Intune Mobile Device ManagementIntune Mobile Device Management

Referenz für iOS/iPadOS-, Android- und macOS-Einschreibung, App Protection, App-Konfiguration, Compliance und Conditional Access.Reference for iOS/iPadOS, Android, and macOS enrollment, app protection, app configuration, compliance, and conditional access.

ADE

Apple Automated EnrollmentApple automated enrollment

COPE

Android Enterprise ModelleAndroid Enterprise models

MAM

App-Schutz ohne EnrollmentApp protection without enrollment

Geräte- und App-ZugriffDevice and app access

Mobile Management ist Besitzmodell plus DatenschutzMobile management is ownership model plus privacy

Microsoft Learn trennt konsequent zwischen Corporate-owned, BYOD, MDM und MAM. Erfolgreiche Mobile-Strategien berücksichtigen Eigentum, Plattformfähigkeit und Datenschutz-Erwartungen.Microsoft Learn consistently differentiates between corporate-owned, BYOD, MDM, and MAM. Successful mobile strategies consider ownership, platform capability, and privacy expectations.

iOS/iPadOS EnrollmentiOS/iPadOS Enrollment

iOS/iPadOS unterstützt Automated Device Enrollment, BYOD User Enrollment, webbasierte Einschreibung und account-driven user enrollment.iOS/iPadOS supports automated device enrollment, BYOD user enrollment, web-based enrollment, and account-driven user enrollment.

Android EnrollmentAndroid Enrollment

Android Enterprise bietet Fully Managed, COPE, Personally-Owned Work Profile und Dedicated Device als Hauptmodelle.Android Enterprise provides fully managed, COPE, personally owned work profile, and dedicated device as its core models.

macOS EnrollmentmacOS Enrollment

macOS kann über Automated Device Enrollment, direkte Einschreibung und ergänzend mit Bootstrap Token verwaltet werden.macOS can be managed through automated device enrollment, direct enrollment, and with bootstrap token support.

App Protection Policies (MAM)App Protection Policies (MAM)

App Protection schützt Unternehmensdaten in Apps unabhängig davon, ob das Gerät vollständig eingeschrieben ist.App protection protects corporate data inside apps regardless of whether the device is fully enrolled.

App Configuration PoliciesApp Configuration Policies

App Configuration Policies liefern Schlüssel-Wert-Paare oder XML-basierte Einstellungen an verwaltete Apps und Geräte.App configuration policies deliver key-value pairs or XML-based settings to managed apps and devices.

Mobile Compliance PoliciesMobile Compliance Policies

Mobile Compliance bewertet bei iOS und Android u.a. Jailbreak/Root, OS-Version, Kennwort, Bedrohungsstufe und Plattformintegrität.Mobile compliance evaluates jailbreak or root status, OS version, password, threat level, and platform integrity on iOS and Android.

Managed App LifecycleManaged App Lifecycle

Managed Apps umfassen Managed Google Play, Apple VPP, Required/Available Zuweisungen sowie Uninstall beim Unenrollment.Managed apps include Managed Google Play, Apple VPP, required or available assignments, and uninstall on unenrollment.

Conditional Access + MobileConditional Access + Mobile

Mobile Conditional Access kann ein konformes Gerät, eine App Protection Policy oder eine Approved Client App verlangen.Mobile conditional access can require a compliant device, an app protection policy, or an approved client app.

iOS/iPadOS EnrollmentiOS/iPadOS Enrollment

Apple Business Manager, Push Certificate und Enrollment Profiles bilden die technische Grundlage. Unternehmens- und Privatgeräte benötigen unterschiedliche Prozesse.Apple Business Manager, the push certificate, and enrollment profiles form the technical foundation. Corporate and personal devices need different processes.

Apple Enrollment hängt am ZertifikatApple enrollment depends on the certificate

Ohne gültiges Apple Push Certificate funktionieren Verwaltung und Device Check-in nicht zuverlässig.Without a valid Apple Push Certificate, management and device check-in do not work reliably.

