MDM (Mobile Device Management)

Mobile Device Management (MDM) bezeichnet eine Kategorie von Softwareplattformen, die es Unternehmen ermöglichen, Mobilgeräte — Smartphones, Tablets und Laptops — zentral zu verwalten, zu konfigurieren und abzusichern. Über einen MDM-Server werden Konfigurationsprofile, Sicherheitsrichtlinien und Anwendungen auf verwaltete Geräte ausgerollt, ohne dass diese physisch vor Ort sein müssen. Der Begriff MDM hat sich historisch für die gesamte Disziplin der mobilen Geräteverwaltung etabliert, auch wenn er in modernen Plattformen oft unter den Oberbegriffen Unified Endpoint Management (UEM) oder Endpoint Management Platform zusammengefasst wird.

Kernfunktionen einer MDM-Plattform

MDM-Lösungen decken mehrere Funktionsbereiche ab, die gemeinsam ein vollständiges Bild der Gerätekontrolle ergeben.

Geräteanmeldung (Enrollment) ist der erste Schritt: Ein Gerät wird in die MDM-Plattform aufgenommen, entweder über nutzerinitiierten Self-Service, automatisiert per Zero-Touch-Enrollment (bei iOS über Apple Business Manager, bei Android über Google Zero-Touch) oder bei Windows-Geräten über Autopilot. Nach dem Enrollment erhält das Gerät ein Verwaltungszertifikat und steht unter Kontrolle der Plattform.

Konfigurationsprofile erlauben es, Hunderte von Einstellungen remote zu verteilen: WLAN-Zugangsdaten, VPN-Konfigurationen, DNS-Server, E-Mail-Konten, Zertifikate und systemweite Sicherheitseinstellungen. Diese Profile werden signiert ausgeliefert und können vom Nutzer nicht ohne Management-Eingriff entfernt werden.

Richtliniendurchsetzung umfasst typischerweise Mindestanforderungen an PIN/Passwort-Länge und -Komplexität, erzwungene Geräteverschlüsselung, Beschränkung von Kamerafunktionen in sensiblen Bereichen sowie die Verhinderung von Bildschirmaufnahmen in Unternehmens-Apps. Gerätecompliance wird kontinuierlich geprüft und kann automatisch Zugriffsrechte entziehen, wenn ein Gerät gegen Richtlinien verstößt.

Application Management ermöglicht den Aufbau eines unternehmensinternen App-Katalogs. Apps können still — ohne Nutzerinteraktion — installiert, aktualisiert oder entfernt werden. Pflicht-Apps für alle Geräte einer Gruppe lassen sich ebenso definieren wie optionale Self-Service-Apps.

Remote-Aktionen schließen den Kreis: Lost-Mode sperrt ein verlorenes Gerät und zeigt eine Kontaktnachricht an, Selective Wipe entfernt nur Unternehmensdaten ohne das gesamte Gerät zu löschen, Full Remote Wipe setzt das Gerät auf Werkseinstellungen zurück. Diese Funktionen sind bei Geräteverlust oder Mitarbeiteraustritt kritisch.

MDM vs. MAM — Geräte- vs. App-Ebene

Mobile Application Management (MAM) ist ein eng verwandtes, aber konzeptionell unterschiedliches Konzept. Während MDM auf Geräteebene ansetzt und das gesamte Betriebssystem verwaltet, operiert MAM ausschließlich auf App-Ebene. MAM-Richtlinien können festlegen, dass Daten aus einer verwalteten App nicht in private Apps kopiert werden dürfen, dass App-Daten bei Geräteverlust remote gelöscht werden und dass Zugriff auf Unternehmens-Apps eine PIN erfordert — alles ohne dass das Gerät selbst in einer MDM-Plattform registriert sein muss.

Diese Unterscheidung ist besonders für BYOD-Szenarien (Bring Your Own Device) relevant. Mitarbeitende möchten ihr privates Smartphone nicht vollständig der Unternehmenskontrolle unterwerfen — MDM mit Full Enrollment würde dem Arbeitgeber theoretisch auch Zugriff auf private Daten ermöglichen. MAM löst dieses Dilemma: Das private Gerät bleibt unberührt, nur die Unternehmens-Apps stehen unter Management. Viele moderne Plattformen wie Microsoft Intune kombinieren beide Ansätze und erlauben eine differenzierte Entscheidung je nach Gerätetyp und Eigentumsmodell.

MDM im Zero-Trust-Kontext

Zero Trust beruht auf dem Prinzip, dass kein Gerät — unabhängig von Standort oder Netzwerkzugehörigkeit — automatisch als vertrauenswürdig eingestuft wird. Für die praktische Umsetzung dieses Prinzips ist MDM unverzichtbar: Es liefert den Gerätestatus als Sicherheitssignal.

Ohne MDM weiß eine Organisation nicht, ob ein Gerät verschlüsselt ist, welches Betriebssystem es verwendet, ob aktuelle Sicherheitspatches installiert sind oder ob es Zeichen einer Kompromittierung gibt. Mit MDM werden diese Informationen kontinuierlich gemeldet und können in Zugriffsentscheidungen einfließen. Das Konzept der Device Compliance beschreibt genau diesen Mechanismus: Ein Gerät gilt als compliant, wenn es alle definierten MDM-Richtlinien erfüllt, und erhält erst dann Zugriff auf Unternehmensressourcen.

