Backup & Restore

Strategien und Werkzeuge für die Sicherung und Wiederherstellung von Intune-Konfigurationen. Da Intune ein Cloud-Service ist und Microsoft keine native Backup-Funktion bietet, ist ein eigenes Backup-Konzept unverzichtbar.

Important

Intune Backups sichern nur die Konfiguration (Policies, Profile, Zuweisungen) — nicht die Gerätedaten, App-Inhalte oder Benutzerdaten. Sie sind ein Schutz gegen versehentliche Fehlkonfigurationen und ermöglichen eine schnelle Wiederherstellung des gewünschten Zustands.

Warum Backup?

Szenario	Ohne Backup	Mit Backup
Admin löscht versehentlich eine Policy	Policy muss manuell neu erstellt werden — Einstellungen unklar	JSON-Import in 2 Minuten
OIB-Update geht schief	Rollback unklar, was war der vorherige Zustand?	Letztes Backup wiederherstellen
Mandanten-Wechsel (MSP)	Alle Konfigurationen manuell dokumentieren und übertragen	Export → Import in neuen Tenant
Security Audit	„Zeigen Sie uns den Config-Stand von vor 3 Monaten” — unmöglich	Git-Historie durchsuchen

Backup-Methoden

IntuneBackupAndRestore (Standard)

IntuneBackupAndRestore (Concat Standard)

Community-PowerShell-Modul für automatisierte Policy-Backups. Produziert JSON-Dateien, die in einem Git-Repository versioniert werden.

Modul installieren


Install-Module -Name IntuneBackupAndRestore -Force
Install-Module -Name Microsoft.Graph.Authentication -Force

Backup erstellen


# Verbindung herstellen
Connect-MgGraph -Scopes "DeviceManagementConfiguration.Read.All",
    "DeviceManagementApps.Read.All",
    "DeviceManagementManagedDevices.Read.All",
    "Policy.Read.All"
 
# Backup in datiertem Ordner
$backupPath = "C:\IntuneBackup\$(Get-Date -Format 'yyyy-MM-dd')"
Start-IntuneBackup -Path $backupPath
 
Write-Host "Backup erstellt: $backupPath" -ForegroundColor Green

In Git committen


# Im Backup-Repository
Set-Location "C:\IntuneBackup"
git add .
git commit -m "Intune Backup $(Get-Date -Format 'yyyy-MM-dd HH:mm')"
git push

Restore (bei Bedarf)


# Einzelne Policy wiederherstellen
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"
 
Start-IntuneRestoreDeviceCompliancePolicy -Path "C:\IntuneBackup\2025-01-15"
# Oder: Start-IntuneRestoreDeviceConfiguration
# Oder: Start-IntuneRestoreConfigurationPolicy

IntuneManagement Tool

IntuneManagement Tool (manuell)

Das IntuneManagement Tool kann auch für manuelle Backups vor größeren Änderungen verwendet werden.

Wann verwenden:

Vor OIB-Updates
Vor größeren Policy-Änderungen
Für den Vergleich zwischen zwei Ständen (Diff)

Tool starten und verbinden

IntuneManagement Tool starten → Mit dem Kunden-Tenant verbinden.

Alle Objekte exportieren

Bulk → Export → Alle Objekttypen auswählen → Zielordner wählen → Export starten.

Export archivieren

Den Export-Ordner benennen (z. B. Pre-OIB-Update-2025-03-15) und im Git-Repository committen.

Graph API (Custom)

Custom Graph API Backup

Für spezifische Anforderungen oder Automatisierung via CI/CD Pipeline:


# Minimalbeispiel: Compliance-Policies exportieren
Connect-MgGraph -ClientId $clientId -TenantId $tenantId -CertificateThumbprint $thumbprint
 
$exportPath = "C:\IntuneBackup\$(Get-Date -Format 'yyyy-MM-dd')\CompliancePolicies"
New-Item -ItemType Directory -Path $exportPath -Force | Out-Null
 
$policies = Get-MgDeviceManagementDeviceCompliancePolicy -All
 
foreach ($policy in $policies) {
    $fileName = "$($policy.DisplayName -replace '[\\/:*?"<>|]','_').json"
    $policy | ConvertTo-Json -Depth 10 | Out-File -FilePath "$exportPath\$fileName" -Encoding UTF8
    Write-Host "Exportiert: $($policy.DisplayName)" -ForegroundColor Green
}

Tip

CI/CD Integration: Dieses Skript kann als Azure DevOps Pipeline oder GitHub Action auf einem Schedule (z. B. wöchentlich Sonntag 02:00) laufen. Die App Registration authentifiziert sich per Zertifikat, die JSON-Dateien werden ins Repository committet.

Was wird gesichert?

Objekt	Gesichert?	Format	Restore möglich?
Compliance Policies	✅	JSON	✅ Ja
Configuration Profiles	✅	JSON	✅ Ja
Settings Catalog Policies	✅	JSON	✅ Ja
Endpoint Security Policies	✅	JSON	✅ Ja
App Protection Policies	✅	JSON	✅ Ja
Conditional Access Policies	✅	JSON	✅ Ja
Autopilot Profiles	✅	JSON	✅ Ja
PowerShell Scripts	✅	JSON + PS1	✅ Ja
Group Policy Analytics	✅	JSON	⚠️ Read-only
Apps (Konfiguration & Zuweisung)	✅	JSON	⚠️ Teilweise
Apps (Binaries / `.intunewin`)	❌	—	❌ Nein
Gerätedaten	❌	—	❌ Nein
Benutzerdaten	❌	—	❌ Nein

Warning

App-Binaries werden nicht gesichert! Die .intunewin-Dateien müssen separat archiviert werden (z. B. in einem Dateiserver-Share oder Azure Blob Storage). Ohne die Binaries kann eine gelöschte App nicht wiederhergestellt werden.

Backup-Strategie (Concat Standard)

Aspekt	Standard
Häufigkeit	Wöchentlich (automatisiert, Sonntag Nacht)
Vor Änderungen	Manuelles Backup vor jedem OIB-Update oder größeren Policy-Änderungen
Speicherort	Git-Repository (Azure DevOps oder GitHub)
Aufbewahrung	Unbegrenzt (Git-Historie) — mindestens 6 Monate aktiv
Restore-Test	Quartalsweise in einem Test-Tenant
App-Binaries	Separat archivieren (nicht in Git — Dateien sind zu groß)
Verantwortlich	Concat Operations Team (bei Managed Services) oder Kunden-IT

Querverweise

Thema	Verwandte Seite
Graph API Grundlagen	Graph API Basics
Tenant Deployment Workflow	Tenant Deployment
PowerShell Skripte	PowerShell Repo
Config-Backup vor Go-Live	Go-Live Checkliste
Projektabschluss: Baseline sichern	Migrations-Roadmap Phase 5