Kontakt Kontakt

Geräte ausrollen, ohne dass die IT sie anfasst.

Wir setzen Microsoft Intune und Windows Autopilot so auf, dass neue Geräte direkt vom Hersteller zum Mitarbeiter gehen — verschlüsselt, gepatcht und im Defender registriert, ohne dass Ihre IT sie vorher in die Hand nimmt. Inklusive der Themen, an denen Intune-Projekte normalerweise hängen: App-Verteilung, Compliance-Policies, Conditional Access und Defender-Onboarding.

Intune-Setup besprechen
Microsoft Solutions Partner Microsoft Solutions Partner
Windows Autopilot User-Driven, Self-Deploying & Pre-Provisioning
Intune MDM & MAM Windows, macOS, iOS, Android — ein Tenant
Defender for Endpoint Onboarding & Policy-Management direkt aus Intune

Die häufigsten Herausforderungen

Die Themen, an denen Intune- und Autopilot-Projekte typischerweise hängen.

01

Manuelles Geräte-Setup blockiert die IT

Typisches Problem

Jeder Onboarding-Termin frisst eine halbe IT-Ressource. Bei Wachstum oder Geräte-Refresh skaliert das nicht.

Unser Ansatz

Windows Autopilot mit User-Driven oder Self-Deploying Profil. Der Hersteller registriert die Hardware-Hashes, der Mitarbeiter packt aus, meldet sich an, das Gerät baut sich selbst.

02

Geräte-Compliance ist nicht durchsetzbar

Typisches Problem

Ohne MDM lässt sich nicht zuverlässig prüfen, ob ein Gerät verschlüsselt, gepatcht und sauber ist. Conditional Access greift dann ins Leere.

Unser Ansatz

Compliance Policies in Intune (BitLocker, OS-Version, Defender-Status), kombiniert mit Conditional Access, die nicht-konforme Geräte vom M365-Zugriff aussperrt.

03

BYOD und private Daten vermischen sich

Typisches Problem

Auf privaten Geräten kann die IT nicht alles diktieren — Firmen-Mails und SharePoint-Zugriff sollen aber abgesichert werden.

Unser Ansatz

App Protection Policies (MAM ohne Enrollment): Firmen-Daten in Outlook, Teams und OneDrive werden isoliert. Der Rest des Geräts bleibt unangetastet.

04

Update-Chaos auf den Endgeräten

Typisches Problem

Windows Update verteilt sich unkontrolliert. Manche Geräte sind 12 Monate hinter dem Patch-Stand, andere brechen nach Feature-Updates.

Unser Ansatz

Windows Update for Business Rings: gestaffelte Deployment-Gruppen (Pilot → Frühphase → Breite), Deferral-Policies und Driver-Update-Kontrolle.

05

Defender für Endpoint ist lizenziert, aber nicht aktiv

Typisches Problem

Microsoft Defender for Endpoint kommt mit M365 E5 oder als Add-on — wird aber häufig nicht onboarded oder hat keine Policy-Tiefe.

Unser Ansatz

Defender-Onboarding über Intune (Endpoint Detection, ASR Rules, Tamper Protection), bei Bedarf inklusive Reporting-Anbindung an Ihr SOC oder Sentinel.

Unser Ansatz – 3 Phasen

Drei klar abgegrenzte Phasen — Plan, Build, Evolve. Jede Phase hat ein eigenes Ergebnis, das Sie auch ohne die nächsten Phasen weiter nutzen können.

01 Plan

Bestandsaufnahme & Zielbild

Bevor irgendetwas konfiguriert wird, schauen wir uns Ihren M365-Tenant, Ihre Geräte-Landschaft und Ihre Compliance-Anforderungen an.

  • Tenant-Review: Lizenz-Stand (E3/E5/Business Premium), bestehende Intune-Policies, Entra ID-Setup
  • Geräte-Inventar: Windows-Versionen, macOS-Geräte, mobile Geräte, BYOD-Anteil
  • Identity-Strategie: Entra-Join, Hybrid Join oder Co-Management mit bestehendem SCCM/MECM
  • Compliance-Anforderungen: BitLocker, MFA-Pflicht, NIS2/ISO-27001-Vorgaben, branchenspezifische Regeln
  • App-Landschaft: Welche Apps müssen via Intune verteilt werden (Win32, MSIX, Store, LOB)?
  • Pilot-Definition: Geräte, User und Use-Cases für Phase 2

Dauer: 2–3 Wochen | Ergebnis: Konfigurations-Blueprint und Roll-Out-Plan

02 Build

Intune & Autopilot aufsetzen

Wir konfigurieren Intune und Autopilot von Grund auf — oder bereinigen ein bestehendes, gewachsenes Setup.

  • Autopilot-Profile: User-Driven (Standard), Self-Deploying (Kiosk/Shared) oder Pre-Provisioning (Gerätevorbereitung im Lager)
  • Enrollment Status Page: Was muss installiert sein, bevor der User das Gerät nutzen darf
  • Configuration Profiles: BitLocker, Windows Hello for Business, Edge-Konfiguration, Endpoint Privilege Management
  • Compliance Policies, gekoppelt mit Conditional Access
  • App Deployment: Win32 LOB-Apps via Intune Win32 Content Prep Tool, Microsoft Store, Edge- und Office-Konfigurationen
  • App Protection (MAM) für BYOD: Outlook, Teams, OneDrive — ohne Geräte-Enrollment
  • Update Rings: Pilot (3–5 % der Geräte), Broad (Rest), Driver-Update-Kontrolle
  • Defender for Endpoint Onboarding via Intune: Plan-Auswahl, ASR Rules, Tamper Protection
  • Pilot-Rollout an definierte Gruppe, dann Full Deployment
  • Dokumentation und Übergabe ans interne IT-Team

Dauer: 6–12 Wochen je nach Tenant-Komplexität | Ergebnis: Produktiver Intune/Autopilot-Betrieb

03 Evolve

Weiterentwicklung & Betreuung

Nach dem Build steht die Frage: Wer betreibt und entwickelt das Setup weiter? Wir bieten zwei Wege an, abhängig davon wie Ihr Unternehmen arbeitet.

