ADMIN

2026

02

2026-01-27T12:00:00

Hybrid Work

SCHWERPUNKT

063

Hybride Arbeitsplätze

Microsoft-365

Intune

Microsoft-365-Apps mit Intune und Configuration Manager bereitstellen

Deployment im Takt

von Thomas Joos

Veröffentlicht in Ausgabe 02/2026 - SCHWERPUNKT

Microsoft-365-Apps zählen in vielen Unternehmen zur Pflichtausstattung, doch die Bereitstellung im Hybridbetrieb stellt Admins vor knifflige Entscheidungen. Intune und Configuration Manager bieten dafür zwei recht unterschiedliche Wege. Der Artikel zeigt, wie Sie beide Ansätze kombinieren und typische Stolperfallen vermeiden. So etablieren Sie eine einheitliche, sichere und gut steuerbare Office-Umgebung auf allen Endgeräten.

In vielen Unternehmen gehören Microsoft-365-Apps zur standardisierten Office-Installation und bilden die Grundlage für produktives Arbeiten auf Windows-Geräten, die lokal oder cloudbasiert verwaltet sind. Die Suite liegt als abonnementbasierter Client vor, liefert kontinuierlich neue Funktionen und verbindet lokale Installationen mit Exchange Online, SharePoint Online, OneDrive und Teams. Für Administratoren entsteht damit die Aufgabe, Word, Excel, PowerPoint, Outlook und weitere Komponenten automatisiert auf Notebooks, Desktops und mobile Geräte zu bringen, Richtlinien einheitlich zu steuern und Updates kontrolliert auszuspielen.
Genau hier greifen Microsoft Intune und der Microsoft Configuration Manager zusammen. Intune adressiert internetverbundene Clients im Büro, auf Geschäftsreisen oder im Homeoffice, Configuration Manager deckt klassische Netzwerke und Bandbreitenoptimierung ab. Im Idealfall sehen Anwender auf jedem Gerät die gleiche Office-Konfiguration, unabhängig davon, ob sie sich am Domänencontroller anmelden, über VPN arbeiten oder sich mit einem Entra ID-Join im Homeoffice anmelden. Der Beitrag zeigt, wie Sie bei der Bereitstellung der Apps vorgehen und auf was Sie genau achten sollten.
Office über Intune bereitstellen
Microsoft Intune dient im ersten Schritt als zentrale Plattform für Anwendungsbereitstellung. Im Admin Center unter "https://intune.microsoft.com" navigieren Sie zu "Apps", danach zu "Alle Apps" und "Erstellen". Hier finden Sie oft schon die Option "Microsoft-365-Apps für Windows 11" und damit die Möglichkeit direkt die Installation der Office-Programme unter Windows 11 bereitzustellen.
In vielen Unternehmen gehören Microsoft-365-Apps zur standardisierten Office-Installation und bilden die Grundlage für produktives Arbeiten auf Windows-Geräten, die lokal oder cloudbasiert verwaltet sind. Die Suite liegt als abonnementbasierter Client vor, liefert kontinuierlich neue Funktionen und verbindet lokale Installationen mit Exchange Online, SharePoint Online, OneDrive und Teams. Für Administratoren entsteht damit die Aufgabe, Word, Excel, PowerPoint, Outlook und weitere Komponenten automatisiert auf Notebooks, Desktops und mobile Geräte zu bringen, Richtlinien einheitlich zu steuern und Updates kontrolliert auszuspielen.
Genau hier greifen Microsoft Intune und der Microsoft Configuration Manager zusammen. Intune adressiert internetverbundene Clients im Büro, auf Geschäftsreisen oder im Homeoffice, Configuration Manager deckt klassische Netzwerke und Bandbreitenoptimierung ab. Im Idealfall sehen Anwender auf jedem Gerät die gleiche Office-Konfiguration, unabhängig davon, ob sie sich am Domänencontroller anmelden, über VPN arbeiten oder sich mit einem Entra ID-Join im Homeoffice anmelden. Der Beitrag zeigt, wie Sie bei der Bereitstellung der Apps vorgehen und auf was Sie genau achten sollten.
Office über Intune bereitstellen
