Stell dir folgendes Szenario vor: Ein unbekanntes Tool wird auf mehreren Geräten in deiner Umgebung installiert. Niemand bemerkt es, bis ein Sicherheitsvorfall eintritt. Dein Team öffnet Intune, prüft das Software-Inventar und stellt fest: Die Daten sind eine Woche alt.
Im schlimmsten Fall bedeutet das:
- Veraltete oder verwundbare Software bleibt unentdeckt
- Shadow IT breitet sich unbemerkt aus
- Compliance-Audits schlagen fehl
- Sicherheitslücken werden nicht rechtzeitig geschlossen
Genau hier setzt eines der wichtigsten aktuellen Themen in Microsoft Intune Security und Governance an: Transparenz über Anwendungen – nahezu in Echtzeit. Mit Enhanced App Inventory verschiebt Microsoft den Fokus von «Inventar anzeigen» hin zu aktiver Governance und Security Intelligence. In diesem Artikel erfährst du, was sich ändert, warum das für deine Security-Strategie relevant ist und wie du das Feature richtig einführst.
Discovered Apps: Das klassische Inventar und seine Grenzen
Quelle: Discovered Apps – Microsoft Learn
Discovered Apps ist das bisherige Software-Inventar in Intune:
- Listet alle Apps auf verwalteten Geräten auf
- Bietet eine aggregierte Sicht über den gesamten Tenant
- Enthält Basisinformationen: Name, Version, Publisher
Die zentralen Schwächen
- Refresh-Zyklus von bis zu 7 Tagen – für Security-Entscheidungen viel zu langsam
- Kaum Kontext – keine Installationsdetails, kein Installationsdatum, kein Installationspfad
- Keine Steuerungsmöglichkeiten – die Datenerhebung läuft automatisch, ohne Konfigurationsoptionen
Kurz gesagt: Gut für die grobe Übersicht – ungeeignet für Security-Entscheidungen.
Enhanced App Inventory: Der Nachfolger
Quellen: Enhanced App Inventory Blog, App Inventory – Microsoft Learn
Enhanced App Inventory löst Discovered Apps schrittweise ab und macht drei Dinge grundlegend anders:
- Mehr Datenpunkte: Über 20 Attribute pro Anwendung statt drei
- Schnellere Updates: Aktualisierung mehrmals täglich statt wöchentlich
- Konfigurierbar via Policy: Du bestimmst, welche Daten erhoben werden
Zu den neu erfassten Attributen gehören unter anderem:
- Installationsort und Installationsdatum
- Architektur (x86 / x64 / ARM)
- Deinstallationsbefehle
- App-Grösse
Damit wird aus einem passiven Inventar ein aktives Security-Tool: Du erkennst nicht nur, dass eine App installiert ist, sondern wann, wo und wie und kannst im Ernstfall sofort reagieren.
Vergleich: Discovered Apps vs. Enhanced App Inventory
| Kriterium | Discovered Apps | Enhanced App Inventory |
|---|---|---|
| Aktualisierung | Bis zu 7 Tage | Mehrmals täglich |
| Datenumfang | Minimal (3 Attribute) | Sehr detailliert (20+ Attribute) |
| Steuerung | Automatisch, keine Kontrolle | Policy-basiert, konfigurierbar |
| Use Case | Übersicht | Security, Compliance, Audit |
| Zukunft | Wird abgelöst | Strategische Plattform |
Der Business Value auf einen Blick: Enhanced App Inventory reduziert die Incident-Response-Zeit, senkt den Audit-Aufwand und verringert das Risiko durch Shadow IT messbar.
Einordnung in die Zero-Trust-Architektur
App Inventory ist kein isoliertes Feature, sondern ein Baustein einer grösseren Security-Strategie:
| Zero-Trust-Prinzip | Beitrag durch App Inventory |
|---|---|
| Verify explicitly | Exakte, aktuelle App-Informationen als Entscheidungsgrundlage |
| Use least privilege | Nur notwendige und freigegebene Apps im Bestand erkennen |
| Assume breach | Schnellere Detection von Abweichungen und Anomalien |
Seine volle Wirkung entfaltet Enhanced App Inventory in Kombination mit:
- Conditional Access – Zugriff nur von compliant Geräten
- Endpoint Privilege Management – kontrollierte Rechtevergabe
- Defender for Endpoint – Threat Detection und Vulnerability Management
Zusammen entsteht eine Security-Posture, in der App-Daten nicht nur dokumentiert, sondern aktiv für Entscheidungen genutzt werden.
Best Practices für die Einführung
1. Mit einer Pilotgruppe starten Rolle das Feature zunächst für eine kleine, repräsentative Zielgruppe aus – nicht direkt tenant-weit. So erkennst du Datenvolumen und Auswirkungen früh.
2. Die Policy sauber definieren Sammle nur die App-Properties, die du tatsächlich für Security- und Compliance-Zwecke brauchst. Mehr Daten bedeuten nicht automatisch mehr Sicherheit.
3. Rollen trennen Wer die Datenerhebung beantragt, sollte nicht dieselbe Person sein, die Security-Findings bewertet (Requestor ≠ Security Reviewer).
4. Regelmässige Reviews etablieren Prüfe Logs und App-Inventory-Reports in festen Intervallen – nicht nur, wenn ein Vorfall passiert ist.
5. Mit anderen Controls kombinieren Verknüpfe die Inventory-Daten mit Defender for Endpoint und Conditional Access, um aus Transparenz konkrete Massnahmen abzuleiten.
Typische Fehler, die du vermeiden solltest
- Das Feature aktivieren, ohne Governance-Prozesse zu definieren
- Zu viele Datenpunkte sammeln und dadurch die Übersicht verlieren
- Keine Prozesse festlegen, was mit Findings passiert
- Discovered Apps weiterhin als Hauptdatenquelle nutzen, obwohl der Nachfolger verfügbar ist
So aktivierst du App Inventory in Intune
Die Konfiguration erfolgt über eine Policy im Intune Admin Center:
Intune Admin Center
→ Devices
→ Configuration
→ Create Policy
→ Platform: Windows 10 and later
→ Profile: Properties Catalog
Der wichtige Unterschied zu früher: Du musst aktiv konfigurieren, welche Daten gesammelt werden. Das ist mehr als ein technisches Detail – es gibt dir volle Kontrolle über die Datenerhebung und stellt das Alignment mit Datenschutz- und Governance-Anforderungen sicher. Gerade in regulierten Branchen ist diese Steuerbarkeit ein echter Vorteil.
Fazit: Vom Inventar zur Security-Plattform
Enhanced App Inventory ist kein kleines Feature-Update, sondern ein Paradigmenwechsel:
- Echtzeit-ähnliche Transparenz statt wochenalter Daten
- Detaillierte Security-Insights statt blosser App-Listen
- Steuerbare Datenerhebung als Grundlage für Zero-Trust-Strategien
Besonders relevant ist das für Enterprise-Umgebungen, regulierte Branchen wie Finance und Health sowie MSPs mit Multi-Tenant-Setups.
Wer jetzt startet, baut die Grundlage für eine Security-Strategie, die auf aktuellen Daten statt auf wochenalten Momentaufnahmen basiert.
