4 Min. LesezeitDigital Workplace ServicesSecurity

Intune und die KI-Agenten: Wie Agenten ins Endpoint Management Einzug halten

jochen-berners-contact
Jochen BernersPrincipal Consultant Digital Workplace Advisory Software & Cloud
Blog-Intune-KI-Agenten_Adobe-1703802099_SITECORE-blog-hero

Microsoft baut Security Copilot, also die Sicherheits-KI-Lösung, Schritt für Schritt von einer rein assistiven Oberfläche zu einer agentischen Sicherheitsplattform aus. In Microsoft Intune zeigt sich dieser Wandel besonders greifbar: Statt nur Informationen zusammenzufassen, übernehmen spezialisierte Agents klar umrissene Aufgaben im Administrationsalltag, liefern Empfehlungen und bereiten konkrete Aktionen vor. Damit wird Intune nicht nur effizienter, sondern auch konsistenter in sicherheitsrelevanten Prozessen.

Der entscheidende Unterschied: Diese Agents arbeiten direkt im Kontext des Intune Admin Centers, greifen auf vorhandene Sicherheits- und Verwaltungssignale zu und unterstützen Administratoren mit einer Mischung aus Analyse, Priorisierung und vorbereiteten Handlungsvorschlägen. Microsoft beschreibt diesen Ansatz als ein Zusammenspiel aus beobachten, begründen und handeln, allerdings weiterhin mit administrativer Aufsicht und Freigabe. Genau das macht den Einsatz in regulierten oder sicherheitskritischen Umgebungen, wie z. B. den Öffentlichen Dienst in Deutschland, besonders interessant.

Der Beitrag zeigt, welche Security Copilot Agents in Microsoft Intune verfügbar sind, wie sie Administratoren im Endpoint Management unterstützen und welche Voraussetzungen Unternehmen für den sinnvollen Einsatz beachten sollten.

Welche Security Copilot Agents gibt es in Microsoft Intune und wofür werden sie eingesetzt?

Aktuell nennt Microsoft vier spezialisierte Security Copilot Agents für Intune. Sie adressieren unterschiedliche Aufgabenbereiche, von Genehmigungsprozessen über Gerätebereinigung bis hin zu Richtlinienerstellung und Schwachstellenbehebung. Gemeinsam ist ihnen, dass sie keine „Black Box“ sein sollen: Sie liefern Kontext, Empfehlungen und vorbereitete Ergebnisse, während die finale Entscheidung beim Administrator bleibt.

Die Security Copilot Agents im Überblick

Agent Kurzbeschreibung Datenquellen / Signale Ausgabe Status / Hinweis
Change Review Agent Bewertet Multi-Admin-Approval-Anfragen für PowerShell-Skripte auf Windows-Geräten. Intune, Entra ID, Defender Vulnerability Management Risikobasierte Empfehlung: Genehmigen/Ablehnen Public Preview
Device Offboarding Agent Identifiziert veraltete oder nicht konsistente Geräteobjekte zwischen Intune und Entra ID. Intune, Entra ID Offboarding-Vorschläge mit Admin-Freigabe Seit 1. Juni 2026 nicht mehr verfügbar
Policy Configuration Agent Übersetzt Dokumente oder Anforderungen in passende Einstellungen aus dem Intune Settings Catalog. Dokumente / Benchmarks, Intune Settings Catalog Richtlinienvorschläge und Policy-Erstellung Windows
Vulnerability Remediation Agent Priorisiert CVEs auf verwalteten Geräten und leitet passende Remediation-Schritte in Intune ab. Defender Vulnerability Management, Intune Priorisierte Behebungsmaßnahmen mit Schritt-für-Schritt-Hinweisen Public Preview

Gemeinsame Voraussetzungen: Intune Plan 1 • Microsoft Security Copilot • ausreichende Security Compute Units (SCUs) • rollenbasierter Zugriff mit minimal nötigen Berechtigungen.