Microsoft Intune dient im ersten Schritt als zentrale Plattform für Anwendungsbereitstellung. Im Admin Center unter "https://intune.microsoft.com" navigieren Sie zu "Apps", danach zu "Alle Apps" und "Erstellen". Hier finden Sie oft schon die Option "Microsoft-365-Apps für Windows 11" und damit die Möglichkeit direkt die Installation der Office-Programme unter Windows 11 bereitzustellen.
Innerhalb dieses Menüpunktes sehen Sie über "Verwalten" die wichtigsten App-Informationen für dieses Paket. Mit "Bearbeiten" können Sie diese an die eigenen Anforderungen anpassen. Im Bereich "Überwachen" erkennen Sie darüber hinaus, auf welchen Endgeräten die Bereitstellung erfolgt ist.
Intune unterscheidet bei der Bereitstellung und Konfiguration zwischen App-Typen wie Microsoft-Store-Apps, Microsoft-365-Apps, webbasierten Anwendungen, Defender-Komponenten, branchenspezifischen Paketen in den Formaten MSI, APPX und MSIX sowie Windows-Apps (Win32). Über diese Mechanik verteilen Sie neben Office auch Browser wie Google Chrome, Geschäftsanwendungen oder eigene Pakete, die Sie im Unternehmen parallel zu den Microsoft-365-Apps brauchen.
Die Voraussetzung bleibt dabei gleich: Nur Geräte, die Sie unter "Geräte" im Intune-Portal sehen, erhalten Anwendungen aus dem Dienst. In hybriden Umgebungen übernimmt Entra Connect die Identität, Co-Management mit Configuration Manager ergänzt die Gerätesteuerung in Richtung Cloud, doch die konkrete Bereitstellung der Office-Pakete erfolgt in Intune immer über "Microsoft-365-Apps" oder über Win32-Pakete mit dem Office Deployment Tool.
Deployment vorbereiten
Die Office-Bereitstellung starten Sie im Bereich "Apps / Alle Apps / Erstellen". Im Dialog "App-Typ auswählen" wählen Sie im Abschnitt "Microsoft 365 Apps" den Eintrag "Windows 10 und höher". Nach "Auswählen" öffnet sich der Assistent "Microsoft 365 Apps hinzufügen". Auf der Seite "Informationen zur App-Suite" definieren Sie Suitename, Beschreibung, Kategorie, Herausgeberanzeige und die Frage, ob die Suite im Unternehmensportal als hervorgehobene App sichtbar sein soll. Ein sprechender Name hilft bei späterer Zuordnung, gerade in Umgebungen mit mehreren Varianten. Zusätzlich tragen Sie optional eine "Informations-URL" und eine "URL zu den Datenschutzbestimmungen" ein, die Intune im Unternehmensportal anzeigt, und nutzen Kategorien, damit Anwender die Suite in der Portalansicht schneller finden.
Bild 1: Beim Anpassen der Bereitstellung über Intune lassen sich vielfältige Angaben festlegen.
Die wichtigsten Einstellungen sind über Schritt "App-Suite konfigurieren" verfügbar. Sie entscheiden hier, ob Sie den "Konfigurations-Designer" nutzen oder XML-Daten einfügen. Der Designer eignet sich für typische Enterprise-Konfigurationen mit Microsoft-365-Apps for Enterprise. In der Dropdown-Liste „Office-Apps auswählen“ legen Sie fest, ob auf den Clients Word, Excel, PowerPoint, Outlook, OneNote, Teams und OneDrive installiert werden sollen.
Unter "Andere Office-Apps auswählen" fügen Sie auf Wunsch Microsoft Project und Microsoft Visio hinzu. Danach setzen Sie die "Architektur" auf 64 Bit. Beim "Standarddateiformat" steht die Wahl zwischen Office Open Document Format und Office Open XML.
Die Auswahl "Updatekanal" legt fest, in welchem Rhythmus Microsoft-365-Apps Funktions- und Qualitätsupdates verarbeitet. "Aktueller Kanal" liefert die jeweils freigegebene Version ohne Verzögerung. "Aktueller Kanal (Vorschau)" stellt Builds bereit, die kurz vor der allgemeinen Freigabe stehen und sich für vorgezogene Tests eignen. "Monatlicher Enterprise-Kanal" folgt einem festen monatlichen Veröffentlichungszyklus und sorgt für planbare Rollouts in größeren Umgebungen. "Halbjährlicher Enterprise-Kanal" und "Halbjährlicher Enterprise-Kanal (Vorschau)" richten sich an Szenarien mit langen Freigabeprozessen und stabilen Updatefenstern. Für die meisten Unternehmen ergibt sich ein Vorteil durch den monatlichen Enterprise-Kanal, weil er Regelmäßigkeit und Funktionsfortschritt kombiniert, ohne die hohe Dynamik des aktuellen Kanals zu übernehmen.
