Cloud Lösungen für KMU | VistaSys AG

Menü
Remote-Support
Von /

Sicherheit in Microsoft Intune erhöhen: Warum Multi-Admin Approval heute unverzichtbar ist

Ein reales Beispiel: Wenn ein Angriff tausende Geräte lahmlegt

Im März 2026 sorgte ein Cyberangriff auf den Medizintechnik-Konzern Stryker weltweit für Schlagzeilen. Eine Hackergruppe behauptete, mehr als 200.000 Geräte und Systeme gelöscht zu haben. Die Auswirkungen waren gravierend: Am Standort Cork in Irland mussten über 5.000 Mitarbeitende nach Hause geschickt werden, weil Systeme nicht mehr verfügbar waren. (Quelle: Link)

 

Auch wenn viele Details des Angriffs noch untersucht werden, zeigt der Vorfall ein zentrales Risiko moderner IT-Infrastrukturen:

Wenn ein Angreifer Zugriff auf eine Geräteverwaltung oder ein Administrator-Konto erhält, kann er im schlimmsten Fall tausende Geräte gleichzeitig löschen oder ausser Betrieb setzen.

Gerade Plattformen wie Microsoft Intune, die Geräte zentral verwalten können, sind extrem leistungsfähig – und genau deshalb müssen sie besonders gut abgesichert werden.

Intune Multi Admin Approval

Microsoft Intune: Leistungsstark – aber auch kritisch für die Sicherheit

Microsoft Intune ist heute ein zentraler Bestandteil moderner Endpoint-Management-Strategien. Unternehmen können damit:

  • Geräte konfigurieren

  • Sicherheitsrichtlinien durchsetzen

  • Anwendungen verteilen

  • Geräte zurücksetzen oder löschen

  • Geräte aus der Verwaltung entfernen

 

Diese Funktionen sind essenziell für den Betrieb, bergen jedoch auch Risiken. Besonders kritisch sind Aktionen wie:

  • Device Wipe (komplette Löschung eines Geräts)

  • Device Retire

  • Script Deployments

  • App Deployments

Ein einziger Administrator – oder ein kompromittiertes Admin-Konto – könnte theoretisch solche Aktionen auslösen

Die Lösung: Multi-Admin Approval in Microsoft Intune

Eine effektive Schutzmassnahme ist Multi-Admin Approval (MAA) in Microsoft Intune.

Dabei handelt es sich um eine Sicherheitsfunktion, die für bestimmte kritische Aktionen eine zweite Administrator-Freigabe verlangt. Änderungen werden erst umgesetzt, wenn ein weiterer Administrator diese bestätigt hat. Technisch basiert das auf dem bekannten Vier-Augen-Prinzip.

 

Das bedeutet:

  1. Administrator A startet eine Änderung oder Aktion

  2. Die Änderung wird zur Genehmigung zurückgehalten

  3. Administrator B muss die Aktion genehmigen

  4. Erst danach wird sie ausgeführt

 

Diese Mechanik schützt Unternehmen vor:

  • kompromittierten Administrator-Konten

  • versehentlichen Fehlkonfigurationen

  • massiven Betriebsstörungen

  • internen Sicherheitsrisiken

Die Funktion kann für verschiedene Intune-Ressourcen aktiviert werden, darunter Apps, Scripts und Device Actions wie Wipe oder Retire.

Warum Multi-Admin Approval besonders wichtig ist

Multi-Admin Approval adressiert mehrere reale Sicherheitsrisiken:

 

1. Schutz vor kompromittierten Admin-Konten: Wenn ein Angreifer ein Administrator-Konto übernimmt, kann er ohne zusätzliche Kontrollen massive Schäden verursachen. MAA verhindert dies, da eine zweite Freigabe notwendig ist.

2. Vermeidung von Administrator-Fehlern: Selbst erfahrene Administratoren können Fehler machen. Ein versehentlich ausgelöster Device Wipe kann hunderte Geräte löschen.

3. Verbesserte Compliance: Das Vier-Augen-Prinzip ist in vielen Sicherheitsframeworks und Standards üblich.

4. Mehr Transparenz: Alle Genehmigungen werden protokolliert, wodurch eine bessere Nachvollziehbarkeit entsteht.

Umsetzung von Multi-Admin Approval in Microsoft Intune – in a nutshell

Die Aktivierung von Multi-Admin Approval (MAA) in Microsoft Intune ist technisch einfach umgesetzt und erhöht die Sicherheit kritischer Aktionen deutlich.

