Microsoft bietet mit der Intune Suite ein separates Add-on-Bundle an, um die Grundfunktionen von Microsoft Intune Plan 1, die in Microsoft 365 E3/E5 und EMS enthalten sind, gezielt um erweiterte Sicherheits- und Management-Funktionen zu ergänzen. Der Hauptgrund: Unternehmen haben sehr unterschiedliche Anforderungen an Endpoint Management, von der Basisverwaltung bis hin zu komplexen Zero-Trust-Szenarien. Statt alle Features in ein teures Standardpaket zu packen, ermöglicht Microsoft eine modulare Erweiterung angepasst an die Bedürfnisse der Kunden.
Intune (Plan 1) ist bei meinen Kunden schon sehr weit verbreitet, sei es, um mobile Endgeräte, wie iPhones oder Android Smartphones oder Windows-Devices zu verwalten. Als die Intune Suite vor ca. anderthalb/zwei Jahren announced wurde, habe ich immer wieder bei Pilotprojekten oder Workshops zur Intune Suite von den Kunden erfahren, dass die Bestandteile einen weiteren Nutzen bringen und auch 3rd-Party-Produkte ablösen könnten, jedoch wurde als größte Hürde der Preis genannt. Dabei war es egal, ob wir über einzelne Bestandteile der Suite gesprochen haben (sog. Intune AddOns) oder direkt über die große Suite. Beides war monetär gesehen nicht konkurrenzfähig.
Seit dem Announcement von Microsoft am 04.12.2025 wissen wir jetzt, dass die Intune Suite Bestandteil von verschiedenen M365 Plänen wird!
In diesem Blogbeitrag möchte ich zunächst die Funktionen und Mehrwerte von Intune Suite aufzeigen und darauf aufbauend aufzeigen, was die Integration dieser Funktionen in verschiedene M365 Pläne konkret für die Kunden bedeutet.
| Bestandteil | Funktion |
| Remote Help | Sichere Remote-Support-Lösung für Windows, Mac und mobile Geräte, inkl. Role-Based Access. |
| Advanced Analytics | Proaktive Analyse von Geräte- und App-Daten, Anomalieerkennung, Trendberichte. |
| Microsoft Tunnel for MAM | App-basierter VPN-Zugang für BYOD-Geräte ohne vollständige Geräteverwaltung. |
| Verwaltung und Schutz von Spezialgeräten | Geräte wie Augmented-Reality- und Virtual-Reality-Headsets, Geräte mit großem Smart-Screen und Konferenzraumgeräte. |
| Microsoft Intune-Firmware Over-the-Air-Updates (FOTA) | Remotefirmwareupdates auf unterstützten Geräten. |
| Cloud PKI | Cloudbasierte Zertifikatsverwaltung für Geräte und Benutzer. |
| Endpoint Privilege Management | Ermöglicht kontrollierte, zeitlich begrenzte Erhöhung von Benutzerrechten (Least Privilege). |
| Enterprise App Management | Bereitstellung und automatisierte Updates für Win32-Anwendungen aus einem zentralen Katalog. |
Für Kunden mit EMS E3 oder M365 E3 bedeutet diese Änderung, dass sie in Zukunft die oben genannten blauen Features nutzen können und dürfen, ohne jegliche Mehrkosten! Dies beinhaltet vor allen Dingen „Remote Help“ und „Advanced Analytics“.
Remote Help unterstützt die IT im Supportfall mit einer Lösung, welche cloudbasiert auf nahezu jedem Endgerät funktioniert. Durch die volle Integration in Intune ist auch das Verlassen der Verwaltungsoberfläche (Stichwort: Single Pane of Glas) nicht mehr nötig. Nur die eigentliche Remote-Unterstützung ist app-basiert und dadurch nicht in Intune integrierbar. Microsoft hat auch bereits erwähnt, dass es durchaus sein kann, dass in Windows 11 26H2 die App „Remote Help“ im System integriert ist, so dass auch das Deployment der App entfällt. Zu diesen Mehrwerten kommt dann auch noch der positive monetäre Effekt, da man eine 3rd-Party-Lizenz elimieren kann, wie z.B. Teamviewer.
