Identity Management & Endpunkt-Schutz mit Entra ID und Intune

Früher endete IT-Sicherheit am Firmennetzwerk: Wer drinnen war, galt als vertrauenswürdig, wer draußen war, kam nicht hinein. Dieses Modell funktioniert nicht mehr. Mitarbeitende arbeiten aus dem Homeoffice, unterwegs und über private Geräte; Daten liegen in der Cloud statt auf dem Server im Keller. Die entscheidenden Schutzgrenzen sind heute die Identität – also wer sich anmeldet – und das Endgerät, von dem aus der Zugriff erfolgt.

Microsoft beantwortet genau diese Verschiebung mit zwei Diensten, die im Zusammenspiel ihre volle Wirkung entfalten: Entra ID für das Identitätsmanagement und Intune für die Geräteverwaltung. Wir erklären, wie beide zusammenarbeiten und warum diese Kombination heute die sinnvolle Sicherheitsbasis für den Mittelstand ist.

Entra ID: die Identität als zentrale Kontrollstelle

Microsoft Entra ID (früher Azure Active Directory) ist der Verzeichnisdienst hinter Microsoft 365. Jede Anmeldung an Outlook, Teams, SharePoint und vielen weiteren Anwendungen läuft darüber. Damit wird die Identität zur zentralen Kontrollstelle – und zum lohnendsten Angriffsziel. Wer ein Passwort kennt, ist drin, egal von wo.

Drei Bausteine von Entra ID heben das Sicherheitsniveau spürbar an:

• Single Sign-On (SSO): Mitarbeitende melden sich einmal an und erreichen alle freigegebenen Anwendungen. Das reduziert die Zahl der Passwörter, erhöht den Komfort und verringert die Versuchung, dasselbe Passwort mehrfach zu nutzen.
• Mehrstufige Authentifizierung (MFA): Zusätzlich zum Passwort wird ein zweiter Faktor verlangt, etwa eine Bestätigung in der Authenticator-App. Selbst wenn ein Passwort gestohlen wird, scheitert der Angreifer am fehlenden zweiten Faktor. MFA ist die wirksamste einzelne Maßnahme gegen Kontoübernahmen.
• Conditional Access: Regeln, die festlegen, unter welchen Bedingungen eine Anmeldung erlaubt wird. Genau hier wird es interessant.

Conditional Access: Zugriff nach Kontext steuern

Conditional Access ist der Mechanismus, mit dem aus einzelnen Sicherheitsfunktionen eine durchdachte Strategie wird. Statt „Passwort richtig, also Zugriff erlaubt" prüft Entra ID bei jeder Anmeldung den Kontext und entscheidet auf dieser Grundlage. Eine Regel besteht aus Bedingungen und einer Konsequenz.

Konkrete Beispiele, wie sich das im Mittelstand einsetzen lässt:

• Anmeldungen aus Deutschland sind ohne weitere Hürde möglich; Anmeldeversuche aus dem Ausland werden blockiert oder verlangen zusätzliche Bestätigung.
• Der Zugriff auf sensible Daten ist nur von Geräten erlaubt, die als sicher und verwaltet gelten – dazu gleich mehr.
• Bei einer Anmeldung, die Entra ID als auffällig einstuft (unbekanntes Gerät, ungewöhnliche Uhrzeit), wird automatisch MFA verlangt, im Normalfall nicht.
• Veraltete, unsichere Anmeldeprotokolle werden grundsätzlich abgewiesen.

Der Gewinn liegt in der Balance: Sicherheit greift dort, wo Risiko besteht, ohne den Alltag mit ständigen Abfragen zu belasten. Genau diese kontextbezogene Steuerung ist der Kern moderner Zugriffssicherheit.

Intune: das Endgerät absichern

Eine geschützte Identität nützt wenig, wenn das Gerät, von dem aus gearbeitet wird, kompromittiert ist – ein Notebook ohne Verschlüsselung, ohne aktuelle Updates, ohne Virenschutz. Hier kommt Microsoft Intune ins Spiel. Intune ist die Lösung zur zentralen Verwaltung von Endgeräten: Windows-Rechner, aber auch Smartphones und Tablets.