1. Erstellen der Multi-Admin Approval (MAA) Policy

Microsoft Intune Admin Center Multi-Admin Approval Konfiguration für Scripts, Device Wipe, Device Retire und AppsMulti-Admin Approval im Intune Admin Center aktivieren
Microsoft Intune Multi-Admin Approval Richtlinie erstellen für Scripts im Intune Admin Center

Multi-Admin Approval Policy definieren

Intune MAA - Approver GroupZuweisen einer Administratorgruppe, die Änderungen und kritische Aktionen in Microsoft Intune genehmigen kann.

MAA Workflow

Bereits beim Speichern dieser Policy wird der Workflow ausgelöst und ein zweiter Administrator muss die Änderung bestätigen.

2. Genehmigung einer Multi-Admin Approval Anfrage durch einen zweiten Administrator

Microsoft Intune Multi-Admin Approval Übersicht mit offenen Genehmigungsanfragen im Intune Admin Center 

Im Bereich „All requests“ erscheint nun die zuvor erstellte Genehmigungsanfrage.

 

Microsoft Intune Multi-Admin Approval Detailansicht mit Genehmigung einer Access Policy im Intune Admin Center

Der zweite Administrator (nicht der Ersteller des Requests) prüft die Anfrage und kann sie anschliessend genehmigen oder ablehnen sowie eine Notiz hinterlegen.

Microsoft Intune Multi-Admin Approval Anfrage genehmigt mit Option „Complete request“ im Intune Admin Center

Nachdem der zweite Administrator die Anfrage genehmigt hat, öffnet der Ersteller den Request erneut und bestätigt ihn mit „Complete request“. Erst danach wird die Änderung wirksam.

Empfehlung der Vistasys AG

Die Vistasys AG empfiehlt Unternehmen, Multi-Admin Approval in Microsoft Intune gezielt für kritische Aktionen zu aktivieren. Aus unserer Erfahrung ist folgende Konfiguration besonders sinnvoll:

1. Scripts: Scripts können tiefgreifende Änderungen auf Geräten ausführen. Eine zusätzliche Freigabe verhindert riskante oder fehlerhafte Deployments.

2. Device Wipe: Der kritischste Befehl in Intune. Ein versehentlich ausgelöster Wipe kann tausende Geräte unbrauchbar machen.

3. Device Retire: Auch diese Aktion entfernt Geräte aus der Verwaltung und löscht Unternehmensdaten.

4. App Deployments: Fehlerhafte oder manipulierte Anwendungen können Sicherheitsprobleme verursachen.

Sicherheit vs. Admin Experience

Eine häufige Frage lautet:

Führt Multi-Admin Approval nicht zu mehr administrativem Aufwand?

Die Antwort lautet: Ja – aber in einem vertretbaren Rahmen.

Wenn Multi-Admin Approval gezielt nur für besonders kritische Aktionen eingesetzt wird, bleibt die Administrator Experience weiterhin effizient.

 

Unser empfohlener Ansatz:

  • Nur kritische Aktionen absichern

  • Genehmigungsgruppen klar definieren

  • Prozesse dokumentieren

So bleibt die Verwaltung schlank, während die Sicherheit massiv erhöht wird.

 

Fazit

Der Angriff auf Stryker zeigt eindrücklich, wie stark Unternehmen heute von ihrer IT-Infrastruktur abhängig sind. Eine kompromittierte Geräteverwaltung kann enorme Auswirkungen haben. Microsoft Intune bietet mit Multi-Admin Approval eine einfache, aber sehr effektive Schutzmassnahme. Durch das Vier-Augen-Prinzip lassen sich kritische Aktionen absichern und Risiken deutlich reduzieren.

Die Vistasys AG empfiehlt daher allen Unternehmen, Multi-Admin Approval mindestens für folgende Bereiche zu aktivieren:

  • Scripts

  • Device Wipe

  • Device Retire

  • App Deployments

Damit wird die Sicherheit der Intune-Umgebung deutlich verbessert – ohne die Administration unnötig zu verkomplizieren.

✔ Tipp: Wenn Sie Unterstützung bei der sicheren Konfiguration von Microsoft Intune oder der Implementierung von Multi-Admin Approval benötigen, unterstützt Sie die Vistasys AG gerne bei Planung, Umsetzung und Best Practices.

Gerne unterstützen wir Sie bei der sicheren Implementierung von Microsoft Intune: Kontaktformular

Ähnliche Beiträge

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen