht buchbar
Specialized Device Management	Erweiterte Verwaltung von HoloLens, Apple TV, Android-Sondergeräten, Kiosk-Modi	Bestandteil der Suite
Intune Storage Add-on	Zusätzlicher Cloud-Storage über das Standard-Kontingent hinaus — für App-Pakete und Win32-Deployments	ca. 0,90 € pro 100 GB / Monat

Indikative Listenpreise — gerundet, jährlich abgerechnet. Quelle: microsoft.com/de-de/security/business/microsoft-intune-pricing — Stand Mai 2026.

Einzeln oder Suite — wann was wirtschaftlich ist

Suite lohnt sich, sobald Sie drei oder mehr Add-ons brauchen oder ohnehin Remote Help + EPM einsetzen wollen — bei rund 10 € pro User/Monat Suite-Preis liegt der Break-Even meist bei zwei bis drei Add-ons.
Einzeln günstiger, wenn Sie nur eine spezifische Funktion brauchen (z. B. nur Remote Help für 50 Helpdesk-User), während die restlichen Mitarbeitenden die Plan-1-Basis-Funktionalität nutzen.
Storage Add-on ist immer einzeln zu buchen — Bestandteil keiner Suite. Relevant bei großen App-Repositories (Win32-Deployments > 20 GB).

arades-Implementierung

Intune produktiv einführen — Autopilot, Conditional Access, Compliance.

Eine Intune-Einführung ist mehr als nur Lizenzen kaufen. Wir liefern das Konzept, bauen Profile und Policies, automatisieren das Geräte-Onboarding und sorgen dafür, dass Conditional Access nicht zur Bremse wird.

Vier Bausteine unserer Intune-Implementierung

1 · Windows Autopilot: Geräte-Hash-Import beim Lieferanten, Deployment-Profile für Self-Deploying-, User-Driven- und Pre-Provisioning-Szenarien, Enrollment-Status-Page mit App-Verteilung. Ergebnis: neues Notebook aus dem Karton, eingeschaltet, mit Entra-ID-Konto angemeldet — und in 30 Minuten produktiv.
2 · Konfigurations- und Compliance-Profile: Bitlocker-Verschlüsselung, Windows-Update-Ringe, Edge-Baseline, Office-Konfiguration, Defender-Antivirus-Policies. Compliance-Regeln, die Conditional Access als Signal nutzt — Geräte-Health, OS-Version, Bitlocker-Status, AV-Definitionen.
3 · App-Verteilung und App-Protection: Win32-Apps, Microsoft-Store-Apps, Web-Links, Office-Konfiguration. App-Protection-Policies für Outlook, Teams, OneDrive auf privaten Geräten — Copy/Paste-Restriktionen, PIN-Schutz, Selektives Wipe.
4 · Conditional Access: Eine Default-Policy-Suite, die Sie aus 20+ Jahren Praxis ohne überraschende Lockouts produktiv einführt — MFA für externe Zugriffe, Geräte-Compliance für Cloud-Apps, Block für non-compliant Mobile-Geräte, Risk-basierte Reauth.

Realistischer Rahmen: Für einen Mittelständler mit 50–300 Endgeräten kalkulieren wir 4–10 Wochen für eine saubere Intune-Einführung mit Autopilot-Onboarding und Conditional-Access-Bring-up — abhängig von OS-Mix, Bestandstools (ConfigMgr-Co-Management) und gewünschtem Tiefgang bei Compliance und App-Protection.

Kostenlose Microsoft 365 Test-Begleitung

30 Tage Microsoft 365 testen — mit Begleitung statt allein gelassen.

arades richtet einen Test-Tenant für 3 Benutzer ein, schult die Key-User, begleitet wöchentlich mit einer Sprechstunde — und sagt am Ende ehrlich, ob Microsoft 365 für Sie das richtige ist. Kostenlos.

Test-Tenant mit 3 Benutzer-Mailboxen, Teams, SharePoint-Site, Conditional-Access-Baseline
2-Stunden-Key-User-Schulung
Wöchentliche 30-Min-Sprechstunde mit dem Architekten
Architektur-Empfehlung am Ende — Übernahme oder Abschalten

30 Min Erstgespräch

Intune-Einführung, Re-Bring-up oder Suite-Erweiterung?

Wir klären in 30 Minuten, ob Intune Plan 1 reicht oder die Suite sinnvoll ist, wie der Migrations-Pfad weg von Drittanbieter-MDM aussieht — und wie wir Conditional Access produktiv bringen, ohne Anwender mit Lockouts zu vergraulen.

Erstgespräch buchen License Cost Calculator ↗

Begleitende Dienstleistungen

Was typischerweise mit dieser Engineering-Leistung zusammenläuft.

Engineering-Projekte stehen selten allein — Lizenz-Logik, Architektur-Klärung, Quality-Gates, Wissens-Transfer und Folge-Betrieb laufen meistens parallel. Hier die häufigsten Begleitleistungen, die wir in Discovery-Spike, Sprint-Festpreis oder Application-Care-Verträgen zubuchen.

Vorab · Architektur

Beratung & Architektur

Bevor implementiert wird: Tenant-Struktur, Datenmodell, Sicherheitskonzept, Integration-Mapping. Ergebnis ist ein Architektur-Dokument, mit dem jedes Engineering-Team weiterarbeiten kann — auch ein anderes als wir.

Ansehen →

Vorab · CSP

Lizenzberatung & CSP

Welche Lizenz-Bundles für welche User, welche Add-on-SKUs notwendig sind, wo Sie über- oder unterlizenziert sind. Als Microsoft Lizenzierungspartner bezogen — mit der Option, CSP nur als Kontrolle ohne Margenmaximierung zu nutzen.

