Mit Microsoft Intune können Admins die Malware-Einstellungen von Microsoft Defender zentral steuern und damit den Malware-Schutz von Rechnern in Unternehmen und im Homeoffice verbessern. Wir zeigen in diesem Beitrag, wie das geht.
Wie man mit Microsoft Intune die Malware-Einstellungen von Microsoft Defender zentral steuert, zeigen wir in diesem Beitrag.
(Bild: pinkeyes - stock.adobe.com)
Microsoft Intune ermöglicht das Setzen von Richtlinien, die auf angebundenen Computern umgesetzt werden. Dadurch lassen sich auch mobile PC und Rechner im Home Office absichern, ohne dass diese Geräte Mitglied in einer Active Directory-Domäne sind. Mit den Richtlinien können Admins daher schnell und einfach sicherstellen, dass alle Rechner, die mit Ressourcen des Unternehmens arbeiten. Dabei spielt es keine Rolle, wo die PCs betrieben werden, also remote, im Home Office oder im Unternehmen. Neben PCs lassen sich auch Windows-Server über diesen Weg absichern und zentral steuern.
Die Verwaltung von Intune erfolgt im Intune Admin Center, dieses ist über die Adresse intune.microsoft.com erreichbar. Steuern lassen sich mit Microsoft Intune die Geräte, die an das System angebunden sind. Die PCs sind bei „Geräte“ in der Oberfläche zu finden. Angebunden werden diese zum Beispiel durch die Installation der App „Unternehmensportal“ aus dem Microsoft App-Store. Die Geräte sollten bei „Verwaltet von“ den Wert „Intune“ haben und bei „Kompatibilität“ den Wert „Konform“. Das Betriebssystem und der Benutzer des PCs sind ebenfalls an dieser Stelle zu sehen.
Richtlinien entsprechen in Intune in etwa den Möglichkeiten von Gruppenrichtlinien, nur ohne die Notwendigkeit Mitglied in einer Active Directory-Domäne zu sein. Alle relevanten Sicherheitseinstellungen für Windows, darunter auch der Malware-Schutz, sind über den Menüpunkt „Endpunktsicherheit“ zu finden. Über „Antivirus“ sind die Informationen über den Virenschutz der angebundenen Geräte zu sehen.
Hier sehen Admins auch, ob Updates für die Signatur-Dateien anstehen und ob es Fehler bei der Konfiguration gibt. Natürlich zeigt die Seite „Zusammenfassung“ bei „Endpunktsicherheit -> Antivirus“ auch an, ob auf angebundenen PCs Malware gefunden wurden. Über die Registerkarte „Aktive Schadsoftware“ lassen sich die PCs auch filtern, wenn zahlreiche Geräte angebunden sind.
Über den Link „Richtlinie erstellen“ bei „Endpunktsicherheit -> Antiviurus“ kann man mit einem Assistenten eine Richtlinie zur Steuerung von Microsoft Defender in Windows erstellen. Im ersten Schritt wird dazu bei „Plattform“ der Wert „Windows 10, Windows 11 und Windows Server“ ausgewählt. Bei „Profil“ erfolgt die Auswahl von „Microsoft Defender Antivirus“. Es lassen sich über diesen Weg auch mehrere Richtlinien erstellen, die sich an verschiedene Computer anbinden lassen. Sinnvoll kann das sein, um Malware-Schutz-Einstellungen für Arbeitsstationen und Server getrennt zu steuern, oder auch um bei besonders wichtigen PC strengere Einstellungen umzusetzen.
Auf der ersten Seite der Richtlinie wird zunächst ein Name und eine Beschreibung angegeben, auf der Seite „Configuration Settings“ erfolgt schließlich die Anpassung der Einstellungen für den lokalen Malware-Schutz mit Microsoft Defender. die Einstellungen lassen sich an die eigenen Anforderungen anpassen. Bei „Verhaltensüberwachung zulassen“ sollte „Zulassen…“ aktiviert werden. Generell ist es auch sinnvoll die Option „Cloudschutz zulassen“ zu aktivieren. In diesem Fall werden Beispiele zu Microsoft übertragen und im Rahmen der verschiedenen Sicherheitsdienste in der Microsoft-Cloud übertragen. Dadurch kann das System wiederum von anderen Malware-Beispielen lernen, die ebenfalls in die Cloud übertragen werden.
