Glossar

Filtermechanismus in Intune, der es erlaubt, Richtlinien oder Apps innerhalb einer Gruppe gezielt auf bestimmte Geräte anzuwenden, basierend auf Eigenschaften wie OS-Version oder Architektur.

Funktion, bei der sich ein Windows-Gerät automatisch mit einem vordefinierten Benutzer anmeldet. Wird häufig in Kiosk- oder Shared-Device-Szenarien verwendet.

Richtlinie, die definiert, wann ein Gerät als konform gilt (z.B. BitLocker aktiv, Mindestversion des OS). Der Compliance-Status wird in Conditional Access verwendet, um Zugriff auf Ressourcen zu erlauben oder zu blockieren.

Zentrales Steuerungsinstrument für Zugriff auf Ressourcen. Entscheidungen basieren auf Bedingungen wie Gerätecompliance, Standort oder MFA und bestimmen, ob Zugriff erlaubt, blockiert oder eingeschränkt wird.

Sammlung von Geräteeinstellungen in Intune, die auf Benutzer oder Geräte angewendet werden, z.B. WLAN, VPN, Zertifikate oder Betriebssystemeinstellungen. Grundlage für die technische Umsetzung von Unternehmensstandards.

Windows-Sicherheitsfeature, das Anmeldeinformationen in einer isolierten Umgebung schützt und verhindert, dass Angreifer Zugriff auf sensible Daten wie NTLM-Hashes erhalten.

Technische Schnittstellen in Windows, über die MDM-Lösungen Einstellungen konfigurieren. Jeder CSP repräsentiert einen bestimmten Bereich wie BitLocker, WLAN oder Firewall.

Konfiguration in Intune, die steuert, wie ein Gerät während des Autopilot-Prozesses eingerichtet wird, z.B. Join-Typ (Entra Join), Benutzerinteraktion, Namenskonventionen und UI-Verhalten während der OOBE.

Prüflogik in Intune, mit der festgestellt wird, ob eine App auf einem Gerät bereits installiert ist. Detection Rules sind besonders bei Win32 Apps zentral, damit Installationen korrekt erkannt, erneut ausgelöst oder als erfolgreich bewertet werden können.

Gruppe in Entra ID, deren Mitgliedschaft automatisch über Regeln gesteuert wird, z.B. basierend auf Geräteeigenschaften. Grundlage für skalierbare und automatisierte Zuweisungen.

Konfigurationskomponente von Autopilot, die während der OOBE einen Fortschrittsbildschirm anzeigt und optional verhindert, dass Benutzer den Desktop erreichen, bevor kritische Apps und Richtlinien vollständig installiert sind.

Cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Zentrale Instanz für Benutzer, Gruppen, Geräte und Authentifizierung in modernen Microsoft-Umgebungen.

Ein frei definierbares Attribut (OrderID), das beim Import eines Geräts in Windows Autopilot gesetzt wird. Es wird in Entra ID über device.devicePhysicalIds gespeichert und dient als zentrale Grundlage für dynamische Gerätegruppen und automatisierte Zuweisungen von Profilen, Apps und Richtlinien.

Gerätezustand, bei dem ein Gerät sowohl im lokalen Active Directory als auch in Entra ID registriert ist. Häufig in Übergangsszenarien zwischen klassischer und moderner Verwaltung.

Client-Komponente auf Windows-Geräten, die Win32 Apps, PowerShell-Skripte und Remediations ausführt. Essenziell für erweiterte Intune-Funktionalitäten außerhalb klassischer MDM-Richtlinien.

Jamf-Komponente für macOS-Anmeldung mit Cloud-Identitäten wie Microsoft Entra ID. Sie übernimmt den Login gegen den Identity Provider, erstellt oder verknüpft lokale Benutzerkonten und kann den Passwortzustand zwischen Cloud und lokalem Account synchronisieren.

Zentrale Verwaltungsplattform von Jamf für Apple-Geräte. Jamf Pro steuert Enrollment, Paketverteilung, Richtlinien und Konfigurationsprofile für macOS-, iOS-, iPadOS- und tvOS-Geräte.

Security-Produkt von Jamf für Apple-Endgeräte mit Fokus auf Erkennung, Telemetrie und Reaktion auf Bedrohungen. Es ergänzt das Geräte-Management um Sicherheitsanalysen und hilft, verdächtige Aktivitäten auf Macs sichtbar zu machen.

Gerät, das auf eine oder wenige Anwendungen beschränkt ist. Wird häufig für Terminals, Displays oder spezialisierte Arbeitsplätze eingesetzt.

Mechanismus zur automatischen Rotation des lokalen Administrator-Passworts auf Geräten. Passwörter werden sicher in Entra ID oder Active Directory gespeichert und reduzieren das Risiko von lateralen Bewegungen bei Angriffen.

Zentraler Windows-Prozess für Authentifizierung und Sicherheitsrichtlinien. Ziel vieler Angriffe, da hier Anmeldeinformationen verarbeitet werden.

Konzept und Protokoll zur zentralen Verwaltung von Endgeräten. Intune nutzt MDM, um Einstellungen, Richtlinien und Sicherheitskonfigurationen direkt auf Geräte anzuwenden.