ThemaTopic	DetailsDetails
ADE / DEPADE / DEP	Zero-touch für Corporate-owned Geräte aus Apple Business Manager.Zero-touch for corporate-owned devices from Apple Business Manager.
User EnrollmentUser enrollment	BYOD-freundliches Modell mit stärkerer Trennung von privat und geschäftlich.BYOD-friendly model with stronger separation of personal and corporate data.
Web-based EnrollmentWeb-based enrollment	Einfacher Pfad, wenn kein vollautomatisches Apple-Geräteprogramm verfügbar ist.Simple path when no full Apple automation program is available.
Push CertificatePush certificate	Zentraler Vertrauensanker zwischen Apple und Intune.Central trust anchor between Apple and Intune.
ProfilesProfiles	Enrollment Profiles definieren Setup Assistant, Auth und Gerätezielgruppen.Enrollment profiles define Setup Assistant behavior, auth, and target groups.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für iOS/iPadOS Enrollment dokumentieren.Document prerequisites, roles, and dependencies for iOS/iPadOS Enrollment.
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Überwachen Sie Ablaufdaten des Apple Push Certificates streng.Monitor Apple Push Certificate expiration dates closely.
Trennen Sie ADE-Profile für Kiosk-, Shared- und Knowledge-Worker-Geräte.Separate ADE profiles for kiosk, shared, and knowledge-worker devices.
Dokumentieren Sie, welche ABM-Standorte welchem Intune-Tenant zugeordnet sind.Document which ABM locations map to which Intune tenant.
Prüfen Sie Datenschutzkommunikation bei BYOD-User-Enrollment besonders sorgfältig.Review privacy communication carefully for BYOD user enrollment.

PowerShellPowerShell

PowerShell PowerShell

Get-MgDeviceManagementApplePushNotificationCertificate
Get-MgDeviceManagementDepOnboardingSetting

Android EnrollmentAndroid Enrollment

Managed Google Play und Enrollment Tokens bilden die Basis. Das Besitzmodell entscheidet über Containerisierung, Steuerung und Benutzererlebnis.Managed Google Play and enrollment tokens form the foundation. The ownership model determines containerization, control, and user experience.

Android Enterprise ist modellgetriebenAndroid Enterprise is model-driven

Wer das falsche Enrollment-Modell wählt, erzeugt unnötige Reibung bei Datenschutz, App-Bereitstellung oder Kiosk-Szenarien.Choosing the wrong enrollment model creates unnecessary friction around privacy, app deployment, or kiosk scenarios.

ThemaTopic	DetailsDetails
Fully ManagedFully managed	Corporate-owned, vollständig verwaltete Geräte ohne Privatbereich.Corporate-owned, fully managed devices without a personal space.
COPECOPE	Corporate-owned mit Work Profile für getrennte geschäftliche und private Nutzung.Corporate-owned with a work profile for separated business and personal use.
BYOD Work ProfileBYOD work profile	Persönliche Geräte mit geschäftlichem Container.Personal devices with a managed business container.
DedicatedDedicated	Kiosk-, Scanner- oder gemeinsam genutzte Geräte mit eingeschränkter Nutzung.Kiosk, scanner, or shared devices with restricted usage.
Managed Google PlayManaged Google Play	Zentrales App- und Konfigurationsmodell für Android Enterprise.Central app and configuration model for Android Enterprise.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für Android Enrollment dokumentieren.Document prerequisites, roles, and dependencies for Android Enrollment.
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Definieren Sie klare Modellregeln für COBO, COPE, BYOD und Dedicated.Define clear model rules for COBO, COPE, BYOD, and dedicated devices.
Testen Sie Enrollment Tokens und Zerotouch/Knox-Anbindungen separat.Test enrollment tokens and zero-touch or Knox integrations separately.
Dokumentieren Sie, welche App-Kataloge in Managed Google Play freigegeben sind.Document which app catalogs are approved in Managed Google Play.
Berücksichtigen Sie Android-Fragmentierung und Herstellerbesonderheiten im Support.Consider Android fragmentation and vendor specifics in support.

PowerShellPowerShell

PowerShell PowerShell

Get-MgDeviceManagementAndroidManagedStoreAccountEnterpriseSetting
Get-MgDeviceManagementAndroidForWorkEnrollmentProfile

macOS EnrollmentmacOS Enrollment

Apple Business Manager, ADE-Profile und Plattformvoraussetzungen wie FileVault, Platform SSO oder Bootstrap Token prägen den Gerätelebenszyklus.Apple Business Manager, ADE profiles, and platform capabilities such as FileVault, Platform SSO, or the bootstrap token shape the device lifecycle.

macOS ist kein iOS mit BildschirmmacOS is not iOS with a keyboard

Desktop-Workloads, lokaler Adminbedarf und Zertifikats-/SSO-Themen erfordern ein eigenes Betriebsmodell.Desktop workloads, local admin requirements, and certificate or SSO topics require a dedicated operating model.

