Intune Device Enrollment
Jedes vorhandene Windows-Gerät in Intune. Compliance erzwungen. Hybrid Join oder Entra Join als Grundlage für gerätebasiertes Conditional Access.
Ihre vorhandenen Windows-Geräte sind nicht in Intune — und niemand hat Zeit, sie zu migrieren
Fünfzig Windows-Laptops, drei Büros, zwei Personen in der IT. Die Geräte wurden vor Jahren der Domäne hinzugefügt. Group Policy verwaltet die meisten Einstellungen. Der Patch-Status ist ein Best-Effort-Bericht aus der WSUS-Konsole. Verschlüsselung? Sie hoffen, dass BitLocker aktiviert ist. Wenn ein Kunden-Audit einen Compliance-Bericht verlangt, ist die ehrliche Antwort eine Tabellenkalkulation, die bereits veraltet ist.
Das ist kein Versagen Ihres IT-Teams. Bestehende Windows-Geräte in Intune zu überführen, ist nicht nur ein einziger Schalter. Es erfordert Microsoft Entra Hybrid Join oder Entra Join, Entra Connect mit den richtigen synchronisierten Attributen, zwei öffentliche DNS-CNAME-Einträge, eine GPO, die die automatische MDM-Registrierung auslöst, und eine Compliance-Richtlinie, die nicht alle aussperrt. Jeder einzelne Schritt ist dokumentiert; die Reihenfolge nicht.
Traditionelle Beratung für eine MDM-Einführung? Zwei Monate, fünfstelliger Betrag. Der Consultant konfiguriert, dokumentiert und geht. Ihr Team übernimmt Einstellungen, die es nicht selbst entschieden hat.
AKTIVITÄTEN IM DETAIL
LIEFERUMFANG
Überprüfung der Lizenzsituation (Intune Service Plan 1, Entra ID P1) und der technischen Voraussetzungen
Erfassung des vorhandenen Windows-Gerätebereitstellungsworkflows — Imaging, Domänenbeitritt, GPO-Basislinie, Configuration Manager, falls vorhanden
Festlegung der erforderlichen Schritte für Microsoft Entra Hybrid Join oder Entra Join als gerätebasierte Authentifizierungsvoraussetzung für die automatisierte Intune-Registrierung
Konfigurieren öffentlicher DNS-CNAME-Einträge (
EnterpriseEnrollmentundEnterpriseRegistration), um die automatische Erkennung des Intune-Registrierungsservers zu ermöglichenFestlegung des Compliance-Standards: BitLocker-Verschlüsselung, minimale Betriebssystemversion, aktive Firewall, aktives Microsoft Defender Antivirus, Secure Boot
Konfigurieren und Überwachen der asynchronen Intune-Geräteregistrierung für vorhandene verwaltete Windows-Geräte in Active Directory — über die GPO „Enable automatic MDM enrollment“
Festlegung des Lösungsansatzes für nicht verwaltete Windows-Geräte: manueller Registrierungsablauf, Bereitstellung des Company Portal, Leitfaden für die Selbstbedienung durch Benutzer
Umsetzung beispielhafter weiterer Intune-Szenarien: einfache Softwareverteilung (eine Geschäftsanwendung) und ein Endpunktkonfigurationsprofil als Proof of Value für den breiteren Rollout
Gestaffelter Rollout in Wellen nach Standort oder OU — zuerst Pilotgruppe, den Intune-Compliance-Bericht überwachen und anschließend wellenbasierten Rollout durchführen
Integration des Compliance-Status mit Conditional Access zur gerätebasierten Zugriffskontrolle
Überprüfung der Lizenzsituation (Intune Service Plan 1, Entra ID P1) und der technischen Voraussetzungen
Erfassung des vorhandenen Windows-Gerätebereitstellungsworkflows — Imaging, Domänenbeitritt, GPO-Basislinie, Configuration Manager, falls vorhanden