Sicherheitsverfahren, bei dem ein Benutzer seine Identität über mindestens zwei unabhängige Faktoren nachweisen muss (z.B. Passwort + Authenticator App). In Entra ID zentral über Conditional Access oder Security Defaults steuerbar.

Enterprise-Plattform für Endpoint Detection and Response (EDR). Erkennt, analysiert und reagiert auf Bedrohungen auf Endgeräten und ist zentraler Bestandteil moderner Sicherheitsarchitekturen.

Zentrale REST-API für den Zugriff auf Microsoft 365, Entra ID und Intune. Hauptschnittstelle für Automatisierungen, Integrationen und eigene Tools.

Microsofts zentrale Cloud-Plattform für modernes Endpoint Management. Intune ersetzt zunehmend klassische On-Prem-Ansätze wie GPOs oder SCCM und ermöglicht die Verwaltung, Absicherung und Konfiguration von Geräten über das Internet.

Sicherheitsfunktion in Intune, bei der besonders kritische Änderungen oder Aktionen erst nach Freigabe durch ein zweites berechtigtes Admin-Konto wirksam werden. Sie dient dazu, riskante Einzelaktionen wie Änderungen an Rollen, Policies oder bestimmten Device Actions per Vier-Augen-Prinzip abzusichern.

Die initiale Einrichtungsphase eines Windows-Geräts nach dem ersten Start. In dieser Phase greift Autopilot ein und steuert Anmeldung, Gerätebindung an Entra ID sowie die Intune-Enrollment-Prozesse.

Offener Identitätsstandard auf Basis von OAuth 2.0, mit dem Anwendungen Benutzer authentifizieren und standardisierte Claims über deren Identität erhalten. In Entra-ID- und Jamf-Connect-Szenarien bildet OIDC meist die Grundlage für den Login-Flow.

Zustand, bei dem das lokale Gerätepasswort nicht mehr mit dem Kennwort des angebundenen Cloud- oder Verzeichnis-Kontos übereinstimmt. In Jamf-Connect-Szenarien führt das oft zu Anmeldeproblemen, Keychain-Konflikten oder zusätzlichem Supportaufwand nach Passwortwechseln.

Framework für strukturierte und wiederverwendbare Softwareverteilung über PowerShell. Wird häufig in Kombination mit Win32 Apps verwendet, um Installationen, User-Interaktion, Logging und Fehlerhandling standardisiert umzusetzen.

Kommandozeilentool zur Registrierung von COM-Komponenten in Windows. Wird häufig bei der Installation oder Fehlerbehebung von Systemkomponenten genutzt.

Mechanismus in Intune, bei dem ein Erkennungsskript einen Zustand prüft und ein zweites Skript diesen bei Bedarf korrigiert. Wird genutzt für Szenarien, die nicht über Standard-Richtlinien abgebildet werden können.

Mechanismus in Intune zur administrativen Segmentierung von Objekten wie Policies, Apps oder Geräten. Scope Tags steuern vor allem, welche Admins bestimmte Objekte sehen und verwalten können, und sind damit wichtig für Delegation und Betriebsmodelle in größeren Umgebungen.

Vordefinierte Sammlung von Sicherheitseinstellungen basierend auf Microsoft Best Practices. Dient als schneller Einstieg in eine gehärtete Konfiguration ohne jede Einstellung einzeln definieren zu müssen.

Gerät, das von mehreren Benutzern genutzt wird und speziell für schnelle Benutzerwechsel sowie automatisches Aufräumen von Daten konfiguriert ist.

Authentifizierungsverfahren, bei dem sich ein Benutzer einmal anmeldet und anschließend Zugriff auf mehrere Dienste erhält, ohne sich erneut authentifizieren zu müssen.

Überprüfung eines Authentifizierungs-Tokens auf Gültigkeit, Signatur und Ablaufzeit. Grundlage für sicheren Zugriff auf geschützte Ressourcen.

App-Typ in Intune für klassische Windows-Installer (EXE/MSI). Wird als .intunewin-Paket bereitgestellt und unterstützt Erkennungsregeln, Abhängigkeiten und Anforderungen für kontrollierte Deployments.

Microsoft-Service zur automatisierten Verwaltung von Windows- und Microsoft-Updates. Nutzt vordefinierte Update-Ringe und reduziert manuellen Aufwand für Patch-Management erheblich.

Microsofts Deployment-Technologie für die initiale Einrichtung von Windows-Geräten über das Internet. Geräte werden ohne Imaging direkt mit Intune verbunden und erhalten während der Ersteinrichtung automatisch alle definierten Richtlinien, Apps und Konfigurationen.

Deployment-Ansatz, bei dem ein Gerät direkt an den Endnutzer ausgeliefert wird und sich ohne manuellen IT-Eingriff am Gerät selbst konfiguriert, sobald eine Internetverbindung besteht.

Sicherheitsmodell, das grundsätzlich keinem Benutzer, Gerät oder Netzwerk vertraut. Jeder Zugriff wird anhand mehrerer Signale (Identität, Gerätestatus, Standort, Risiko) überprüft – unabhängig davon, ob er intern oder extern erfolgt.