Installationspaket anpassen
Im Konfigurationsdialog aktivieren Sie "Andere Versionen entfernen", wenn noch MSI-basierte Office-Installationen existieren. Intune nutzt dann das Feature zum Entfernen der MSI-Version, deinstalliert ältere Office-Pakete und spielt anschließend die Click-to-Run-Variante der Microsoft-365-Apps ein. Die Einstellung "Zu installierende Version" erlaubt die Auswahl "Neueste zuerst" oder eine konkrete Build-Nummer pro Kanal. In kontrollierten Umgebungen fixieren Sie hier eine Version, um alle Clients auf exakt denselben Stand zu bringen und Rollbacks leichter zu planen.
Im Abschnitt "Eigenschaften" steuern Sie Feinheiten wie "Aktivierung gemeinsam genutzter Computer", automatische Lizenzvertragsannahme, Hintergrunddienst für "Microsoft Search in Bing" und zusätzliche Sprachen. Die Aktivierung gemeinsam genutzter Computer sorgt dafür, dass mehrere Benutzer ein Gerät nutzen und Office trotzdem korrekt lizenziert bleibt, zum Beispiel auf Terminalservern oder Kiosk-Systemen. Die Option "Automatisches Akzeptieren des Lizenzvertrags für App-Endbenutzer" erhöht den Automatisierungsgrad und verhindert Dialoge, die Autopilot-Registrierungen blockieren. Beim Punkt "Sprachen" legen Sie fest, ob Office ausschließlich der Windows-Sprache folgt oder zusätzlich definierte Sprachen installiert.
Technisch läuft eine Intune-Bereitstellung von Microsoft-365-Apps nach demselben Muster: Intune erstellt eine Konfiguration über den Office-CSP (Configuration Service Provider) und schreibt die Einstellungen in definierte Registry-Pfade unter "HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / OfficeCSP" oder in entsprechende GUID-Schlüssel. Dort legt es neben Produkt-IDs, Sprachdefinitionen und Updatekanal auch eine URL ab, über die der Client das Setupprogramm "setup.exe" und die Office-Pakete vom Office-CDN abruft. Das Office-CDN ist das Content Delivery Network, aus dem Geräte die Installations- und Updatedateien für Microsoft-365-Apps beziehen. Intune liefert nur die Konfiguration aus. Der eigentliche Download der Pakete erfolgt anschließend direkt aus dem Office-CDN. Dadurch greifen Clients immer auf die aktuelle, geografisch nächstgelegene Quelle zu und benötigen keine lokalen Verteilungspunkte.
Erfolgreichen Rollout überprüfen
Auf dem Client erscheinen im Ordner "C:\Programme" die Verzeichnisse "Microsoft Office" und "Microsoft Office 15", in denen Click-to-Run-Komponenten und temporäre Updates liegen. Die Installation läuft im Hintergrund, solange Ihre Zuweisung "Erforderlich" nutzt. Sobald die Installation erfolgreich abschließt, löscht Click-to-Run die heruntergeladenen Installationsdateien. Für detaillierte Analysen aktivieren Sie über den Befehl
reg add HKLM\SOFTWARE\Microsoft\ClickToRun\OverRide /v LogLevel /t REG_DWORD /d 3
eine detaillierte Protokollierung, spielen die Suite erneut aus und untersuchen danach die Logdateien unter "%temp%" und "%windir%\temp". Anschließend entfernen Sie die Einstellung wieder mit:
reg delete HKLM\SOFTWARE\Microsoft\ClickToRun\OverRide /v LogLevel /f