ThemaTopic	DetailsDetails
ADEADE	Standard für Corporate-owned Macs mit Zero-touch-Bereitstellung.Standard for corporate-owned Macs with zero-touch provisioning.
Direct EnrollmentDirect enrollment	Einfacherer Pfad ohne vollständige ABM-Automation.Simpler path without full ABM automation.
Bootstrap TokenBootstrap token	Unterstützt sichere Plattformfunktionen und administrative Workflows.Supports secure platform capabilities and administrative workflows.
IdentityIdentity	SSO- und lokale Adminmodelle müssen früh definiert werden.SSO and local admin models must be defined early.
ComplianceCompliance	macOS-Compliance unterscheidet sich deutlich von iOS und Windows.macOS compliance differs significantly from iOS and Windows.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für macOS Enrollment dokumentieren.Document prerequisites, roles, and dependencies for macOS Enrollment.
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Prüfen Sie FileVault-, Recovery- und Local-Admin-Strategien frühzeitig.Review FileVault, recovery, and local admin strategies early.
Testen Sie Zertifikate, WLAN und VPN vor breitem ADE-Rollout.Test certificates, Wi-Fi, and VPN before broad ADE rollout.
Dokumentieren Sie Bootstrap-Token- und Recovery-Prozesse.Document bootstrap token and recovery processes.
Berücksichtigen Sie App-Lifecycle und Patch-Management außerhalb klassischer Store-Apps.Consider app lifecycle and patching beyond classic store apps.

PowerShellPowerShell

PowerShell PowerShell

Get-MgDeviceManagementDepOnboardingSetting
Get-MgDeviceManagementManagedDevice -Filter "operatingSystem eq 'macOS'"

App Protection Policies (MAM)App Protection Policies (MAM)

Datenpfadschutz, Zugriffsanforderungen und Conditional Launch definieren, wie Apps mit Copy/Paste, Save As, Backup, PIN, Biometrie und Root/Jailbreak umgehen.Data protection, access requirements, and conditional launch define how apps handle copy/paste, save-as, backup, PIN, biometrics, and root or jailbreak state.

MAM ist oft der BYOD-StandardMAM is often the BYOD standard

Für viele mobile Informationsarbeiter reicht App-Schutz mit CA und genehmigten Apps aus, ohne volles MDM zu verlangen.For many mobile information workers, app protection with CA and approved apps is enough without demanding full MDM.

ThemaTopic	DetailsDetails
Data ProtectionData protection	Copy/Paste, Save As, Backup und Datenexport können granular eingeschränkt werden.Copy/paste, save as, backup, and data export can be restricted granularly.
Access RequirementsAccess requirements	PIN, Biometrie, Betriebssystemstand und App-Version steuern den Zugang.PIN, biometrics, OS level, and app version control access.
Conditional LaunchConditional launch	Max PIN attempts, min OS und Jailbreak/Root definieren Eskalationen.Max PIN attempts, minimum OS, and jailbreak or root status define escalations.
Managed AppsManaged apps	Richtlinien gelten nur für unterstützte oder freigegebene Apps.Policies apply only to supported or approved apps.
Per-App VPNPer-app VPN	Kann MAM-geschützte App-Daten zusätzlich absichern.Can further secure MAM-protected app data.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für App Protection Policies (MAM) dokumentieren.Document prerequisites, roles, and dependencies for App Protection Policies (MAM).
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Formulieren Sie MAM-Richtlinien aus Benutzerperspektive, nicht nur technisch.Write MAM policy descriptions from the user perspective, not just technically.
Pilotieren Sie App Protection mit Outlook, Teams, Edge und Office-Apps gemeinsam.Pilot app protection with Outlook, Teams, Edge, and Office apps together.
Kombinieren Sie MAM mit Conditional Access und Approved Client App sinnvoll.Combine MAM meaningfully with conditional access and approved client app controls.
Dokumentieren Sie Datenpfadgrenzen zwischen managed und unmanaged Apps.Document data boundaries between managed and unmanaged apps.

PowerShellPowerShell

PowerShell PowerShell

Get-MgDeviceAppManagementManagedAppPolicy
Get-MgDeviceAppManagementIosManagedAppProtection

App Configuration PoliciesApp Configuration Policies

Sie unterscheiden zwischen managed devices und managed apps. Typische Anwendungsfälle sind SSO-Parameter, App-Features, Endpunkte oder Per-App-VPN.They differentiate between managed devices and managed apps. Typical use cases include SSO parameters, app features, endpoints, or per-app VPN.

Config ist die UX-SchichtConfig is the UX layer

App-Konfiguration verbindet Security mit Bedienbarkeit und kann den Unterschied zwischen Adoption und Frustration ausmachen.App configuration links security to usability and can make the difference between adoption and frustration.

