Microsoft stellt mit der Microsoft Management Platform – Cloud (MMP-C) einen völlig neuen Ansatz für das Windows-Client-Management vor. In Kombination mit Microsoft Intune entsteht eine Plattform, die klassische OMA-DM-Mechanismen ablöst und Verwaltung in Echtzeit ermöglicht.
MMP-C basiert auf dem Windows Declared Configuration (WinDC)-Protokoll, das Geräte in einem deklarativen, zustandsbasierten Modell verwaltet. Statt Richtlinien zyklisch zu synchronisieren, definiert Intune einmal den gewünschten Zustand („desired state“) eines Geräts – und das System stellt diesen Zustand dauerhaft sicher.
Wie MMP-C funktioniert
Wenn MMP-C auf einem Gerät aktiviert wird, erstellt Windows eine zweite, verknüpfte Intune-Registrierung – die sogenannte Linked oder Dual Enrollment.
- Die primäre Registrierung verwaltet weiterhin klassische OMA-DM-Richtlinien.
- Die verknüpfte Registrierung nutzt den WinDC-Dienst, um deklarative Richtlinien kontinuierlich durchzusetzen.
Das Herzstück sind Declared Configuration Documents (MOF-Dateien), die von Intune bereitgestellt werden. Diese beschreiben den vollständigen Soll-Zustand des Geräts. Der WinDC-Agent sorgt dafür, dass jede Einstellung im Dokument aktiv bleibt – Abweichungen werden automatisch korrigiert, ohne auf den nächsten Intune-Sync zu warten.
So entsteht ein kontinuierliches, selbstüberwachendes Verwaltungssystem, das Policy-Drift verhindert und die Einhaltung von Sicherheits- und Compliance-Vorgaben erheblich verbessert.
Unterschied zu OMA-DM
Das klassische OMA-DM-Protokoll wurde ursprünglich für Mobilgeräte entwickelt und arbeitet reaktiv:
Geräte melden sich in Intervallen bei Intune, erhalten Richtlinien im XML-Format (SyncML), wenden sie an und senden anschließend Rückmeldungen. Zwischen zwei Check-ins kann es jedoch zu Abweichungen kommen – Änderungen bleiben bis zur nächsten Synchronisierung unbemerkt.
Mit MMP-C / WinDC ändert sich das komplett:
- Der Zielzustand wird einmalig deklariert, nicht ständig abgefragt.
- Der Client übernimmt die Verantwortung für seine Konfiguration.
- Alle Einstellungen werden in einem einzigen Dokument gebündelt, was die Netzwerklast reduziert.
- Der Durchsetzungsmechanismus läuft kontinuierlich und lokal.
Das Ergebnis:
- Schnellere Policy-Anwendung,
- weniger Serverkommunikation,
- höhere Zuverlässigkeit,
- und stärkere Compliance selbst bei Offline-Geräten.
OMA-DM und MMP-C laufen aktuell parallel. Legacy-Richtlinien werden weiterhin über CSPs verwaltet, während neue, deklarative Workloads schrittweise über MMP-C bereitgestellt werden.
Intune-Funktionen, die heute bereits MMP-C nutzen
1. Endpoint Privilege Management (EPM)
EPM, Teil der Intune Suite, war das erste Feature, das vollständig auf MMP-C setzte.
Es erlaubt Standardbenutzern, genehmigte Aufgaben mit erhöhten Rechten auszuführen – ohne lokale Administratorrechte zu besitzen.
MMP-C sorgt hier für die zuverlässige, sofortige Bereitstellung und Durchsetzung der Richtlinien auf dem Gerät.
2. Erweiterte Geräteinventarisierung (Advanced Device Inventory)
Die neue Geräteinventarfunktion in Intune sammelt detaillierte Hardware- und Sicherheitsinformationen (z. B. TPM-Status, CPU-Details, Laufwerke).
Das zugehörige Properties-Catalog-Profil nutzt MMP-C, um den Inventory-Agent zu verteilen und die Datenerfassung zu steuern.
3. Weitere Workloads in Planung
Microsoft migriert schrittweise weitere Richtlinienarten:
- WLAN- und VPN-Profile
- Zertifikatsbereitstellung
- Sicherheitsbaselines
- Defender- und Endpoint-Protection-Konfigurationen
Der Anteil deklarativer Richtlinien in Intune wächst mit jedem Update.
Vorteile von MMP-C
| Vorteil | Beschreibung |
|---|---|
| Kontinuierliche Compliance | Abweichungen werden sofort erkannt und automatisch korrigiert. |
| Schnelle Umsetzung | Änderungen wirken nahezu in Echtzeit – kein Warten auf den nächsten Sync. |
| Geringere Netzwerklast | Ein kompaktes Konfigurationsdokument ersetzt viele einzelne Transaktionen. |
| Bessere Skalierbarkeit | Ideal für große Flotten – weniger Serverbelastung, geringere Latenzen. |
| Höhere Resilienz | Der Client bleibt compliant, auch wenn keine Verbindung zu Intune besteht. |
| Modernes Sicherheitsmodell | Besser geeignet für Zero-Trust- und Cloud-First-Szenarien. |
Voraussetzungen und Implementierungshinweise
- Windows 10/11 mit aktuellem Build unterstützt MMP-C nativ.
- Intune Enrollment muss aktiv sein; MMP-C wird automatisch als Linked Enrollment hinzugefügt.
- Netzwerkfreigaben:
dm.microsoft.comdarf nicht durch SSL-Inspection oder Proxy-Filter blockiert werden. - Pilotgruppen eignen sich für den Start – z. B. Geräte mit aktivem EPM oder Advanced Inventory.
- Überprüfen lässt sich die MMP-C-Registrierung in der Registry unter den Enrollment-Schlüsseln oder per PowerShell (
dsregcmd /status).
Praxisbeispiel: Von reaktiv zu deklarativ
Ein Unternehmen verwaltet 2.000 Windows-11-Clients mit Intune.
Früher dauerte es mehrere Stunden, bis geänderte Sicherheitsrichtlinien (z. B. BitLocker-Einstellungen) flächendeckend durchgesetzt waren.
Nach der Aktivierung von MMP-C korrigieren sich Geräte innerhalb weniger Minuten selbstständig – ganz ohne Admin-Eingriff.
Die Anzahl der Compliance-Abweichungen sank um über 60 %, und Helpdesk-Tickets zu Richtlinienfehlern gingen deutlich zurück.
Fazit
MMP-C ist die logische Weiterentwicklung des Windows-Client-Managements.
Anstelle reaktiver Richtliniensynchronisationen setzt Microsoft nun auf ein intelligentes, selbstüberwachendes System, das den gewünschten Gerätezustand proaktiv sicherstellt.
Für IT-Abteilungen bedeutet das:
- Weniger Drift, weniger Aufwand, mehr Kontrolle.
- Schnellere Umsetzung von Sicherheitsvorgaben.
- Grundlage für zukünftige Intune-Funktionen.
Der Umstieg erfolgt evolutionär – OMA-DM bleibt vorerst bestehen, doch MMP-C ist der Weg nach vorn.
Wer heute mit EPM oder Advanced Device Inventory startet, legt den Grundstein für ein modernes, resilienteres Endpoint-Management.
MMP-C verändert das Denken über Gerätemanagement grundlegend – weg vom zyklischen Kontrollmodell, hin zu einer Cloud-basierten, deklarativen Verwaltung mit echtem „Always-Compliant“-Charakter.