In Kombination mit Conditional Access in Entra ID lässt sich erzwingen, dass der Zugriff auf Microsoft 365, SharePoint oder interne Anwendungen ausschließlich von MDM-verwalteten und compliant gepatchten Geräten erfolgt. Ein Gerät, das aus der MDM-Verwaltung ausgetragen wurde oder dessen Compliance-Status verloren hat, verliert automatisch den Zugriff — ohne manuellen Eingriff.

Integration mit Identity Providern

Die tiefste Integration besteht zwischen MDM-Plattformen und Identity Providern wie Entra ID (ehemals Azure AD). Microsoft Intune ist nativ in Entra ID eingebettet und nutzt dieselbe Benutzer- und Gruppenstruktur für die Gerätezuweisung. Geräte, die über Intune verwaltet werden, erhalten automatisch ein hybrides Entra-ID-Join oder ein reines Cloud-Join-Zertifikat, das sie für Conditional-Access-Richtlinien identifizierbar macht.

Für macOS-lastige Umgebungen bietet Jamf Pro eine eigene Entra-ID-Integration, die native macOS-Verwaltung mit Cloud-Identity verbindet. Omnissa Workspace ONE und SOTI MobiControl unterstützen ebenfalls SAML/OIDC-basierte Integration mit den gängigen Identity Providern und ermöglichen damit eine identitätszentrierte Geräterichtlinie. Die Grundidee ist stets dieselbe: Das Gerät ist Teil der Identität — ein Zugriff wird nicht nur anhand des Nutzerkontos, sondern auch anhand des Gerätestatus bewertet.

Verbreitete MDM-Lösungen im deutschen Unternehmensumfeld

Microsoft Intune ist für Organisationen mit Microsoft-365-Lizenzierung die naheliegendste Wahl, da es in den Lizenzpaketen M365 E3 und E5 enthalten ist. Intune verwaltet Windows, macOS, iOS und Android über eine einheitliche Konsole und ist tief mit Entra ID und dem Microsoft Defender for Endpoint (EDR) integriert.

Jamf Pro hat sich als De-facto-Standard für Apple-lastige Umgebungen etabliert — besonders in kreativen Branchen, Medienunternehmen und zunehmend im Bildungsbereich. Jamf bietet eine deutlich tiefere macOS- und iOS-Verwaltung als generische UEM-Lösungen.

Omnissa Workspace ONE (ehemals VMware Workspace ONE) richtet sich an heterogene Enterprise-Umgebungen mit komplexen Anforderungen an App-Virtualisierung, Digital Employee Experience und plattformübergreifendes Gerätemanagement.

SOTI MobiControl ist besonders im deutschen Mittelstand und in industriellen Umgebungen verbreitet, wo robuste Android-Geräte (Handscanner, Feldgeräte) verwaltet werden müssen. SOTI bietet starken Support für ruggedized Devices und Android Enterprise.

Die Wahl der Plattform richtet sich primär nach dem dominanten Betriebssystem-Mix, der bestehenden Identitätsinfrastruktur und den Anforderungen an industrielle oder spezielle Gerätetypen.

MDM und DSGVO — Datenschutz bei BYOD

Die DSGVO stellt MDM-Deployments vor spezifische Anforderungen, die besonders bei BYOD-Modellen relevant sind. Wenn Arbeitgeber private Geräte in die MDM-Verwaltung aufnehmen, müssen sie sicherstellen, dass keine privaten Daten verarbeitet werden — weder eingesehen noch übertragen noch gelöscht. Full-Enrollment-MDM auf privaten Geräten ist ohne explizite, informierte und freiwillige Einwilligung nach Art. 6(1)(a) DSGVO in der Regel nicht zulässig, da das Machtverhältnis im Arbeitsverhältnis die Freiwilligkeit der Einwilligung zweifelhaft macht.

Die datenschutzkonforme Alternative für BYOD ist MAM-only: Nur die verwalteten Unternehmens-Apps stehen unter Kontrolle, das private Gerät bleibt unberührt. Für unternehmenseigene Geräte (COPE — Company Owned, Personally Enabled) erlaubt Android Enterprise ein Work Profile, das private und geschäftliche Daten sauber trennt. Der Arbeitgeber verwaltet ausschließlich das Work Profile, private Apps und Daten sind nicht sichtbar.

Technisch-organisatorisch müssen MDM-Deployments ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen, eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen — insbesondere wenn Standortdaten verarbeitet werden — und die Mitarbeitenden transparent über den Umfang der Überwachung informieren. Betriebsräte haben bei der Einführung von MDM ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG.