Vor der ersten produktiven Installation überprüfen Sie einige Voraussetzungen. Zielgeräte benötigen Windows 10 oder 11 Pro. Windows Home unterstützt die Intune-Methode nicht. Bereits installierte MSI-basierte Office-Pakete blockieren Click-to-Run, daher aktivieren Sie im Assistenten immer auch noch "Andere Versionen entfernen" und führen bei Bedarf vorab ein eigenes Deinstallationspaket aus. Während Intune die Suite installiert, schließen Anwender alle Office-Anwendungen, damit keine offenen Dateien den Installer behindern.
In Autopilot-Szenarien mit Enrollment Status Page binden Sie Microsoft-365-Apps vorzugsweise als Win32-App ein, damit die Intune Management Extension die Installation kontrolliert und diese nicht parallel mit weiteren Win32-Paketen kollidiert.
Apps an Clients zuweisen
Die Zuweisung der Suite erfolgt auf der Registerkarte "Zuweisungen". Intune kennt die Modi "Erforderlich", "Für registrierte Geräte verfügbar" und "Deinstallieren". Eine Zuweisung an "Alle Geräte" sorgt für automatischen Rollout auf jedes verwaltete Windows-Endgerät.
Bild 2: Installationspakete von Apps lassen sich an Gruppen und Computer zuweisen.
Varianten mit gezielten Microsoft-Entra-Gruppen differenzieren nach Standorten, Abteilungen oder Gerätetypen. Gruppenzuweisungen bleiben dabei nicht additiv. Eine spätere Suite mit abweichender Konfiguration ersetzt die vorherige, auch bei "Verfügbar"-Zuweisungen. Wenn eine frühere Zuweisung Word installiert und eine spätere Suite Word nicht mehr enthält, entfernt die neue Konfiguration Word wieder – Visio und Project sind von dieser Regel ausgenommen. Gruppenstrukturen in Entra ID nutzen verschachtelte Gruppen mit bis zu drei Ebenen. Intune betrachtet nur Benutzerobjekte, Geräteobjekte in denselben Gruppen beeinflussen Office-App-Richtlinien nicht.
Richtlinien für Applikationen steuern
Neben der Suite-Bereitstellung steuert Intune auch Richtlinien für Microsoft-365-Apps. Unter "Apps / Richtlinien für Microsoft 365 Apps" legen Sie Konfigurationen an, die Intune pro Benutzer in die Registry schreibt. Jede Richtlinie trägt einen Namen, einen Scope wie "ganzer Mandant" oder "Benutzergruppe" und eine Priorität. Intune verarbeitet alle zutreffenden Richtlinien, bei Konflikten setzt sich der Eintrag mit der niedrigsten Prioritätszahl durch.
Standardmäßig gibt es in Intune bereits die Richtlinie "Policies for all users", die für alle Installationen angewendet wird. Im Rahmen der Erstellung legen Sie fest, für wen die Richtlinie gelten soll und bei "Richtlinien" werden schlussendlich die Einstellungen angepasst. Im Portal filtern Sie darüber hinaus nach Plattformen, zum Beispiel Windows, macOS, iOS/iPadOS, Android und nach Anwendungen.
Bild 3: Beim Anpassen von Richtlinieneinstellungen für Microsoft-365-Apps stehen zahlreiche Optionen bereit.
Sicherheitseinstellungen zentral festlegen
Die Security Baseline "Microsoft 365 Apps for Enterprise" im Stand 2306 ergänzt diesen Ansatz mit einem kompletten Bündel vorkonfigurierter Sicherheitseinstellungen. Die Baseline deaktiviert Flash Player in Office, blockiert Legacy-JScript-Ausführung, erzwingt strikte XLM- und VBA-Makroregeln, blockiert XLL-Add-ins aus unsicheren Quellen und aktiviert Dateiblocks für alte Excel-, Word- und PowerPoint-Formate.
Zahlreiche Einträge im Trust Center von Word, Excel und PowerPoint setzen Dateiblockeinstellungen auf "Öffnen/Speichern blockiert, Offene Richtlinie verwenden" und definieren die geschützte Ansicht als Standard für Dateien aus Internetzonen oder unsicheren Speicherorten. Outlook erhält über den "Outlook Security Mode" den Modus "Use Outlook Security Group Policy", damit sämtliche weiteren Security-Policies für Objektmodellzugriff, Makros, Anlagenebenen und Skriptausführung überhaupt greifen. Ohne diese Einstellung ignoriert Outlook Gruppenrichtlinien und Intune-Vorgaben für die Sicherheitssektion.