Die Security Copilot Agents im Detail

1. Change Review Agent

Der Change Review Agent unterstützt bei der Bewertung von Genehmigungsanforderungen in Intune. Besonders relevant ist dies dort, wo Änderungen nicht einfach „durchgewunken“ werden sollen, etwa bei sensiblen Konfigurationsänderungen oder im Umfeld von Multi-Admin-Approval-Prozessen. Der Agent bewertet die voraussichtlichen Auswirkungen einer Anforderung und gibt eine Empfehlung dazu, welche Aktion sinnvoll erscheint.

Der Mehrwert liegt vor allem in der schnelleren Einordnung von Risiken: Statt jede Änderung manuell in mehreren Konsolen oder Richtlinienebenen nachvollziehen zu müssen, erhalten Admins eine verdichtete Bewertung mit Begründung. Das spart Zeit, verbessert die Nachvollziehbarkeit von Entscheidungen und kann helfen, menschliche Fehlentscheidungen bei Routinefreigaben zu reduzieren.

Ein Szenario, wo Multi-Admin-Approval und damit auch der Change Review Agent in letzter Zeit geholfen hätten, wäre z. B. der sog. „Stryker-Angriff“ gewesen.

2. Device Offboarding Agent

Der Device Offboarding Agent kümmert sich um ein Thema, das in vielen Umgebungen unnötig viel Zeit kostet: veraltete, inaktive oder nicht mehr konsistente Geräteobjekte. Der Agent identifiziert Geräte, die zwischen Intune und Microsoft Entra ID nicht mehr sauber zueinander passen, und bereitet konkrete Maßnahmen für ein kontrolliertes Offboarding vor.

Gerade in großen oder historisch gewachsenen Mandanten ist das ein echter Mehrwert. „Staled Devices“ verfälschen Berichte, erschweren Compliance-Auswertungen und können Sicherheitsprozesse verwässern, wenn man statt 30.000 Geräten im Entra ID weit mehr als 100.000 Geräte vorfindet. Ein Agent, der solche Inkonsistenzen sichtbar macht und nur nach administrativer Freigabe aktiv wird, bringt Ordnung in den Gerätebestand, ohne die Kontrolle aus der Hand zu geben. Microsoft hebt dabei ausdrücklich hervor, dass vor einem Offboarding weiterhin eine Administratorgenehmigung erforderlich ist.

Dieser Agent ist seit dem 01. Juni 2026 nicht mehr verfügbar (deprecated), soll hier aber für das Schaffen von eigenen Agenten als Beispiel dienen.

3. Policy Configuration Agent

Jeder Intune-Admin wird diesen Satz kennen: „Erstelle mir bitte eine Intune Policy mit den Richtwerten des BSI aus Vorgabe XY“.

Aus diesem Grund dürfte der Policy Configuration Agent für viele Intune-Teams einer der spannendsten Agenten sein. Sein Ziel ist es, Anforderungen – etwa aus internen Sicherheitsstandards, Audit-Vorgaben oder Best-Practice-Dokumenten – in konkrete Intune-Einstellungen zu übersetzen. Dafür können Dokumente importiert oder Anforderungen in natürlicher Sprache beschrieben werden. Der Agent sucht anschließend passende Einträge im Settings Catalog und schlägt sinnvolle Werte vor.

Das ist deshalb so relevant, weil die Übersetzung von Anforderungen in Intune heute oft ein Mix aus Erfahrung, Dokumentationsarbeit und Trial-and-Error ist. Der Agent kann diesen Schritt deutlich beschleunigen und hilft dabei, Policy-Design stärker zu standardisieren. Besonders für Organisationen mit klaren Compliance-Vorgaben oder wiederkehrenden Baseline-Projekten ist das ein vielversprechender Ansatz: weniger Suchaufwand, schnellere Policy-Erstellung und eine konsistentere Umsetzung von Standards.

4. Vulnerability Remediation Agent

Mit dem Vulnerability Remediation Agent rückt die Verbindung zwischen Sicherheitsanalyse und Endpoint-Management noch stärker in den Fokus. Der Agent nutzt Daten aus Microsoft Defender, um Schwachstellen zu beobachten, Risiken zu priorisieren und passende Remediation-Schritte vorzuschlagen. Damit schließt er eine Lücke, die viele Teams aus dem Alltag kennen: Sicherheitsdaten sind zwar vorhanden, aber die operative Umsetzung in konkrete Intune-Maßnahmen braucht oft mehrere manuelle Zwischenschritte.

