Ausgangslage
Das Unternehmen betrieb bislang eine rein lokale IT-Infrastruktur auf Basis eines klassischen Active Directory (AD). Sämtliche Endgeräte waren ausschließlich in die On-Premises-lokale Domäne eingebunden und wurden dort verwaltet. Als Antivirenlösung kam ein zentral administriertes Drittanbieterprodukt zum Einsatz.
Im Rahmen des Projekts wurde die strategische Neuausrichtung der Endpoint-Sicherheit und -Verwaltung angestoßen: Ziel war die Migration auf Microsoft Defender for Endpoint (MDE) sowie die Überführung der bestehenden Geräte in eine Hybrid-Azure-AD-Joined-Umgebung. Auf diese Weise sollte die Grundlage für ein modernes, zukunftsfähiges Endpoint-Management über Microsoft Intune geschaffen werden.
Strategische Schritte zur zukunftsfähigen Client Verwaltung mit Microsoft Intune
1.
Sicherstellung einer unterbrechungsfreien Migration
Die Umstellung von der lokalen AD-Struktur auf eine Hybrid- und perspektivisch vollständige Cloud-Integration ohne nennenswerte Betriebsunterbrechungen.
2.
Integration in eine Hybrid EntraID-Umgebung
Alle Endgeräte sollten schrittweise in eine hybride EntraID - Joinedverwaltete -Struktur überführt werden, um eine moderne Identitäts- und Geräteverwaltung zu gewährleisten.
3.
Ablösung der bestehenden Drittanbieter-Antivirensoftware
Ziel war es, die bisher eingesetzte Antivirenlösung vollständig durch Microsoft Defender for Endpoint zu ersetzen und zentral in die Microsoft Security Suite zu integrieren.
4.
Aufbau einer zukunftsfähigen Endpoint-Management-Struktur
Die technische Architektur sollte so gestaltet sein, dass langfristig ein ganzheitliches und cloudbasiertes Management über Microsoft Intune ermöglicht wird.
Cloudverve: maßgeschneiderte Cloud-Lösungen
1. Vorbereitung und Hybrid Join
In dieser Phase wurden die technischen Grundlagen für die Cloud-Anbindung geschaffen.Durch die Synchronisierung via EntraID Connect und die Aktivierung des Hybrid Join per GPO-Gruppenrichtlinie registrierten sich alle Windows-Geräte automatisch in Entrindend und sind fortan sowohl lokal als auch online durch EntraID verwaltet. Die gestaffelte Umsetzung über mehrere Wochen stellt Stabilität sicher und ermöglicht eine gezielte Fehleranalyse.
2. Intune-Onboarding
Nach erfolgreichem Hybrid Join aller Geräte wurden über eine zusätzliche Gruppenrichtlinie das automatische Intune-Onboarding initiiert und damit die Mobile Device Management (MDM)- Registrierung in Microsoft Intune eingerichtet. Fortan können Richtlinien, Anwendungen und sicherheitsrelevante Konfigurationen zentral und cloudbasiert verwaltet werden. Die Registrierung erfolgte kontrolliert und wird kontinuierlich über das Intune Admin Center überwacht, um Geräte mit Authentifizierungs-, Registrierungsproblemen oder veralteten Windows-Versionen gezielt zu identifizieren und in einen konformen Compliancestatus zu überführen.
3. Bereitstellung von Microsoft Defender for Endpoint
Mit der Intune-Integration begann die Einführung von Microsoft Defender for Endpoint. Zunächst im passiven Modus betrieben, wurde nach der Deinstallation der bestehenden Antivirensoftware nahtlos in den aktiven Schutz gewechselt. Die kontinuierliche Überwachung der Telemetriedaten stellt sicher, dass alle Endgeräte korrekt angebunden sind.
4. Sicherheitsrichtlinien und Härtung
Nach Aktivierung von Microsoft Defender erfolgte die gezielte Anhebung des Sicherheitsniveaus durch Sicherheitsrichtlinien (Security Baselines) und Attack Surface Reduction-Regeln. Makro- und Skriptbeschränkungen, Credential-Schutz sowie die Überwachung sensibler Systemaktivitäten erhöhen die Resilienz der Infrastruktur. Alle Maßnahmen wurden zunächst im Audit-Modus getestet, um kontinuierliche Produktivität und Sicherheit in Einklang zu bringen.
5. Serverintegration über Azure ARC und Defender for Cloud
Nach der vollständigen Integration der Endgeräte wurden auch Windows Server in Microsoft Defender for Endpoint eingebunden. Da sowohl On-Premises-Systeme als auch Azure-VMs betroffen waren, erfolgte das Onboarding über Azure ARC. Hierüber wurden die Windows Server mit Defender for Cloud verbunden und Defender for Endpoint automatisiert über die integrierte MDE-Erweiterung bereitgestellt. Dadurch wird ein zentrales Monitoring aller Clients und Server im Microsoft 365 Security Portal ermöglicht.
Die Projektergebnisse im Überblick
Alle Windows-Clients sind Hybrid EntraID Joined und vollständig in Microsoft Intune verwaltet.
Das bisher eingesetzte Antivirenprogramm wurde vollständig durch Microsoft Defender for Endpoint ersetzt.
Einheitliche Sicherheitsrichtlinien, Attack Server Reduction (ASR) -Regeln sowie die Cloud-Integration erhöhen das Schutzniveau signifikant.
Die Verwaltung und Transparenz im Endpoint- und Serverbereich wurden zentralisiert.
Das Unternehmen ist strategisch auf eine zukünftige Cloud-only-Geräteverwaltung mit Microsoft Intune vorbereitet.
Fazit
Das Projekt markiert einen entscheidenden Schritt in der Modernisierung der Geräteverwaltung und Sicherheitsarchitektur des Kunden. Durch den strukturierten, schrittweisen Übergang vom klassischen lokalen Active Directory über EntraID Hybrid Join bis hin zur umfassenden Microsoft Intune-Integration konnte die Transformation stabil und ohne Betriebsunterbrechungen realisiert werden.
Microsoft Defender for Endpoint bildet nun das zentrale Sicherheitsfundament für sämtliche Endgeräte und Server und ist vollständig in die Microsoft Security Suite integriert. Damit verfügt das Unternehmen über eine zukunftsfähige, skalierbare und ganzheitlich verwaltete Sicherheitsarchitektur – umgesetzt von Cloudverve.
