Kurz vorweg: Wer in einem KMU 20 oder mehr Geräte ohne MDM betreibt, riskiert mehr als nur unsaubere Patches. Verlorene Smartphones mit Geschäftsmails, ungepatchte Notebooks, inkonsistente Konfigurationen – jedes davon ist ein Compliance- und Sicherheits-Vorfall im Wartezustand. Intune kostet rund 8 CHF pro Gerät und Monat, ersetzt aber typischerweise 30–50% des manuellen IT-Aufwands.
Was Intune kann – und was nicht
Intune ist Microsofts Cloud-MDM-Lösung. Sie deckt Windows-PCs, macOS, iOS, iPadOS und Android ab und ist tief in Entra ID (Azure AD) und Microsoft 365 integriert. Konkret leistet Intune:
Zero-Touch-Onboarding (Autopilot)
Neue Notebooks werden direkt vom Lieferanten in den Tenant eingelagert. Mitarbeiter*innen schalten ein, melden sich mit dem M365-Konto an – nach 20 Minuten ist das Gerät vollständig konfiguriert: Apps, VPN, Drucker, Compliance-Policies. Kein IT-Bauteam mehr nötig.
Konfigurations-Profile & Compliance
Bitlocker erzwingen, Firewall einschalten, Bildschirmsperre nach 5 Minuten, USB-Beschränkungen, Wi-Fi-Zertifikate, VPN-Profile. Wenn ein Gerät die Policies verletzt, wird es als „non-compliant" markiert und vom Conditional Access blockiert.
App-Verteilung (Win32, MSI, Store, iOS, Android)
Office, Teams, Acrobat, Branchen-Software einmal paketieren – auf alle Geräte automatisch ausrollen. Self-Service-Portal („Company Portal") für optionale Apps, gezielte Pflicht-Apps pro Abteilung.
Patch- & Update-Management
Windows Update for Business, Driver Updates, Microsoft 365 Apps Updates, optional Patch-Management für Drittanwendungen via Intune Suite. Ringe (Pilot, Pioneers, Broad) für gestaffelten Rollout.
BYOD & App-Protection ohne Geräte-Übernahme
Mitarbeiter-eigene Smartphones nicht voll managen, sondern nur die Geschäfts-Apps schützen: PIN-Pflicht für Outlook, Copy/Paste-Sperre, Remote-Wipe nur der Firmen-Daten. Privatsphäre bleibt geschützt.
Wo Intune an Grenzen stösst
- Linux-Geräte: nur eingeschränkt unterstützt (Ubuntu Server für Compliance), keine vollwertige Endpoint-Verwaltung wie bei Windows/macOS.
- Komplexes Drittanbieter-Patching: Intune Suite hilft, ist aber teurer und für KMU oft Overkill – Alternativen wie NinjaOne, ManageEngine oder PDQ können günstiger und funktionsreicher sein.
- Reine On-Premises-Domain ohne Cloud-Anbindung: Intune ist Cloud-First. Hybrid-Setups (Co-Management mit ConfigMgr) funktionieren, sind aber für KMU selten sinnvoll.
- Komplexes Software-Verpacken: Win32-App-Packaging via .intunewin braucht Know-how. Standardisierte Apps (M365, Browser) sind trivial; Branchen-Software mit Setup-Scripts braucht Vorarbeit.
- Detaillierte Reports: Berichte sind solide, aber für Audits oft nicht granular genug – ergänzend hilft Power BI oder eine separate ITSM-Lösung.
Welche Lizenz braucht ein Schweizer KMU?
| Plan | Enthält Intune | Preis / User / Monat |
|---|---|---|
| Microsoft 365 Business Standard | Nein | CHF 13.20 |
| Microsoft 365 Business Premium | Ja (inkl. Defender, Conditional Access) | CHF 22.60 |
| Microsoft 365 E3 (Enterprise) | Ja | CHF 38.50 |
| Microsoft 365 E5 (Enterprise) | Ja (inkl. Defender for Endpoint P2) | CHF 60.40 |
| Intune Standalone | Ja | CHF 8.30 |
| Intune Suite (Add-on) | Ja, mit erweiterten Funktionen | CHF 9.20 zusätzlich |
Empfehlung für die meisten KMU: Microsoft 365 Business Premium. Intune, Defender, Conditional Access und Information Protection in einem Paket – mit ein Zertifizierungsschritt für ISG/NIS2-/SP-Audit-Anforderungen.