Ansehen →

Während · Quality-Gate

Project Assurance

Unabhängige Zweit-Meinung während eines laufenden Implementations-Projekts — egal ob wir es selbst durchführen oder ein anderer Partner. CMMI-basierte Quality-Gates, Risk-Reviews, Festpreis pro Gate.

Während · Adoption

Schulungen & Lernprogramm

Nicht der klassische 2-Tage-Workshop, der nach einer Woche vergessen ist — sondern ein dynamisches Lernprogramm über 4–6 Wochen mit Erstschulung, Anwendungsphasen und Aufbau-Sessions. Schulungs-Matrix für Rollen und Themen.

Ansehen →

Danach · Betrieb

Application Care

Nach Go-Live: planbarer Application-Care-Vertrag mit Monatspauschale, SLA-basiert. Inklusive Releases, Hotfixes, Erweiterungen, Tenant-Hardening — und kontinuierlicher Begleitung statt nur Reaktion auf Ticket.

Ansehen →

Danach · Wissen

Knowledge Recovery

Wenn die ursprünglichen Entwickler weg sind, der Vorgänger-Partner nicht mehr greifbar oder die Dokumentation veraltet — Reverse Engineering der bestehenden Lösung mit dokumentiertem Ergebnis: Code-Map, Datenmodell, Customization-Inventar.

Ansehen →

Häufige Fragen

Microsoft Intune — die wichtigsten Antworten.

Was ist Microsoft Intune (MDM/MAM)?

Microsoft Intune ist die cloud-basierte Endpoint-Management-Plattform für Windows, macOS, iOS, Android und Linux. MDM (Mobile Device Management) verwaltet ganze Geräte — Enrollment, Konfigurations-Profile, Apps, Compliance-Status. MAM (Mobile Application Management) verwaltet nur die Microsoft-Apps auf einem Gerät, ohne das Gerät selbst zu enrollen — sinnvoll für BYOD-Szenarien. Intune integriert sich nahtlos mit Microsoft Entra ID, Microsoft Defender und Conditional Access.

Was ist der Unterschied zwischen Intune Plan 1 und Plan 2?

Intune Plan 1 ist der Standard-MDM/MAM-Funktionsumfang — in allen relevanten Microsoft-365-Plänen (Business Premium, E3, E5, F3) enthalten. Intune Plan 2 ergänzt erweiterte Funktionen wie Remote Help, Mobile Application Management Advanced und die Verwaltung spezialisierter Geräte (Linux, Apple-VPP-erweitert). Plan 2 ist als Add-on lizenziert (rund 4 € pro Nutzer und Monat) oder Bestandteil der Intune Suite.

Was ist die Intune Suite?

Die Microsoft Intune Suite bündelt Intune Plan 1 plus mehrere Premium-Erweiterungen: Remote Help (Microsoft-eigene Fernwartung), Endpoint Privilege Management (kontrollierte temporäre Admin-Rechte), Microsoft Tunnel for MAM (VPN-Tunnel ohne Geräte-Enrollment), Advanced Endpoint Analytics und Specialized Device Management. Preis: rund 10 € pro Nutzer und Monat als Add-on auf bestehende Intune-Lizenzen.

In welchen Microsoft-365-Plänen ist Intune enthalten?

Intune Plan 1 ist enthalten in: Microsoft 365 Business Premium, Microsoft 365 E3, Microsoft 365 E5, Microsoft 365 F3 sowie in Enterprise Mobility + Security (EMS) E3 und E5. Microsoft 365 Business Basic, Business Standard, E1 und F1 enthalten Intune nicht. Wer Intune benötigt, aber auf einem dieser Pläne sitzt, kann Intune Plan 1 als Standalone-Lizenz (rund 7 € pro Nutzer und Monat) ergänzen.

Was ist Windows Autopilot und wie passt es zu Intune?

Windows Autopilot ist der Microsoft-Prozess, mit dem ein neues Windows-Gerät direkt aus dem Karton in den Unternehmens-Tenant eingegliedert wird — ohne dass die IT vorab ein Image aufspielen muss. Der Nutzer schaltet das Gerät an, meldet sich mit Entra-ID-Konto an, und Intune verteilt Konfiguration, Apps und Sicherheits-Profile automatisch. Wir richten Autopilot mit Geräte-Hash-Import, Deployment-Profilen, Enrollment-Status-Page und Win32-App-Verteilung ein.

Was ist Conditional Access und wie spielt es mit Intune zusammen?

Conditional Access ist die Policy-Engine in Microsoft Entra ID. Sie entscheidet bei jedem Anmelde-Versuch nach Signalen (Standort, Geräte-Status, Nutzer-Rolle, App), ob der Zugriff erlaubt wird, MFA erforderlich ist oder blockiert wird. Intune liefert das wichtigste Signal: Geräte-Compliance. Eine typische Policy: „Zugriff auf Microsoft 365 nur von Intune-konformen Geräten" — kombiniert MFA, Geräte-Compliance und App-Schutz.

Wie geht arades GmbH bei einer Intune-Einführung vor?

Wir starten mit einem Audit der bestehenden Endpoint-Landschaft — welche Geräte, welche Betriebssysteme, welche Apps, welche Lizenz-Lage. Anschließend bauen wir das Intune-Konzept: Enrollment-Strategie, Konfigurations-Profile, App-Verteilung, Compliance-Regeln und passende Conditional-Access-Policies. Rollout-Phasen erfolgen pilotiert. Schulung für Anwender und Admins, optional Übergang in Application Care für laufenden Betrieb.