Über die Security Baseline hinaus lohnt sich ein Blick in das Intune-Benchmark von CIS und die Empfehlungen von Praktikern. Der Schalter "Block signing into Office" mit der Einstellung "Organization only" verhindert, dass sich Benutzer mit privaten Microsoft-Konten an Office anmelden. Dadurch speichern Anwender keine Dokumente unbemerkt in einem privaten OneDrive und öffnen keine vertraulichen Dateien über ein privates Konto. Eine weitere Empfehlung betrifft "Improve Proofing Tools". Diese Telemetrie sammelt Anpassungen der Rechtschreibprüfung und sendet sie an Microsoft. Das Deaktivieren reduziert den Datenabfluss aus Word und Excel.
Office-Apps auf Smartphones und Tablets bereitstellen
Die mobile Integration von Microsoft-365-Apps läuft in Intune über App-Bereitstellungsprofile. Für iOS und iPadOS legen Sie unter "Apps", "Konfiguration" Richtlinien für "Verwaltete Geräte" oder "Verwaltete Apps" an. Im MDM-Kanal konfigurieren Sie Geräte, im MAM-Kanal Konfigurationen für die App, auch wenn das Gerät nicht registriert ist. Die Microsoft-365-App für iOS verarbeitet Werte wie
- "com.microsoft.office.NotesCreation-Enabled" für mögliche Kurznotizen,
- "com.microsoft.office.OfficeWebAdd-inDisableAllCatalogs" und
- "com.microsoft.office.OfficeWebAdd-inDisableOMEXCatalog" für die Add-in-Plattform oder
- "com.microsoft.office.officemobile.
TeamsApps.IsAllowed" für Teams-Apps in Office.
- Über "com.microsoft.office.officemobile.Feed.IsAllowed" steuern Sie den Microsoft-365-Feed,
- "com.microsoft.office.officemobile.Bing ChatEnterprise.IsAllowed" kontrolliert die Copilot-Nutzung.
Auf Android nutzen Sie "Android Enterprise". Neben den Schlüsselwerten für Notizen, Add-ins, Teams-Apps und Feed spielt auf Android die Richtlinie "com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked" eine Rolle. Sie regelt, ob die App Daten offline puffert, obwohl die App-Schutzrichtlinie das Ablegen im lokalen Speicher blockiert. Mit "Connected apps" ermöglichen Sie Anwendern, ein berufliches Office-Profil mit dem privaten auf demselben Gerät zu verbinden, beschränken dies aber auf Geräte mit Arbeitsprofil.
Apps für Enterprise oder Business
Die Frage nach den Unterschieden zwischen Microsoft-365-Apps for Business und Apps for Enterprise taucht im Intune-Kontext regelmäßig auf. Enterprise richtet sich an größere Kunden und passt zu Intune, zum Office-Cloud-Policy-Service und zur Security Baseline. Intune unterstützt für Enterprise den Konfigurationsdesigner und erzeugt im Hintergrund ein passendes XML. Die Produkt-ID lautet in der Regel "O365ProPlusRetail". Business nutzt hingegen die Produkt-ID "O365BusinessRetail" und erfordert die Konfiguration über XML-Daten.
Der Intune-"Konfigurations-Designer" unterstützt die Business-Edition nicht. Die Praxis sieht daher so aus, dass Sie Business-Pakete in Intune über die Option "XML-Daten eingeben" definieren, das XML zuvor im Office-Konfigurationstool unter "https://config.office.com" erzeugen und anschließend in Intune einfügen. Enterprise bietet darüber hinaus Features wie Shared Computer Activation, granularere Updatekanäle und volle Integration in Security Baselines. Unternehmen mit Hybridbetrieb und strengen Sicherheitsvorgaben nutzen daher Enterprise, kleine Unternehmen mit einfachen Anforderungen greifen zu Business und administrieren Office mit weniger Ebenen an Richtlinien.
Updates steuern