Genau hier setzt der Agent an: Er priorisiert nicht nur technische Findings, sondern macht sie für das Endpoint-Management handhabbar. So können Admin- und Security-Teams schneller entscheiden, welche Risiken zuerst adressiert werden sollen, und wie sich konkrete Maßnahmen in Intune daraus ableiten lassen. In Umgebungen mit hoher Gerätezahl und kontinuierlichem Patch- oder Hardening-Bedarf kann das die Reaktionszeit auf sicherheitsrelevante Befunde deutlich verkürzen.

Hierfür wird zusätzlich zu den o.g. Lizenzen noch das Defender Vulnerability AddOn benötigt.

Welche Security-Copilot-Funktionen in Microsoft Intune sind keine Agents?

Device Query in Microsoft Intune ist eine Abfragefunktion, mit der Administratoren auf einem einzelnen Windows-Gerät in Echtzeit Informationen abfragen können, z. B. laufende Dienste, Registry-Werte, installierte App-Versionen oder Prozesse. Die Abfragen werden mit Kusto Query Language (KQL) ausgeführt; Intune sendet die Anfrage direkt an das Gerät und erwartet eine unmittelbare Antwort. Das eignet sich besonders für Troubleshooting, Security-Analysen und schnelle Supportentscheidungen. Microsoft beschreibt Device Query als Möglichkeit, „on-demand“ den Zustand eines Windows-Geräts zu ermitteln.

Multi Device Query bzw. Device Query for Multiple Devices erweitert dieses Prinzip auf die gesamte Geräteflotte. Statt ein einzelnes Gerät live zu befragen, werden KQL-Abfragen gegen bereits gesammelte Device-Inventory-Daten ausgeführt. Damit lassen sich Trends, Muster und Auffälligkeiten über viele verwaltete Geräte hinweg erkennen, etwa Betriebssystemstände, Hardwareeigenschaften, fehlende Inventardaten oder bestimmte Konfigurationszustände. Microsoft positioniert diese Funktion ausdrücklich für Abfragen über Inventory-Daten und zur Analyse der verwalteten Geräteflotte.

Der zentrale Unterschied liegt also in Echtzeit vs. Flottenanalyse: Device Query liefert Live-Daten von einem konkreten Gerät, während Multi Device Query auf gespeicherten Inventardaten über mehrere Geräte basiert. Praktisch heißt das: Für ein akutes Ticket auf einem bestimmten Gerät ist Device Query passend; für Fragen wie „Welche Geräte haben Version X?“, „Wo fehlt Eigenschaft Y?“ oder „Welche Gerätegruppen zeigen ein bestimmtes Muster?“ ist Multi Device Query der richtige Ansatz.

Welche Mehrwerte bieten Device Query und Multi Device Query für Administratoren?

  • Schnelleres Troubleshooting: L1/L2-Teams können viele Prüfungen durchführen, ohne sofort eine Remote-Session zu starten, z. B. Dienststatus, App-Versionen oder Konfigurationswerte prüfen.
  • Bessere Flottentransparenz: Multi Device Query hilft, Muster über viele Geräte hinweg zu erkennen, z. B. Abweichungen bei OS-Versionen, Hardwareständen oder Inventory-Eigenschaften.
  • Gezieltere Security- und Compliance-Analysen: Administratoren können schneller identifizieren, welche Geräte potenziell betroffen sind, statt manuell Berichte oder Exporte zusammenzuführen.
  • Standardisierte Supportprozesse: Wiederkehrende KQL-Abfragen können als gespeicherte Queries oder Knowledge-Base-Bausteine genutzt werden, sodass Supportteams konsistenter arbeiten.
  • Weniger Benutzerunterbrechung: Viele Diagnosefragen lassen sich beantworten, ohne den Endanwender direkt einzubeziehen oder eine Sitzung auf dem Gerät zu übernehmen.
  • Bessere Entscheidungsgrundlage: Multi Device Query liefert übergreifende Datenpunkte für operative Entscheidungen, etwa Rollout-Wellen, Remediation-Priorisierung oder Hardware-/OS-Lifecycle-Planung.