Festlegung der erforderlichen Schritte für Microsoft Entra Hybrid Join oder Entra Join als gerätebasierte Authentifizierungsvoraussetzung für die automatisierte Intune-Registrierung
Konfigurieren öffentlicher DNS-CNAME-Einträge (
EnterpriseEnrollmentundEnterpriseRegistration), um die automatische Erkennung des Intune-Registrierungsservers zu ermöglichenFestlegung des Compliance-Standards: BitLocker-Verschlüsselung, minimale Betriebssystemversion, aktive Firewall, aktives Microsoft Defender Antivirus, Secure Boot
Konfigurieren und Überwachen der asynchronen Intune-Geräteregistrierung für vorhandene verwaltete Windows-Geräte in Active Directory — über die GPO „Enable automatic MDM enrollment“
Festlegung des Lösungsansatzes für nicht verwaltete Windows-Geräte: manueller Registrierungsablauf, Bereitstellung des Company Portal, Leitfaden für die Selbstbedienung durch Benutzer
Umsetzung beispielhafter weiterer Intune-Szenarien: einfache Softwareverteilung (eine Geschäftsanwendung) und ein Endpunktkonfigurationsprofil als Proof of Value für den breiteren Rollout
Gestaffelter Rollout in Wellen nach Standort oder OU — zuerst Pilotgruppe, den Intune-Compliance-Bericht überwachen und anschließend wellenbasierten Rollout durchführen
Integration des Compliance-Status mit Conditional Access zur gerätebasierten Zugriffskontrolle
Abgeschlossene Intune-Geräteregistrierung für Windows: MDM-Autorität festgelegt, automatische MDM-Registrierung per GPO aktiviert, CNAME-Einträge vorhanden, Hybrid Join oder Entra Join konfiguriert
Katalog der Compliance-Richtlinien: Basisrichtlinie für Windows 11 — BitLocker, Firewall, Defender Antivirus, Secure Boot, Mindestversion — dokumentiert und bereitgestellt
Proof-of-Value-Szenarien: Eine exemplarische Softwareverteilung und ein Endpunkt-Konfigurationsprofil — bereit zur Erweiterung
Anleitung für die manuelle Registrierung: Self-Service-Ablauf für nicht verwaltete Windows-Geräte, mit Screenshots und Fehlerbehebung
Rollout-Plan: Pilotgruppe, Wellenfolge, Kommunikationsvorlagen, Prüfpunkte für die Compliance-Überwachung
Implementierungsdokumentation: Alle Konfigurationsentscheidungen, DNS-Einträge, GPO-Links, Entra-Connect-Einstellungen — lückenlos, revisionssicher
3 Schritte. Vom Start zum fertigen Projekt.
So läuft ein typisches Microsoft-Projekt mit DAMALO.
Schritt 1
Blueprint wählen und Umgebung analysieren
Wählen Sie einen bewährten Blueprint. KI-Agenten berücksichtigen ihre Lizenzen, aktuelle Konfiguration und Compliance-Anforderungen in den Plan ein. Keine allgemeinen Ratschläge.
Schritt 2
Plan erhalten und Umsetzung starten
Prüfen Sie den Plan. KI-Agenten entwerfen die Architektur, Aufgaben und gleichen Abhängigkeiten mit den Microsoft-Best Practices ab. Auf Ihren Tenant zugeschnitten.
Schritt 3
Geführte Umsetzung bis zum Abschluss
Schritt für Schritt ausführen. KI-Agenten stellen PowerShell-Skripte, Deep Links zum Admin Center und Anleitungen bereit. Jede Änderung wird automatisch dokumentiert.
Das Ergebnis: Ein abgeschlossenes Microsoft-Projekt in 1-2 Wochen. Dokumentiert. Audit-ready. Von Ihrem Team verstanden. Jederzeit anpassbar. Keine Change Requests. Keine Nachbeauftragung.
Nächste Schritte nach Intune Device Enrollment
Ein sauber konfigurierter Tenant ist die Grundlage. Diese Blueprints bauen direkt darauf auf.