Für Updatemanagement und Insider-Kanäle im Hybridbetrieb gibt es zwei zentrale Wege. In bestehenden Office-Installationen ändern Sie den Kanal über eine Gerätekonfigurationsrichtlinie mit administrativen Vorlagen. Im Intune Admin Center navigieren Sie zu "Geräte / Geräte verwalten / Konfiguration" und erstellen dann eine neue Richtlinie. Wählen Sie als Plattform "Windows 10 und höher", als Typ "Vorlagen" und als Vorlage "Administrative Vorlagen".
Im Einstellungsbereich "Microsoft Office 2016 (Computer)" öffnen Sie "Updates" und aktivieren "Kanal aktualisieren (2.0)". Danach setzen Sie den "Kanalnamen" auf "Aktueller Kanal (Vorschau)" oder in Sonderfällen auf "Betakanal". Intune weist die Richtlinie der Entra-Gruppe mit den Zielgeräten zu. Der Aufgabenplaner startet regelmäßig den Task "Office Automatic Updates 2.0", liest den neuen Kanal aus und bringt die Suite schrittweise auf den gewählten Insider-Kanal.
Für neue Installationen von Microsoft-365-Apps im Insider-Programm nutzen Sie erneut eine "Microsoft-365-Apps"-App in Intune. Im Schritt "App-Suite konfigurieren" wählen Sie die üblichen Komponenten, setzen die Architektur, wählen bei "Updatekanal" den Eintrag "Aktueller Kanal (Vorschau)" und belassen "Zu installierende Version" auf "Neueste". Sprachen richten Sie wie gewohnt ein und weisen die App dann zielgerichtet zu. Für Installationen mit Betakanal definieren Sie im Assistenten das Format "XML-Daten eingeben" und fügen eine Konfiguration mit "Channel=BetaChannel" ein, beispielsweise mit Produkt-ID "O365ProPlusRetail" und passender Sprache.
Einzelne Anwendungen als Paket verteilen
In der Praxis treten häufig Konflikte auf, wenn Admins versuchen, einzelne Microsoft-365-Apps isoliert über Intune zu installieren. Die Konfigurationslogik behandelt Kernkomponenten wie Word, Excel, PowerPoint, Outlook und OneDrive als Gesamtpaket. Der Konfigurationsdesigner interpretiert deaktivierte Häkchen nicht nur als "nicht installieren", sondern als explizites Entfernen einer Komponente.
Ein Szenario mit einer Intune-App, die beispielsweise nur Word aktiviert, führt zu Installationsfehlern oder zu einer Suite ohne Kernkomponenten. Die Erfahrung zeigt, dass sich einzelne Kernapps im Intune-M365-App-Typ nicht sauber isolieren lassen, ohne Nebeneffekte zu erzeugen. Stattdessen bündeln Sie die gewünschten Apps in einer einzigen Suite-Konfiguration und steuern Zielgruppen über Zuweisungen. Für Sonderfälle existiert der Ansatz, eine Office-Konfiguration mit dem Office Deployment Tool zu packen, das XML lokal zu verwalten und eine Win32-App in Intune zu nutzen, die vor der Installation das XML manipuliert und "setup.exe /configure" ausführt.
Installation mit Configuration Manager
Der Vergleich mit Microsoft Configuration Manager zeigt eine zweite Schiene für die Bereitstellung. Configuration Manager bildet Office als klassische Anwendung im Bereich "Softwarebibliothek", "Office 365 Clientverwaltung" ab. Über den "Office 365 Installer" erstellen Sie eine Anwendung, definieren einen Downloadpfad im Format "\<Server>\ <Freigabe>", wechseln im Assistenten zum Office-Anpassungstool und konfigurieren dort Produkt, Architektur, Updatekanal, Sprachen, Entfernung alter MSI-Versionen und Anzeigeebene. Die Empfehlung lautet, für lokal verwaltete Umgebungen den "Monatlicher Enterprise-Kanal" zu nutzen, da er neue Features in einem definierten monatlichen Rhythmus liefert und gleichzeitig Stabilität bietet.