Die Einstellung „Echtzeitüberwachung zulassen“ sollte natürlich ebenfalls aktiviert werden. Hier stehen zahlreiche weitere Optionen zur Verfügung, zum Beispiel auch zum Ausschließen von Pfaden und Prozessen. Mit „PUA-Schutz“ lassen sich potenziell unerwünschte Anwendungen identifizieren. Dadurch warnt Microsoft Defender, wenn sich im Hintergrund eine unerwünschte Software installiert. Damit muss es sich nicht unbedingt um Malware handeln, sondern um andere Anwendungen, wie zum Beispiel Adware. Für alle Optionen blendet Intune beim Anklicken des i-Icons neben der Option eine Hilfe ein. Die meisten Optionen entsprechen den Einstellungen, die auch in den Gruppenrichtlinien verfügbar sind.
Im Anschluss lassen sich die Richtlinien noch bestimmten Gruppen in Entra ID zuweisen oder es werden alle PCs angebunden. Die Richtlinie ist unten im Fenster verfügbar und lässt sich jederzeit anpassen. Erstellt man mehrere Richtlinien, sind diese an dieser Stelle ebenfalls zu sehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In der PowerShell lässt sich der Status von Microsoft Defender mit dem CMDlet „Get-MpComputerStatus“. Der Befehl zeigt an, ob der Virenschutz aktiviert ist, wann das letzte Update erfolgt ist und vieles mehr. Auch der Zeitpunkt der letzten Überprüfung ist darüber zu sehen. Dadurch lässt sich überprüfen, ob die Optionen lokal umgesetzt werden, die Admins über Richtlinien definiert haben. In Microsoft Intune lassen sich über „Berichte -> Microsoft Defender Antivirus“ ebenfalls Daten auslesen, die zeigen, ob der Virenschutz funktioniert. Bei „Berichte“ lassen sich darüber hinaus noch weitere, spezifische Berichte abrufen. Dazu gehören zum Beispiel Berichte zur gefundenen Malware und Details dazu.
Malware-Scan über Intune starten
Über „Geräte“ lässt sich nach einem Klick auf „Schnellüberprüfung“ ein Scan mit Microsoft Defender auf dem PC starten. Über „Vollständige Überprüfung“ ist es möglich den kompletten PC zu steuern. Um aktuelle Daten abzurufen, erfolgt die Auswahl von „Windows Defender-Sicherheitsinformationen aktualisieren“. Dadurch aktualisiert der PC auch gleich die Schadsoftwareinformationen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/eb/82/eb82e3d5ce7382a0a65170e5b261b5b9/0112100628.jpeg "Wie man mit Windows Defender Application Control und Smart App Control Windows vor gefährlichen Dateien wie Ransomware schützt, zeigen wir in diesem Video-Tipp. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/46/b446d935d230e7e4653b6fa6d8d571d7/0118498326.jpeg "Installieren der App „Unternehmensportal“ für die Anbindung von Windows an Microsoft Intune.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/d2/90/d2901db018185b51306b29964f12eee5/0118498327.jpeg "Angebundene PCs an Intune zur zentralen Steuerung des Malware-Schutzes.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/3b/dd/3bdd303f76861d3dd21d7c8c1cf23872/0118498333.jpeg "Anzeigen der an Intune angebundenen PCs zur zentralen Verwaltung.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/4b/9f/4b9f3f3f2e46c0abfb1e4356969aca0b/0118498325.jpeg "Erstellen einer Richtlinie zur Konfiguration des Malware-Schutzes in Windows über Intune.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/f4/1e/f41e565c5a48fd32459e72dc05aa0af6/0117932860.jpeg "Spam ist bei Business-E-Mails leider noch immer allgegenwärtig. Umso wichtiger, dass Unternehmen zum Schutz Ihrer Mitarbeiterinnen und Mitarbeiter eigene Antispam-Regeln für den Einsatz mit Microsoft 365 definieren. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/26/80265994f085266e897ba57fed424cd6/0118125643.jpeg "In Microsoft Defender 365 können Admin Antiphishing-Richtlinien erstellen, mit denen die Nutzer vor Phishing-Angriffen geschützt werden. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/d7/72d72551e8ef879dc31922fa69cd25cc/0117536809.jpeg "Microsoft Security Copilot kann Wissens- und Erfahrungslücken bei Admins und Sicherheitsteams schließen und dabei helfen, auf Angriffe in kürzester Zeit zu reagieren. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e62fea0fa6c6893ab575977f19303f/0124982965v2.jpeg "Mit Einführung des Hotpatching für Windows 11 muss man einen PC nicht mehr (mindestens) 12x im Jahr neu starten, sondern nur noch 4x, im Rahmen der Installation der Baseline-Updates. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/17/e017e94b738b4914781c11567a3febbb/0124883866v2.jpeg "Neben neuen Gruppenrichtlinienvorlagen für Windows 11 24H2 und Windows Server 2025, stellt Microsoft auch neue Vorlagen für das Security Compliance Toolkit zur Verfügung. (Bild: © igor.nazlo - stock.adobe.com)")