08:30 – 17:30 Uhr

+4989741206 0

info@network4you.com

Home » Articles » Wie du Mobile Threat Defense mit UEM wie Intune integrierst – Der ultimative Guide

Wie du Mobile Threat Defense mit UEM wie Intune integrierst – Der ultimative Guide

Fangen wir ganz vorne an. UEM, oder Unified Endpoint Management, ist im Grunde die Kommandozentrale für all deine Geräte. Egal ob Firmen-iPhone, privates Android-Smartphone (BYOD), Windows-Laptop oder Tablet – ein UEM hilft dir dabei, diese Geräte zu verwalten, zu kontrollieren und mit den notwendigen Unternehmensressourcen zu versehen. Du kannst Richtlinien durchsetzen, Apps verteilen und im schlimmsten Fall sogar ein Gerät aus der Ferne löschen.

Microsoft Intune ist hier der Riese im Raum. Warum? Ganz einfach: die nahtlose Integration in die Microsoft-365-Welt. Intune spricht perfekt mit Azure Active Directory, SharePoint, Teams und all den anderen Tools, die dein Unternehmen wahrscheinlich schon nutzt. Es ist die logische Wahl für anyone, der bereits im Microsoft-Ökosystem unterwegs ist. Intune ist dein digitaler Feldwebel, der für Ordnung und Disziplin unter den Geräten sorgt.

Mobile Threat Defense: Der Bodyguard für deine Geräte

Jetzt kommt der Twist: Ein UEM wie Intune ist super darin, Regeln durchzusetzen. Aber es ist nicht dafür designed, proaktiv nach Feinden Ausschau zu halten, die sich vielleicht schon an dein Gerät herangeschlichen haben. Stellen wir uns das mal so vor: Intune ist der Türsteher deiner Clubanlage. Er checkt die Gästeliste (Compliance-Richtlinien) und lässt nur die richtigen Leute rein.

Mobile Threat Defense hingegen ist der Personenschützer, der innerhalb des Clubs unterwegs ist. Er scannt die Menge, beobachtet verdächtiges Verhalten, erkennt versteckte Waffen (Malware) und neutralisiert Bedrohungen, bevor sie Schaden anrichten können. Eine MTD-Lösung schaut tief ins Innere des Geräts und des Netzwerkverkehrs. Sie erkennt:

  • Device-level Threats: Schadsoftware, Spyware, Ransomware und manipulierte Apps.
  • Network-level Threats: bösartige WiFi-Netzwerke („Evil Twin“-Access Points) oder Man-in-the-Middle-Angriffe.
  • Application-level Threats: Schwachstellen in Apps oder riskante App-Verhaltensweisen.

Warum die Integration der beiden ein Game-Changer ist

Klar, du könntest Intune und eine MTD-Lösung einfach unabhängig voneinander betreiben. Aber das wäre so, als ob dein Türsteher und dein Personenschützer sich nicht unterhalten. Die wahre Magie passiert, wenn sie miteinander kommunizieren und als eine einzige, schlagkräftige Einheit agieren.

Diese Integration schafft einen geschlossenen Kreislauf der Sicherheit:

  1. Die MTD-Lösung erkennt eine Bedrohung auf einem Gerät.
  2. Sie meldet diese Bedrohung sofort an Intune zurück.
  3. Intune kann daraufhin sofort handeln – je nach Schweregrad der Bedrohung.

Und was sind die konkreten Vorteile dieses Power-Pairs?

Automatisierte Compliance und bedingter Zugriff: Das ist der heilige Gral! Du kannst Regeln in Intune definieren, die besagen: „Wenn die MTD-Lösung eine Bedrohung auf einem Gerät meldet, schließe dieses Gerät sofort aus dem Unternehmensnetzwerk aus oder blockiere den Zugriff auf sensible Daten.“ Das passiert in Echtzeit und vollautomatisch. Ein infiziertes Gerät wird isoliert, noch bevor es Schaden anrichten kann.

Ganzheitliche Sichtbarkeit: Du musst nicht zwischen zwei Konsolen hin- und herspringen. Du siehst den Sicherheitsstatus des Geräts direkt in deiner Intune-Verwaltungskonsole. Das spart Zeit und gibt dir einen einzigen, klaren Blick auf die Bedrohungslage.