Vor der Bereitstellung prüfen Sie die Infrastruktur des Configuration Managers. Der Einsatz des Current Branch sichert aktuelle Funktionen, Peer Cache reduziert Bandbreitenlast an Außenstellen. Clientgeräte nutzen Peer Cache, um Office-Quellen untereinander zu verteilen, statt jede Installation über eine zentrale Leitung abzuwickeln. Sammlungen bilden das Herzstück der Zielsteuerung. Sie legen eine oder mehrere hiervon für die initiale Office-Bereitstellung an, zum Beispiel in Wellen, und ergänzen Sammlungen für die laufende Wartung, die alle Microsoft-365-Clients enthalten oder nach Updatekanälen filtern. Dynamische Sammlungen mit Abfragen auf Office-Konfigurationsdaten erfassen Geräte mit bestimmten Buildständen, Kanälen oder Abweichungen.
Im dritten Schritt des Configuration-Manager-Vorgehens erstellen Sie die Microsoft-365-Anwendung. Sie definieren im Assistenten "Software: Microsoft-365-Apps for Enterprise" oder "Microsoft-365-Apps for Business" entsprechend Ihrer Lizenz, wählen "Monatlicher Enterprise-Kanal", fügen Sprachen hinzu, aktivieren "MSI-Versionen entfernen" und setzen die Anzeigeebene auf "Aus", wenn die Installation ohne UI im Hintergrund laufen soll. Das Office-Anpassungstool schreibt die Einstellungen in eine XML-Datei, der Installer lädt die Quellpakete herunter und legt sie unterhalb der angegebenen Serverfreigabe ab. Danach folgt die Bereitstellung an eine erste Sammlung über "Anwendungen", "Bereitstellen".
Aktualisieren und Entfernen
Updates kontrollieren Sie im Configuration Manager über "Office 365 Clientverwaltung" und die integrierten Updatefunktionen. Die Office-Clients warten auf ConfigMgr-Anweisungen, erkennen neue Buildstände und installieren diese, wenn Sie entsprechende Softwareupdategruppen definieren und verteilen. Das Dashboard "Office 365 Client Management" zeigt Anzahl der Office-Clients, Versionen, Sprachen und Kanäle. Ein Abgleich mit den geplanten Zielen identifiziert Abweichungen. Die dynamischen Sammlungen, die alle Office-Clients, alle Geräte in einem Kanal oder Geräte mit veralteten Builds umfassen, dienen als Grundlage für Update-Deployments.
Für Deinstallationen in Configuration Manager hinterlegen Sie ein zweites XML mit Remove-Attribut. Sie passen den Bereitstellungstyp der Office-Anwendung an, öffnen die Registerkarte "Programme" und tragen als Deinstallationsbefehl setup.exe /configure uninstall.xml ein. Danach aktualisieren Sie über "Inhalt aktualisieren" die Verteilungspunkte. Anschließend nutzen Sie "Bereitstellen", um die Deinstallation auf definierte Sammlungen zu richten.
Intune übernimmt Office-Rollouts auf Entra-Joins-Geräten, auf Autopilot-Notebooks, auf mobilen Arbeitsplätzen im Homeoffice und bei externen Partnern. Configuration Manager versorgt domänengebundene Rechner in Niederlassungen, nutzt Peer Cache und LAN-optimierte Verteilung und liefert Office-Updates auch dann aus, wenn Clients Intune nur im Co-Management nutzen oder noch gar nicht eingebunden sind. Über Co-Management-Workloads legen Sie fest, ob Intune oder Configuration Manager die Office-Apps kontrolliert.
Fazit
Im Hybridbetrieb setzen Sie auf eine klare Bereitstellungsstrategie für Microsoft-365-Apps: Intune verwaltet internetverbundene Geräte, automatisiert Rollouts und schreibt Konfigurationen sauber über den Office-CSP. Configuration Manager versorgt klassische Arbeitsplatzumgebungen, optimiert Bandbreite und steuert Updates auch in isolierten Netzen. Kombinieren Sie beide Werkzeuge, entsteht eine konsistente Office-Landschaft. Für den langfristigen Betrieb setzen Sie Standards durch: Sie nutzen Microsoft-365-Apps for Enterprise als Basis, entfernen Altinstallationen im MSI-Format und legen einen einheitlichen Updatekanal fest. Mobilgeräte binden Sie mit MDM- und MAM-Profilen ein und steuern zentrale Funktionen granular, sodass Sie die gesamte Office-Suite sicher und compliancekonform betreiben.
(dr)