ThemaTopic	DetailsDetails
Managed DevicesManaged devices	Konfiguration wird an voll eingeschriebene Geräte und Apps gebunden.Configuration is tied to fully enrolled devices and apps.
Managed AppsManaged apps	MAM-Szenarien ohne volles MDM nutzen App-bezogene Konfiguration.MAM scenarios without full MDM use app-based configuration.
Key-Value / XMLKey-value / XML	Je nach App können einfache Paare oder komplexere XML-Strukturen genutzt werden.Depending on the app, simple pairs or richer XML structures can be used.
Per-App VPNPer-app VPN	App-spezifische Tunnel ergänzen Konfiguration und Schutz.App-specific tunnels complement configuration and protection.
Operational fitOperational fit	App-Herstellerdokumentation bleibt die Referenz für gültige Keys.App vendor documentation remains the reference for valid keys.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für App Configuration Policies dokumentieren.Document prerequisites, roles, and dependencies for App Configuration Policies.
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Versionieren Sie App-Konfigurationen und dokumentieren Sie gültige Keys.Version app configurations and document valid keys.
Testen Sie App-Updates gegen bestehende Konfigurationspayloads.Test app updates against existing configuration payloads.
Koordinieren Sie Per-App-VPN mit Netzwerk- und Security-Teams.Coordinate per-app VPN with network and security teams.
Vermeiden Sie unnötig viele kundenspezifische Settings ohne Supportkonzept.Avoid excessive custom settings without a support concept.

PowerShellPowerShell

PowerShell PowerShell

Get-MgDeviceAppManagementTargetedManagedAppConfiguration
Get-MgDeviceAppManagementMobileAppConfiguration

Mobile Compliance PoliciesMobile Compliance Policies

Android kann zusätzlich Google Play Services, SafetyNet oder gleichwertige Attestierung einbeziehen. Compliance ist eine Schlüsselvoraussetzung für CA-basierte App- und Gerätezugriffe.Android can also consider Google Play Services, SafetyNet, or equivalent attestation. Compliance is a key prerequisite for CA-based app and device access.

Mobile Compliance = ZugangsvoraussetzungMobile compliance = access prerequisite

Gerätecompliance sollte so streng sein, dass Risiko reduziert wird, ohne legitime BYOD-Nutzung unnötig zu brechen.Device compliance should be strict enough to reduce risk without unnecessarily breaking legitimate BYOD usage.

ThemaTopic	DetailsDetails
iOS checksiOS checks	Jailbroken, OS Version, Passcode und Device Threat Level sind typische Kriterien.Jailbroken state, OS version, passcode, and device threat level are typical criteria.
Android checksAndroid checks	Root, OS Version, Passcode, Google Play Services und Attestation sind häufig.Root, OS version, passcode, Google Play Services, and attestation are common.
Threat LevelThreat level	Integration mit Mobile Threat Defense kann Compliance verfeinern.Integration with mobile threat defense can refine compliance.
ActionsActions	Nichtkonforme Geräte verlieren Zugriff oder müssen Abhilfe leisten.Noncompliant devices lose access or must remediate.
CA LinkCA link	Conditional Access nutzt Compliance für den produktiven Zugriff.Conditional access uses compliance for production access.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für Mobile Compliance Policies dokumentieren.Document prerequisites, roles, and dependencies for Mobile Compliance Policies.
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Pilotieren Sie Compliance getrennt für Corporate und BYOD.Pilot compliance separately for corporate and BYOD devices.
Erklären Sie, welche Daten Intune auf mobilen Geräten sieht und welche nicht.Explain which data Intune can and cannot see on mobile devices.
Binden Sie Mobile Threat Defense nur mit klarer Nutzerkommunikation ein.Integrate mobile threat defense only with clear user communication.
Dokumentieren Sie Helpdesk-Antworten für häufige Noncompliance-Gründe.Document help desk responses for common noncompliance reasons.

PowerShellPowerShell

PowerShell PowerShell

Get-MgDeviceManagementDeviceCompliancePolicy
Get-MgDeviceManagementManagedDevice -Top 10

Managed App LifecycleManaged App Lifecycle

App-Beschaffung, Lizenzen, Zielgruppen und Ownership-Modelle bestimmen, wie Apps auf Geräte gelangen und wieder entfernt werden.App acquisition, licensing, target groups, and ownership models determine how apps reach devices and how they are removed again.

App Lifecycle braucht OwnershipApp lifecycle needs ownership

Jede mobile Business-App braucht Verantwortliche für Paket, Freigabe, Konfiguration, Update und Retirement.Every mobile business app needs owners for packaging, approval, configuration, update, and retirement.