Mit Intune lassen sich unter anderem zentral umsetzen:

• Compliance-Policies: Regeln, die definieren, wann ein Gerät als „konform" gilt – etwa: Festplatte verschlüsselt, Betriebssystem aktuell, Bildschirmsperre aktiv, Virenschutz eingeschaltet. Geräte, die diese Anforderungen nicht erfüllen, gelten als nicht konform.
• Verschlüsselung: Die Geräteverschlüsselung wird zentral erzwungen, sodass Daten auf einem verlorenen oder gestohlenen Notebook nicht auslesbar sind.
• App-Verteilung: Benötigte Anwendungen werden automatisch ausgerollt und aktuell gehalten, ohne dass jemand jedes Gerät einzeln einrichtet.
• Fernlöschung: Bei Verlust eines Geräts lassen sich Firmendaten aus der Ferne entfernen.
• Konfigurationsprofile: Einheitliche Grundeinstellungen – etwa WLAN-Profile, VPN-Zugänge oder Sicherheitsrichtlinien – werden automatisch auf alle Geräte verteilt, ohne dass jemand sie manuell einrichtet.

Der praktische Gewinn zeigt sich besonders beim Eintritt und Austritt von Mitarbeitenden. Ein neues Notebook lässt sich vorkonfiguriert übergeben: Die Person meldet sich mit ihrer Identität an, und Intune richtet Anwendungen, Einstellungen und Sicherheitsvorgaben automatisch ein. Verlässt jemand das Unternehmen, lassen sich Zugriff und Firmendaten zentral und nachvollziehbar entziehen – ein Bereich, der in vielen KMU bisher fehleranfällig und unvollständig abläuft.

Das Zusammenspiel: hier entsteht der eigentliche Schutz

Entra ID und Intune sind einzeln nützlich, aber ihre wahre Stärke liegt in der Verbindung. Intune meldet den Compliance-Status jedes Geräts an Entra ID zurück. Conditional Access kann diesen Status dann als Bedingung verwenden. Daraus ergibt sich eine Regel, die beide Welten verbindet:

„Zugriff auf Firmendaten nur von einem Gerät, das Intune als konform gemeldet hat."

Damit ist sichergestellt, dass selbst eine korrekt authentifizierte Person nicht von einem unsicheren, unverwalteten Gerät auf sensible Daten zugreift. Identität und Endgerät werden gemeinsam geprüft – beide müssen stimmen.

Verlässt ein Gerät den konformen Zustand – etwa weil ein wichtiges Update fehlt oder die Verschlüsselung deaktiviert wurde – meldet Intune dies an Entra ID, und Conditional Access sperrt den Zugriff automatisch, bis der Zustand wieder stimmt. So entsteht ein selbstkorrigierender Kreislauf, statt eines einmaligen Sicherheitschecks bei der Anmeldung. Wer die Identitätsschicht zusätzlich härtet, ergänzt diese Basis sinnvoll; einen kompakten Einstieg dazu finden Sie in unserem Beitrag zur Microsoft-365-Security-Baseline für KMU.

Warum das die moderne Sicherheitsbasis ist

Dieses Modell folgt dem Grundsatz, niemandem allein aufgrund des Standorts zu vertrauen, sondern jeden Zugriff anhand von Identität, Gerätezustand und Kontext zu bewerten. Für den Mittelstand ist das besonders attraktiv, weil die Bausteine in den gängigen Microsoft-365-Plänen bereits enthalten sind. Es geht selten darum, etwas Neues zu kaufen, sondern darum, vorhandene Werkzeuge richtig zu konfigurieren.

Genau darin liegt aber auch die Hürde: Conditional Access und Compliance-Policies entfalten ihren Nutzen erst durch eine durchdachte, auf Ihr Unternehmen abgestimmte Konfiguration. Zu strenge Regeln behindern die Arbeit, zu lockere lassen Lücken. Die richtige Balance braucht Erfahrung mit realen Umgebungen.

Wir richten Entra ID und Intune so ein, dass Identitäten und Geräte verlässlich geschützt sind, ohne den Arbeitsalltag auszubremsen. Wie wir Sicherheit insgesamt angehen, lesen Sie auf unserer Seite zur IT-Sicherheit. Wenn Sie wissen möchten, wo Ihre 365-Umgebung heute steht, vereinbaren Sie ein unverbindliches Gespräch über unser Kontaktformular – wir verschaffen Ihnen einen klaren Überblick.