Proaktiver statt reaktiver Schutz: Anstatt nur auf Verstöße gegen Richtlinien zu reagieren (z.B. „Das Gerät ist nicht verschlüsselt“), reagierst du auf aktive Bedrohungen. Du wehrst Angriffe ab, anstatt die Folgen zu beseitigen.

Bevor es losgeht: Was du für die Integration brauchst

Bevor wir in die technischen Details springen, lass uns sicherstellen, dass du alles in der Tasche hast. Du willst ja nicht mitten in der Implementation feststellen, dass dir ein Puzzleteil fehlt, oder?

Die richtige Lizenzierung: Das ist der wichtigste Punkt. Für Intune benötigst du entweder eine Lizenz für Microsoft Intune selbst oder ein Microsoft 365-Paket, das Intune beinhaltet (wie z.B. Microsoft 365 E3 oder E5). Für die MTD-Seite brauchst du natürlich entsprechende Lizenzen deines gewählten Anbieters wie Lookout, Zimperium, Check Point Harmony Mobile oder Microsoft Defender for Endpoint (ja, Microsoft hat auch eine eigene MTD-Lösung!).

Administrative Rechte: Du musst ein Global Administrator oder Intune Administrator in deinem Azure AD/Microsoft 365 Mandanten sein, um die notwendigen Einstellungen vornehmen zu können.

Die MTD-Lösung deiner Wahl: Entscheide dich für einen Anbieter, der die Integration mit Intune unterstützt. Die großen Player tun das alle. Deine Wahl hängt von Faktoren wie Budget, spezifischen Funktionsanforderungen und Benutzerfreundlichkeit ab.

Schritt-für-Schritt-Anleitung: Intune und MTD verbinden

Endlich, das Herzstück! Wir gehen jetzt davon aus, dass du Intune bereits eingerichtet und ein paar Testgeräte verwaltest. Jetzt fügen wir den MTD-Schutz hinzu. Der Prozess ist bei den meisten Anbietern sehr ähnlich, da sie das von Microsoft vorgegebene Framework nutzen.

Schritt 1: Die MTD-Lösung in der Azure AD verbinden (App Registration)
Mobile Threat Defense Lösungen integrieren sich über das sogenannte „Connect“-Protokoll mit Intune. Dafür muss die MTD-App in deinem Azure Active Directory als Anwendung registriert werden, um die Berechtigung zu erhalten, Daten an Intune zu senden und von dort zu empfangen.

  1. Logge dich in deinem Azure AD Admin Center ein.
  2. Navigiere zu Unternehmensanwendungen > Alle Anwendungen.
  3. Klicke auf + Neue Anwendung und dann auf + Eigenene Anwendung erstellen.
  4. Folge nun den spezifischen Anweisungen deines MTD-Anbieters. Bei den meisten etablierten Anbietern geschieht dies oft automatisiert, indem du dich einfach bei deinem MTD-Anbieter-Konto anmeldest und die Integration mit Intune aktivierst. Der Anbieter übernimmt dann die App-Registrierung im Hintergrund.

Schritt 2: Vertrauen ist gut, Kontrolle ist besser: Die MTD-Verbindung in Intune autorisieren
Nur weil die App registri ist, heißt das noch nicht, dass Intune ihr auch vertraut. Das musst du explizit erlauben.

  1. Wechsle in das Microsoft Intune Admin Center.
  2. Gehe zu Endpunktsicherheit > Mobile Threat Defense.
  3. Klick auf + Hinzufügen.
  4. Wähle in der Dropdown-Liste deinen MTD-Anbieter aus (z.B. Lookout, Zimperium, etc.).
  5. Klicke auf Autorisieren. Du wirst möglicherweise aufgefordert, dich mit deinem Admin-Account anzumelden, um diese Verbindung zu bestätigen. Damit erteilst du der MTD-App die Erlaubnis, Gerätedaten an Intune zu melden.

Schritt 3: Der Schlüssel zum automatischen Response: Die Konformitätsrichtlinie
Jetzt wird’s spannend. Wir sagen Intune, wie es auf die Bedrohungsmeldungen der MTD-Lösung reagieren soll.