DNS-Konfiguration per MDM-Profil

Ein praktisch unterschätzter Anwendungsfall von MDM ist die flächendeckende Durchsetzung von DNS-Sicherheitskonfigurationen auf Endgeräten. Per MDM-Profil lassen sich DNS over TLS (DoT) oder DNS over HTTPS (DoH) auf allen verwalteten Geräten erzwingen — unabhängig davon, in welchem Netzwerk sich das Gerät befindet. Damit werden DNS-Anfragen verschlüsselt und über den unternehmenseigenen oder einen vertrauenswürdigen Resolver geleitet, auch im Homeoffice oder auf Reisen.

Auf iOS und macOS können DNS-Einstellungen über ein com.apple.dnsSettings.managed-Konfigurationsprofil verteilt werden. Windows unterstützt DoH-Konfiguration über MDM-Richtlinien im ADMX_DnsClient-Richtlinienpfad und ab Windows 11 nativ über die Netzwerkeinstellungen. Unternehmen, die Filtering-Dienste wie Cisco Umbrella, Zscaler oder Cloudflare Gateway nutzen, können so sicherstellen, dass alle DNS-Anfragen über ihren Filtering-Stack laufen — ein wesentlicher Bestandteil von SASE-Architekturen.

Weitere Enterprise-Anwendungsfälle

Verschlüsselungsdurchsetzung ist einer der wirkungsvollsten Anwendungsfälle: MDM stellt sicher, dass alle verwalteten Geräte mit vollständiger Festplattenverschlüsselung laufen — BitLocker auf Windows, FileVault auf macOS, geräteseitige Verschlüsselung auf iOS und Android. Der Verschlüsselungsstatus kann als Compliance-Kriterium in Conditional-Access-Richtlinien einfließen.

OS-Update-Management erlaubt es, kritische Sicherheitspatches zeitnah zu erzwingen, ohne auf die Eigenverantwortung der Nutzer angewiesen zu sein. Auf iOS kann ein Softwareupdate per MDM-Befehl angestoßen und eine Deadline gesetzt werden, nach der das Update erzwungen wird. Auf macOS und Windows sind ähnliche Mechanismen verfügbar. Dies ist besonders relevant für Patch Management im Kontext von Zero-Day-Schwachstellen in Betriebssystemkomponenten.

VPN-Profilverteilung ermöglicht die automatische Konfiguration von Split-Tunnel- oder Full-Tunnel-VPN-Verbindungen auf allen Geräten. Always-On-VPN auf iOS und Android stellt sicher, dass der gesamte Datenverkehr über einen definierten Gateway läuft, bevor das Gerät Unternehmensnetzwerke oder -dienste erreicht.

Zertifikatsverwaltung über Simple Certificate Enrollment Protocol (SCEP) oder PKCS ermöglicht die automatische Ausstellung und Verteilung von Client-Zertifikaten an verwaltete Geräte. Diese Zertifikate können für die Authentifizierung am WLAN (802.1X), am VPN oder für clientseitige TLS-Authentifizierung an Webanwendungen verwendet werden — ohne dass Nutzer Passwörter eingeben müssen. Die Kombination aus Gerätezertifikat und MFA auf Benutzerebene ist eine der sichersten Authentifizierungsformen in modernen Unternehmensumgebungen.

MDM, GPO und Intune im Vergleich

GPO und MDM adressieren denselben Grundbedarf — zentrale Konfigurationsverwaltung für Endgeräte — auf unterschiedlichen Wegen. GPOs funktionieren nur für Windows-Geräte in einer Active-Directory-Domäne und setzen eine stabile Netzwerkverbindung zum Domain Controller voraus. MDM funktioniert über das Internet, ohne VPN-Abhängigkeit, und deckt Windows, macOS, iOS und Android einheitlich ab.

In hybriden Umgebungen, in denen On-Premise-AD und Cloud-Identity koexistieren, werden oft beide Systeme parallel betrieben: GPO für Tier-0-Härtung von Servern und Workstations im LAN, MDM für Laptops im Außendienst und mobile Geräte. Mit dem vollständigen Übergang zu Cloud-only oder Hybrid-Join-Umgebungen verschiebt sich der Schwerpunkt schrittweise von GPO zu MDM. Intune bietet mit den Settings Catalog- und Administrative Templates-Richtlinien eine wachsende Parität zur GPO-Verwaltung für Windows.

Relevanz für KMUs

MDM ist keine Enterprise-Technologie mehr. Alle relevanten Plattformen bieten Einstiegsoptionen für kleinere Organisationen, und Microsoft Intune ist für Unternehmen mit Microsoft-365-Business-Premium-Lizenz bereits enthalten — ohne zusätzliche Lizenzkosten. In der Praxis finden sich in KMU-Assessments häufig unverwaltete mobile Geräte, die auf Unternehmens-E-Mails und SharePoint zugreifen, ohne dass Verschlüsselung, Gerätesperrung oder Remote-Wipe konfiguriert ist. Ein einzelnes verlorenes, unverwaltetes Smartphone kann dabei zum Datenschutzvorfall nach Art. 33 DSGVO werden, der Meldepflichten und potenzielle Bußgeldverfahren nach sich zieht. Die Einführung von MDM mit einem klaren BYOD- oder COPE-Konzept schließt diese Lücke und liefert gleichzeitig den Gerätestatus als Signal für Conditional Access und Zero Trust.