  • cloudpunks Platform Team — für agile Organisationen: Direkter Draht per Teams, schnelle Policy-Änderungen, eingebunden in Ihre Sprints, proaktive Lizenz- und Security-Optimierung
  • cloudopserve Managed Services — für prozessorientierte Organisationen: Ticket-System, definierte SLAs, strukturierte Change-Prozesse, lückenlose Compliance-Dokumentation
  • Quartalsweises Tenant-Review: Neue Microsoft-Features, Policy-Drift, Compliance-Stand
  • User-Schulungen und Champion-Aufbau im internen Team
  • Audit-Vorbereitung (ISO 27001, NIS2, branchenspezifisch)

Die Frage ist nicht WAS Sie brauchen, sondern WIE Sie arbeiten. Wir beraten ehrlich, welches Modell zu Ihrer Kultur passt.

Transparenz-Hinweis: Wir empfehlen das Modell, das wirklich passt — auch wenn das nicht unser eigenes ist.

Investment-Rahmen

Plan: Tenant-Review & Blueprint

ab 8.000 EUR 2–3 Wochen

Build: Intune & Autopilot Aufbau

ab 25.000 EUR 6–12 Wochen

Preise hängen stark von Tenant-Komplexität, Geräte-Mix und Compliance-Anforderungen ab. Erstgespräch (60 Minuten) ist kostenfrei und unverbindlich.

Ergebnisse aus der Praxis

Selbst-

Geräte-Setup: Mitarbeiter packt aus, meldet sich an, das Gerät baut sich selbst. Kein Image, kein USB-Stick, kein IT-Termin pro Gerät.

Technisch

durchsetzbar

Compliance: Compliance Policies prüfen technisch, was zählt. Conditional Access sperrt nicht-konforme Geräte aus M365 aus.

Sauber

getrennt

BYOD: App Protection Policies trennen Firmen-Daten von Privatdaten — ohne dass die IT auf private Geräte zugreifen muss.

Gestaffelt

statt Zufall

Updates: Update Rings testen Patches im Pilot, bevor sie auf alle Geräte kommen. Keine Überraschungen am Patch-Tuesday.

Ehrlich gesagt: Intune ist kein Selbstläufer. Wir liefern keinen „fertigen Endzustand", sondern eine Konfiguration, die Ihr Team verstehen und weiterentwickeln kann. Schulung und Wissenstransfer sind fester Bestandteil — sonst stehen Sie in sechs Monaten wieder vor uns, weil Microsoft eine Policy umgenannt hat.

Wo steht Ihr Endpoint Management heute?

Ein ehrlicher Schnellcheck — keine Punkte sammeln, sondern Lücken finden.

Geräte-Bereitstellung

Configuration & Compliance

Apps & BYOD

Updates & Defender

0–4 Haken: Sie stehen am Anfang. Eine saubere Plan-Phase verhindert klassische Stolperfallen.
5–10 Haken: Solides Fundament, aber typischerweise mit Detail-Lücken (Updates, Defender, BYOD). Lohnt sich, gezielt anzupacken.
11+ Haken: Gute Basis. Hier geht es um Optimierung, Audit-Readiness und neue Features.

Warum professionelle Beratung?

Warum cloudpunks für Intune und Autopilot

Wir bauen, nicht nur empfehlen.

Wir liefern keine PowerPoint mit Architektur-Diagrammen. Wir konfigurieren Intune-Policies, schnüren Win32-App-Pakete, debuggen Autopilot-Logs und übergeben funktionierende Setups.

Befähigung statt Abhängigkeit.

Wir bauen Ihr internes M365-Team auf — Wissenstransfer, Dokumentation, Champions. Ziel ist, dass Sie das Setup selbst weiterentwickeln können.

Klartext bei Lizenzen.

Nicht jeder braucht E5. Wir sagen ehrlich, wann Business Premium reicht und wann sich der Sprung auf E5 rechnet. Wenn Defender for Endpoint Plan 2 für Sie keinen Mehrwert hat, sagen wir das.

Compliance, die Audits übersteht.

Compliance Policies sind technische Kontrollen — nicht nur Häkchen. Wir bauen sie so, dass Sie sie im ISO-27001- oder NIS2-Audit erklären können, ohne nachzubessern.

Unser cloudpunks Team

Verwandte Themen

Intune und Autopilot greifen in andere Modern-Workplace-Themen. Diese passen direkt dazu:

Microsoft 365 Implementation

Identity, Lizenzen und Tenant-Setup als Fundament für sinnvolles Geräte-Management.

Mehr erfahren

Azure Virtual Desktop

AVD-Session-Hosts werden ebenfalls über Intune Compliance-Policies abgesichert.

Mehr erfahren

Security & Compliance

Defender for Endpoint, Secure Score und Compliance-Reporting als Ergänzung zu Intune.

Mehr erfahren

Vertiefendes aus dem Blog

Klingt interessant?

30–45 Minuten Ehrliche Einschätzung zu Ihrem Vorhaben. Konkrete nächste Schritte.

Kein Sales-Pitch. Wir reden über Ihre Situation — und sagen ehrlich, ob und wie wir helfen können.

Termin vereinbaren

office@cloudpunks.de
+49-911-477 60 790

Oder direkt eine Nachricht schreiben