  1. Im Intune Admin Center navigierst du zu Geräte > Konformitätsrichtlinien.
  2. Erstelle eine neue Richtlinie. Weise ihr einen klaren Namen zu, z.B. „MTD Geräte-Compliance“.
  3. Wähle unter Plattform das entsprechende Betriebssystem aus (iOS/iPadOS, Android).
  4. Gehe zu den Einstellungen > Systemsecurity und scrolle nach unten zum Punkt Gerätebedrohungsschutz.
  5. Hier findest du die Einstellung: Aktivieren, dass Geräte die maximale zulässige Bedrohungsstufe einhalten müssen. Aktiviere diese Option.
  6. Jetzt wählst du aus der Dropdown-Liste die maximal zulässige Bedrohungsstufe aus. Meistens gibt es Stufen wie:
    • Geschützt: Keine Maßnahme.
    • Niedrig: Geringes Risiko.
    • Mittel: Mittleres Risiko.
    • Hoch: Hohes Risiko.
      Eine pragmatische Einstellung für den Start ist oft Mittel. Das bedeutet: Wenn die MTD-Lösung eine Bedrohung der Stufe „Hoch“ meldet, wird das Gerät als nicht konform eingestuft.

Schritt 4: Die Zügel anziehen: Richtlinie für bedingten Zugriff
Die Compliance-Richtlinie allein tut noch nichts. Sie markiert das Gerät nur als „nicht konform“. Jetzt brauchen wir eine Richtlinie für bedingten Zugriff, die diese Information nutzt, um den Zugriff zu blockieren.

  1. Gehe im Intune Admin Center zu Richtlinien > Bedingter Zugriff.
  2. Klicke auf + Neue Richtlinie.
  3. Benenne die Richtlinie eindeutig, z.B. „Blockiere nicht konforme Geräte durch MTD“.
  4. Zuweisungen:
    • Benutzer und Gruppen: Wähle die Benutzer oder Gruppen aus, auf die diese Richtlinie angewendet werden soll.
    • Cloud-Apps: Wähle die Apps aus, die geschützt werden sollen (z.B. Microsoft 365, SharePoint Online, Exchange Online).
  5. Bedingungen:
    • Klicke auf Gerätestatus und wähle unter Konformitätsstatus gerätebasierter Richtlinien die Option Gerät als konform markieren aus. Setze den Schalter auf Ja. Das bedeutet: Nur Geräte, die konform sind, dürfen auf die Apps zugreifen.
  6. Zugriffskontrolle:
    • Wähle Zugriff gewähren.
    • Setze ein Häkchen bei Gerät muss als konform markiert sein.
    • Wähle für Mehrere Kontrollen die Option Alle ausgewählten Kontrollen erforderlich.
  7. Aktiviere die Richtlinie und klicke auf Erstellen.

Und schwupps – der Kreislauf ist geschlossen! Ein Gerät mit einer erkannten Bedrohung wird nicht konform, und die Richtlinie für bedingten Zugriff blockiert sofort den Zugriff auf Unternehmensdaten.

Die MTD-App auf die Geräte bringen: Deployment Strategies

Die ganze Integration nützt nichts, wenn die MTD-App nicht auf den Geräten deiner User installiert ist. Glücklicherweise macht Intune das kinderleicht.

Für Firmengeräte ( vollständig verwaltet):
Das ist der einfachste Weg. Du erstellst eine App-Installationsrichtlinie in Intune und weist sie der entsprechenden Gerätegruppe zu. Die App wird dann automatisch im Hintergrund installiert und konfiguriert. Die User bekommen kaum etwas mit.

Für BYOD-Geräte (privat):
Hier ist Fingerspitzengefühl gefragt. Du kannst die User nicht zwingen, eine Sicherheitsapp zu installieren. Aber du kannst es zur Bedingung für den Zugriff auf Unternehmensdaten machen.

  1. Stufe die MTD-App in Intune als verpflichtende App ein.
  2. Richte deine Compliance- und bedingten Zugriffsrichtlinien so ein, wie oben beschrieben.
  3. Wenn ein User versucht, auf sein Unternehmens-E-Mail zuzugreifen, wird er auf sein nicht konformes Gerät hingewiesen.
  4. Er bekommt eine Anleitung, die MTD-App aus dem App Store herunterzuladen und sich anzumelden. Sobald die App installiert und das Gerät „sauber“ ist, erhält er Zugriff. Das ist ein klassisches „Self-Remediation“-Szenario.

Best Practices für einen reibungslosen Betrieb

Die Integration ist nicht einfach ein „Set-and-Forget“. Ein paar Dinge solltest du beachten, um langfristig erfolgreich zu sein.