Praxis-Roadmap: In 6 Wochen produktiv
Wochen 1–2: Grundkonfiguration
Tenant-Aufräumen in Entra ID, Gerätegruppen anlegen (Pilot, Standard, Executives), Initial-Konfigurationsprofil (BitLocker, Firewall, Defender, Bildschirmsperre), Compliance-Policy für Windows + iOS.
Wochen 3–4: App-Bereitstellung
Microsoft-365-Apps deployen, Browser-Pakete (Edge, Chrome), Adobe Reader, Teams – plus die wichtigsten Branchen-Apps. Self-Service-Portal aktivieren.
Woche 5: Pilot-Rollout
5–8 Mitarbeiter*innen aus IT, Geschäftsleitung und einer Fachabteilung. Onboarding via Autopilot, Feedback einholen, Konfigurations-Profile feinjustieren.
Woche 6: Breit-Rollout & Schulung
Alle übrigen Geräte einrollen, Conditional Access aktivieren (M365-Zugriff nur von compliant Geräten), 30-Min-Schulung für alle: was sich ändert, was selbstgesteuert geht.
Konkrete Rechnung: KMU mit 30 Geräten
| Position | Vorher (ohne MDM) | Nachher (mit Intune) |
|---|---|---|
| Onboarding-Zeit pro neues Gerät | 3h | 20 Min. |
| Patch-Management-Aufwand / Monat | 8h | 1.5h |
| Software-Verteilung (Update Office) | 6h | 15 Min. |
| Verlust eines Smartphones | Daten exponiert | Remote-Wipe in 2 Min. |
| Lizenzkosten Premium / Monat | – | CHF 678 (30 × 22.60) |
| Gesparte IT-Zeit / Monat | – | ~16h × CHF 120 = CHF 1’920 |
Datenschutz & Schweizer Spezifika
- Datenstandort: Microsoft bietet im EU-Raum „EU Data Boundary" und Schweizer Rechenzentren in Zürich/Genf. Für M365 lassen sich Mailbox, OneDrive und SharePoint in der Schweiz halten – Intune-Daten primär in der EU.
- BYOD-Datenschutz: Bei mitarbeiter-eigenen Geräten unbedingt App-Protection-Policies (MAM) statt Voll-Enrollment nutzen. Sonst Konflikt mit Persönlichkeitsschutz nach Art. 328b OR.
- Mitarbeitendeninformation: BYOD- und MDM-Pflichten in einem klaren Dokument festhalten – inklusive Liste, was die Firma sehen kann und was nicht (z.B. keine Privat-Fotos, aber installierte Geschäfts-Apps und Compliance-Status).
- Versicherungen: Cyber-Versicherer setzen Intune oder vergleichbare MDM-Lösungen 2026 zunehmend als Voraussetzung für volle Deckung voraus.
- NIS2/ISG-Bezug: Eine zentrale Geräteverwaltung mit dokumentierten Konfigurations-Standards ist faktisch Pflicht in jeder seriösen ISMS-Dokumentation.
Fazit: Intune ist 2026 fast immer die richtige Wahl
Für Schweizer KMU mit 10+ Geräten lohnt sich Intune fast immer – vor allem in Kombination mit Microsoft 365 Business Premium. Der Aufwand für die Einführung amortisiert sich nach 3–4 Monaten allein durch gesparte Onboarding- und Patch-Zeit. Wer ohne MDM arbeitet, akzeptiert nicht nur höhere Risiken, sondern auch unnötig viel manuellen IT-Aufwand.
Wichtig: Intune ist kein „Set and Forget". Eine saubere Erst-Konfiguration plus quartalsweise Reviews der Konfigurations-Profile machen den Unterschied zwischen einer Lösung, die wirklich schützt – und einer, die nur teure Lizenz-Karteileiche ist.
Intune-Einführung als Festpreis
Wir richten Intune in 6 Wochen schlüsselfertig ein – inkl. Autopilot, App-Verteilung und Conditional Access. Erstgespräch kostenlos.
Angebot anfragen