Advanced Analytics bietet eine Erweiterung der aktuellen Endpoint-Analytics-Fähigkeiten in Intune und ermöglicht dadurch ein proaktives Endpoint Management. Dazu kommen noch eine bessere Report-Funktionalität und tiefere Einblicke in die Gerätelandschaft. Mittels Kusto Query Language (KQL, auch genutzt z.B. im Defender XDR-Bereich) können Administratoren proaktiv Probleme erkennen und beheben, Troubleshooting vereinfachen und damit die End-User-Experience verbessern.
Für Kunden der M365 E5 bedeutet diese Änderung, dass sie in Zukunft auf alle oben genannten Features, inkl. der gelben, zugreifen können. Hervorheben möchte ich hier im Speziellen „Endpoint Privilege Management“, kurz EPM, welches im Rahmen von Microsoft „Secure Future Initiativ“ (SFI) immer wichtiger wird, denn es unterstützt die IT in einer Herausforderung, welche sie schon seit gefühlt einer Ewigkeit begleitet: lokale Administratoren beseitigen!
Die Beseitigung von lokalen Admin-Berechtigungen bedeutet die konsequente Umsetzung des „Least Privilege“-Prinzips. Jeder User soll nur die Berechtigungen erhalten, die er wirklich benötigt. Dafür wird im Zuge des EPM nur das Programm mit elivierten Rechten gestartet, welches der Benutzer benötigt. Ein Entwickler benötigt also in Zukunft nicht mehr lokale Admin-Berechtigungen, sondern im besten Fall nur noch eine Ausführung von Visual Studio Enterprise mit erhöhten Rechten.
Nicht nur die Beseitigung von lokalen Admin-Rechten ist Bestandteil der SFI, sondern auch das Beseitigen von Schwachstellen in Software durch regelmäßige und automatisierte Updates. Dafür gibt es in der Intune Suite, und nun eben auch in der M365 E5-Lizenz, das „Enterprise Application Management“, kurz EAM. Dies ist die Microsoft Lösung für Third-Party-Patch-Management, wie es z.B. Neo42 oder auch PatchMyPC anbieten. Kunden der E5 erhalten also in Zukunft die Möglichkeit, neben Windows, Office, Edge und Treiber auch Applikationen wie Adobe, Firefox etc. zu patchen und aktuell zu halten. Der Softwarekatalog umfasst nicht alle Applikationen, die gerade Enterprise-Kunden benutzen, aber der größte Teil dieser Applikationen sollte abgedeckt sein (Stand Dezember 2025: 933 Applikationen mit verschiedenen Versionen).
Alles in allem werten die Intune Suite Bestandteile jede Intune Umgebung auf. Bisher haben die hohen Kosten die meisten Kunden davon abgehalten, diese AddOns zu testen oder zu pilotieren. Jetzt, mit der Integration der Suite-Bestandteile in die M365 E3 und E5 Lizenzen macht es Microsoft allen Kunden möglich, diese kostenlos zu nutzen.
Wir unterstützen Sie gerne dabei, einen PoC aufzubauen, damit eine Entscheidung getroffen werden kann, ob diese AddOns auch Ihre IT-Landschaft sicherer machen und ob vielleicht das ein oder andere Third-Party-Produkt abgelöst werden kann. Dazu bieten wir im ersten Schritt einen Workshop an, in dem wir Ihnen alle AddOns vorstellen und auch in einer Intune Umgebung die Funktionsweise in einer Demo zeigen.
Kontaktieren Sie uns. Gern unterstützen wir Sie.
Kontaktieren Sie uns. Gern unterstützen wir Sie.