Das Schöne an Device Query und Multi Device Query: auch Nicht-KQL-Experten bekommen so die Möglichkeit, diese Abfragesprache zu nutzen, ohne diese zu erlernen. Und falls man sie erlernen möchte, unterstützte DQ/MDQ sie darin.

Was sollten Unternehmen vor dem Einsatz von Security Copilot Agents in Intune beachten?

So vielversprechend die Agenten sind: ihr Nutzen hängt stark davon ab, wie gut Sicherheits-, Rollen- und Betriebsmodelle im Tenant bereits aufgestellt sind. Microsoft nennt als Voraussetzungen unter anderem verfügbare Security Compute Units (SCU, in M365 E5 inkludiert seit 01.07.2026), die Aktivierung von Security Copilot sowie den Einsatz passender Rollen mit minimal nötigen Berechtigungen. Zudem ist wichtig, dass Unternehmen den Umgang mit Datenschutz und Datensicherheit im Kontext von Security Copilot vorab sauber bewerten.

Für die Praxis bedeutet das: Agenten entfalten ihren größten Mehrwert dort, wo Prozesse bereits definiert sind, etwa bei Freigaben, Policy-Standards, Vulnerability-Triage oder Device Lifecycle Management. Sie ersetzen keine Governance, sondern machen sie skalierbarer, sie ersetzen auch kein Troubleshooting, machen es aber auch weniger zeitintensiv. Wer heute noch mit uneinheitlichen Rollenmodellen, lückenhafter Dokumentation oder unklaren Betriebsverantwortlichkeiten arbeitet, sollte diese Grundlagen zuerst schärfen, bevor Agenten in kritische Prozesse eingebunden werden.

Und genau dort setzen wir als SoftwareOne an: wir unterstützen Sie bei einem Intune-Review, wo wir uns gemeinsam Ihre Umgebung anschauen und Verbesserungspotenzial aufzeigen. Wir zeigen Ihnen darüber hinaus, welche Möglichkeiten man hat, eigene Agenten zu kreieren. 

Auch können wir Sie allgemeiner mit unserem „Security Copilot Advisory“ im Security Copilot-Umfeld unterstützen und Ihnen zeigen, wie Sie effektiv und effizient die Mehrwerte nutzen können.

FAQ: Häufige Fragen zu Security Copilot Agents in Microsoft Intune

Was sind Security Copilot Agents in Microsoft Intune?
Security Copilot Agents sind spezialisierte Funktionen innerhalb von Intune, die administrative Aufgaben unterstützen. Sie analysieren vorhandene Daten, liefern Empfehlungen und bereiten konkrete Maßnahmen vor, während Entscheidungen weiterhin durch Administratoren getroffen werden.

Welche Aufgaben übernehmen die Agents in Intune konkret?
Die Agents decken unterschiedliche Bereiche ab, von der Bewertung von Änderungen über das Erkennen von Inkonsistenzen bei Geräten bis hin zur Erstellung von Richtlinien und der Priorisierung von Schwachstellen. Ziel ist es, typische Abläufe im Endpoint Management zu strukturieren und zu beschleunigen.

Was braucht man, um Security Copilot Agents in Intune nutzen zu können?
Voraussetzungen sind unter anderem eine passende Intune-Lizenz, aktivierter Security Copilot, verfügbare Compute-Ressourcen sowie ein klar definiertes Rollen- und Berechtigungskonzept. Besonders wirksam sind die Agents in Umgebungen mit bereits etablierten Prozessen.

Blog-Intune-KI-Agenten_Adobe-1703802099_SITECORE-cta-banner

Sie wünschen sich Beratung zu Intune und KI-Agenten?

Unser Experten-Team steht Ihnen zu allen Fragen rund um das Thema sowie einem konkreten Intune-Review zur Verfügung.

Sie wünschen sich Beratung zu Intune und KI-Agenten?

Unser Experten-Team steht Ihnen zu allen Fragen rund um das Thema sowie einem konkreten Intune-Review zur Verfügung.

Autor

jochen-berners-contact

Jochen Berners
Principal Consultant Digital Workplace Advisory Software & Cloud