Lokale Active-Directory-Gruppenrichtlinien (GPOs) waren jahrelang der Standard für die Gerätekonfiguration im Unternehmen. Aber GPOs funktionieren nur, wenn Geräte im Firmennetzwerk sind — oder per VPN verbunden. In einer Welt mit Homeoffice, BYOD und Cloud-First-Strategien reicht das nicht mehr.
Warum GPOs an ihre Grenzen stoßen
GPOs werden über den lokalen Domain Controller verteilt. Das bedeutet:
- Kein Homeoffice-Schutz: Ein Laptop, der drei Wochen im Homeoffice ist, erhält drei Wochen keine Richtlinien-Updates
- Kein BYOD: Private Geräte, die Unternehmensdaten verarbeiten, sind vollständig unsichtbar
- Keine mobilen Geräte: Smartphones und Tablets lassen sich über GPOs gar nicht verwalten
- Verzögerte Reaktion: Sicherheitsrichtlinien greifen erst beim nächsten Neustart oder der nächsten Anmeldung im Netzwerk
In der Praxis bedeutet das: Geräte, die am dringendsten geschützt werden müssten — die außerhalb des Firmennetzwerks — sind am wenigsten geschützt.
Was cloudbasierte Geräteverwaltung anders macht
Cloud-basierte MDM-Lösungen wie Microsoft Intune, JAMF oder Google Endpoint Management verwalten Geräte über das Internet. Richtlinien werden sofort angewendet, unabhängig vom Standort. Das ändert die Sicherheitsarchitektur grundlegend.
Geräte-Compliance als Zugangsvoraussetzung
In einer Zero-Trust-Architektur ist der Gerätezustand eine der wichtigsten Zugriffsbedingungen. Cloudbasierte Verwaltung ermöglicht Echtzeitprüfungen:
- Verschlüsselung aktiv? BitLocker (Windows), FileVault (macOS) oder Geräteverschlüsselung (Android/iOS)
- Betriebssystem aktuell? Minimale OS-Version als Compliance-Anforderung
- Bedrohungsschutz aktiv? Microsoft Defender, CrowdStrike oder anderer Endpunktschutz muss laufen
- Jailbreak/Root erkannt? Manipulierte Geräte werden automatisch gesperrt
Geräte, die diese Bedingungen nicht erfüllen, erhalten keinen Zugriff auf Unternehmensdaten. Nicht morgen, nicht beim nächsten Neustart — sofort.
Plattformübergreifende Verwaltung
Die meisten Unternehmen verwalten Windows, macOS, iOS und Android. GPOs unterstützen nur Windows. Cloudbasierte Lösungen verwalten alle Plattformen über eine einzige Konsole:
- Windows: Konfigurationsprofile, Update-Richtlinien, BitLocker-Verwaltung
- macOS: FileVault, Gatekeeper, Software-Verteilung
- iOS/Android: App-Schutzrichtlinien, selektives Löschen von Unternehmensdaten, VPN-Konfiguration
App-Schutz ohne Geräteverwaltung
Für BYOD-Szenarien bieten Intune und Google App Protection Policies (MAM): Unternehmensdaten innerhalb von Apps werden geschützt, ohne das private Gerät vollständig zu verwalten. Unternehmensdaten können selektiv gelöscht werden, ohne private Fotos oder Apps zu berühren.
Der Migrationspfad
Die Umstellung von GPOs auf cloudbasierte Verwaltung muss nicht über Nacht passieren:
- Hybrid-Phase: Entra Hybrid Join oder Google GCDS — Geräte sind gleichzeitig im lokalen AD und in der Cloud registriert
- Richtlinien-Migration: GPOs werden analysiert und als Intune-Konfigurationsprofile oder Google-Richtlinien neu erstellt
- Pilotgruppe: 10–15 Geräte werden vollständig auf Cloud-Verwaltung umgestellt
- Rollout: Schrittweise Umstellung aller Geräte
- Dekommissionierung: Lokaler Domain Controller wird abgeschaltet, wenn alle Abhängigkeiten gelöst sind
Häufige Fehler
1:1-Migration von GPOs: Nicht jede GPO muss in die Cloud übernommen werden. Viele GPOs sind veraltet, redundant oder irrelevant. Die Migration ist eine Gelegenheit, aufzuräumen.
Keine Kommunikation: Mitarbeiter, deren private Geräte plötzlich Compliance-Anforderungen erfüllen müssen, brauchen klare Information — was wird verwaltet, was bleibt privat.
Zu viele Richtlinien: Weniger ist mehr. Starten Sie mit den kritischen Compliance-Bedingungen (Verschlüsselung, OS-Version, Bedrohungsschutz) und erweitern Sie schrittweise.
Nächste Schritte
Die Umstellung auf cloudbasierte Geräteverwaltung beginnt mit einer Analyse Ihrer aktuellen GPOs, Geräteflotte und Compliance-Anforderungen.
Geräteverwaltung modernisieren, um Ihre Endgeräte plattformübergreifend und standortunabhängig zu schützen.