Starte mit einer Pilotgruppe: Dreh nicht sofort an allen Schrauben für alle User. Suche dir eine kleine, tech-affine Gruppe von Freiwilligen (vielleicht sogar das IT-Team selbst) und teste die Integration erstmal mit ihnen. So findest du Stolpersteine, bevor sie alle betreffen.

Kommuniziere, kommuniziere, kommuniziere: Erkläre deinen Usern warum du eine neue App auf ihren Geräten installierst. Betone den Nutzen für sie und das Unternehmen („Wir schützen eure Daten!“). Nichts erzeugt mehr Widerstand als eine Security-Maßnahme, die aus dem Nichts kommt und nicht erklärt wird.

Definiere klare Eskalationswege: Was passiert, wenn ein Gerät blockiert wird? Wer ist der Ansprechpartner für den User? Stelle sicher, dass dein Helpdesk geschult ist und weiß, wie er mit Meldungen der MTD-Lösung umgeht und betroffenen Usern helfen kann.

Überprüfe und justiere die Bedrohungsstufen: Die Standardeinstellung „Mittel“ ist ein guter Start. Aber schau dir nach ein paar Wochen die Reports an. Werden zu viele Geräte blockiert? Vielleicht sind die Regeln zu streng. Passiere die Einstellungen an die Realität in deinem Unternehmen an.

Häufige Fallstricke und wie du sie umgehst

Keine Implementation verläuft völlig reibungslos. Hier sind ein paar typische Probleme und ihre Lösungen.

„Die MTD-App meldet sich nicht bei Intune zurück“:

  • Ursache: Häufig ein Problem mit der App-Registrierung oder den Berechtigungen in Azure AD.
  • Lösung: Überprüfe die Konfiguration in Azure AD unter „Unternehmensanwendungen“ und stelle sicher, dass die App die notwendigen Berechtigungen hat.

„Das Gerät wird blockiert, obwohl keine Bedrohung vorliegt (False Positive)“:

  • Ursache: Die Bedrohungsstufe in der Compliance-Richtlinie ist zu aggressiv eingestellt, oder die MTD-Lösung hat einen Fehler gemacht.
  • Lösung: Prüfe den Vorfall in der MTD-Konsole. Du kannst die Bedrohung oft manuell als „sauber“ markieren. Wenn es häufiger passiert, erwäge, die Bedrohungsstufe in der Intune-Richtlinie anzupassen.

„User auf BYOD-Geräten weigern sich, die App zu installieren“:

  • Ursache: Mangelnde Kommunikation oder Bedenken wegen Datenschutz.
  • Lösung: Transparenz schaffen. Erkläre, welche Daten die App sammelt (nur Sicherheitsrelevante!) und was sie nicht tut (z.B. keine privaten Fotos oder Nachrichten lesen). Biete eine klar verständliche Nutzungsrichtlinie an.

Die Zukunft der mobilen Sicherheit: Was kommt nach der Integration?

Die Integration von UEM und MTD ist kein Endpunkt, sondern der Startschuss in eine sicherere Zukunft. Die Entwicklung geht weiter hin zu:

  • Noch tieferer Integration: Die Grenzen zwischen UEM und MTD verschwimmen immer mehr. Lösungen wie Microsoft Defender for Endpoint zeigen, dass beides aus einer Hand kommen kann.
  • KI-getriebenem Schutz: Maschinelles Lernen wird noch besser darin werden, bisher unbekannte Bedrohungen (Zero-Day) anhand ihres Verhaltens zu erkennen, anhand ihrer Signatur.
  • Erweiterung auf andere Geräteklassen: Der Ansatz wird nicht nur auf Smartphones und Tablets angewendet, sondern auch auf IoT-Geräte und operative Technologie (OT).

Fazit: Baue deine uneinnehmbare Festung

Die mobile Welt bietet ungeahnte Möglichkeiten, aber auch neue Risiken. Sich nur auf die grundlegenden Management-Funktionen eines UEM wie Intune zu verlassen, ist wie eine Festung mit dicken Mauern, aber ohne Wachen auf den Zinnen zu bauen. Du weißt nie, wer schon über den Graben geschwommen ist.

Microsoft Intune

Copyright © 2024 network4you GmbH. Alle Rechte vorbehalten.