ThemaTopic	DetailsDetails
Managed Google PlayManaged Google Play	Android-Apps werden über den verwalteten Play Store genehmigt und zugewiesen.Android apps are approved and assigned through the managed Play Store.
VPPVPP	Apple App-Beschaffung und Lizenzverteilung laufen über Apple Business Manager.Apple app acquisition and license distribution run through Apple Business Manager.
Required vs AvailableRequired vs available	Pflichtinstallationen und Self-Service-Kataloge erfüllen unterschiedliche Bedarfe.Mandatory installations and self-service catalogs serve different needs.
AssignmentsAssignments	Geräte- oder Benutzerzuweisung beeinflusst Verhalten und Timing.Device or user targeting influences behavior and timing.
UninstallUninstall	Beim Unenrollment können verwaltete Apps oder geschäftliche Daten entfernt werden.At unenrollment, managed apps or business data can be removed.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für Managed App Lifecycle dokumentieren.Document prerequisites, roles, and dependencies for Managed App Lifecycle.
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Trennen Sie Katalog-Apps von Pflicht-Apps sauber.Separate catalog apps from mandatory apps cleanly.
Dokumentieren Sie, welche Apps beim Unenrollment entfernt werden.Document which apps are removed at unenrollment.
Prüfen Sie App-Lizenzen und Besitzmodelle regelmäßig.Review app licenses and ownership models regularly.
Koppeln Sie App-Rollout mit Support- und FAQ-Materialien.Tie app rollout to support and FAQ materials.

PowerShellPowerShell

PowerShell PowerShell

Get-MgDeviceAppManagementMobileApp
Get-MgDeviceAppManagementVppToken

Conditional Access + MobileConditional Access + Mobile

Gerätebasierter CA und appbasierter CA unterscheiden sich stark. Die Kombination aus App Protection, Compliance und Approved Client Apps ist in BYOD-Szenarien besonders verbreitet.Device-based CA and app-based CA differ significantly. The combination of app protection, compliance, and approved client apps is especially common in BYOD scenarios.

CA-Design pro BesitzmodellCA design by ownership model

Corporate-owned und BYOD sollten nicht identisch behandelt werden, wenn Datenschutz und Benutzererlebnis wichtig sind.Corporate-owned and BYOD should not be treated identically when privacy and user experience matter.

ThemaTopic	DetailsDetails
Require compliant deviceRequire compliant device	Typischer Pfad für Corporate-owned MDM-Szenarien.Typical path for corporate-owned MDM scenarios.
Require app protection policyRequire app protection policy	Wichtig für BYOD ohne volles Device Management.Important for BYOD without full device management.
Approved client appApproved client app	Beschränkt Zugriffe auf unterstützte, gehärtete Apps.Restricts access to supported, hardened apps.
Device vs app basedDevice vs app based	Wahl beeinflusst Datenschutz, Enrollment-Aufwand und Supportmodell.The choice affects privacy, enrollment effort, and support model.
Design GuidanceDesign guidance	Policies sollten nach Plattform, Ownership und Datenrisiko getrennt werden.Policies should be separated by platform, ownership, and data risk.

ImplementierungImplementation

Voraussetzungen, Rollen und Abhängigkeiten für Conditional Access + Mobile dokumentieren.Document prerequisites, roles, and dependencies for Conditional Access + Mobile.
Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.

Betrieb & HinweiseOperations & Notes

Pilotieren Sie mobile CA nicht nur mit Administratoren, sondern mit echten Endanwenderrollen.Pilot mobile CA not only with administrators, but with real end-user roles.
Dokumentieren Sie, welche Apps als approved client app unterstützt werden.Document which apps are supported as approved client apps.
Stimmen Sie CA eng mit App Protection und Compliance ab.Align CA closely with app protection and compliance.
Vermeiden Sie zu viele Policy-Kombinationen ohne klare Namensstandards.Avoid too many policy combinations without clear naming standards.

PowerShellPowerShell

PowerShell PowerShell

Get-MgIdentityConditionalAccessPolicy
Get-MgDeviceAppManagementManagedAppPolicy

Verwandte ReferenzenRelated references

Diese Referenz ergänzt die Intune-Windows-Dokumentation um mobile Plattformen und appbasierten Schutz.This reference complements the Intune Windows guidance with mobile platforms and app-based protection.

Intune ÜbersichtIntune Overview

Basisarchitektur, Scope Tags und Plattformen.Baseline architecture, scope tags, and platforms.

Windows ManagementWindows Management

Autopilot, Win32 und Endpoint Security.Autopilot, Win32, and endpoint security.

Conditional AccessConditional Access

Identitätsgesteuerte Zugriffskontrollen.Identity-driven access controls.