Workspace ONE UEM 2602: Ein ehrlicher Überblick zum großen Release

5. März 2026 / / Keine Kommentare

 

Workspace ONE UEM 2602: Ein ehrlicher Überblick zum großen Release

Die 2602er ist eine dieser Releases, bei denen Omnissa sein Selbstvertrauen zeigt – und das ist nicht ganz unbegründet (jeder von uns kennt sehr wahrscheinlich die Probleme der letzten Updates, welche immer so naja liefen Nicht amüsiert ). Mit dieser Version liefern sie eines ihrer ambitioniertesten Updates: vollständig aufgefrischte Admin Experience, innovative Android- und Apple-Management-Fähigkeiten, Game-Changing Windows Management und intelligentere Automation überall.

Lass mich die wichtigsten Punkte durchlaufen.

Feature-Übersichtstabelle: 2602 auf einen Blick

Feature Plattform Kategorie Status
Modernisierte Admin Console Cross-Plattform UI/UX Limited Availability
Phased App Deployments Cross-Plattform Automation GA
Advanced eSIM Management Android Connectivity GA
Erweiterte AMAPI-Policies Android Enterprise Control GA
Account-Driven Enrollment (vereinfacht) iOS/macOS Enrollment GA
Dynamic Mac Hardware Seeding macOS Automation GA
Intelligente Enrollment-Labels iOS/macOS Grouping GA
Intelligent Hub Managed Enrollment Windows Enrollment GA
Enterprise App Repository v2 (EARv2) Windows App Distribution GA
Automatisierte Windows App-Patching Windows App Management GA
Windows Agent Updates Dashboard Windows Visibility GA
Dropship Provisioning Bulk Import Windows Provisioning GA
Intel Chip-to-Cloud Logging Windows Troubleshooting GA
Granular App Retention Control Windows App Lifecycle GA
ADMX Profiles (Windows Server Preview) Windows Server Policy Limited Availability

Die wichtigsten Features im Detail

1. Modernisierte Admin Console – Limited Availability, aber vielversprechend

Omnissa kündigt eine modernisierte Konsole mit intuitiver Navigation, neu gestalteter Device List View und intelligenteren Workflows an, die Klicks reduzieren. Admins können sich schrittweise anmelden und jederzeit zurückwechseln.

Meine Analyse: Das ist nicht einfach eine Kosmetik-Operation. Eine frische Konsolen-UI ist bei MDM-Plattformen überraschend kritisch – die Funktion befindet sich derzeit in Limited Availability , also nicht hastig upgraden. Die Opt-in-Strategie ist smart: Admins können taste, backup-Plan bei Bedarf. Das respektiere ich.

2. Android: eSIM Management & erweiterte AMAPI-Policies

Workspace ONE UEM bietet jetzt fortgeschrittenes eSIM-Management für Android, mit dem IT-Teams die Geräteverbindung optimieren. Administratoren können eSIM-Profile remote bereitstellen, aktivieren, überwachen und entfernen – über die UEM Console oder REST API.

Zusätzlich: Workspace ONE weitet Android AMAPI-Unterstützung mit neuen Policies aus, die granulare Kontrolle über Bildschirmverhalten, Private Space und Google Play Protect bieten.

Praktische Bedeutung: Das ist ein echter Differentiator. eSIM ist nicht sexy, aber für GlobalPlayer mit großen Android-Flotten (Logistics, Telco) = essentiell. Die Private Space Policies sind auch clever – das passt zu Googles Android 15+ Richtung.

3. Apple: Enrollment vereinfacht, Automation kommt

Das Release vereinfacht zwei kritische Apple-Szenarien:

Account-Driven Enrollment (ADE):
Das Release vereinfacht Account-Driven Enrollments erheblich. Früher erforderte die Erstellung einer well-known-Datei manuelle Schritte und externes Hosting. Jetzt aktivieren Admins das Feature, und WS1 generiert die JSON-Datei automatisch via Apple Business Manager.

Mac Hardware Seeding:
Mac-Modell-Hardware-Seeding ist jetzt automatisiert. Mit automatisch erfassten und befüllten Mac-Modelldaten können Admins Smart Groups nutzen – mit Same-Day Support für neue Apple Hardware.

Kritisches Take: Das ist Micro-Automation, aber die Art, die deinen Alltag vereinfacht. Weniger manuelle Datei-Hosting-Fricktion = weniger Fehler = happier Admins. 👍

4. Windows: Das Game-Changer-Release (25+ Features!)

Das ist das Herzstück von 2602. Mit Next-Gen Windows Management in 2602 redefine Omnissa modernes Windows-Management – von Intelligent Hub managed mode über stärkere Desired-State-Controls bis zur verbesserten Enterprise App Repository.

Intelligent Hub Managed Enrollment:
Neue Enrollment-Option namens „Intelligent Hub Managed“ – als Übergangsmechanismus vom alten OMA-DM-Anbieter. Volle Intelligent Hub-Power, aber mit mehr Flexibilität.

Enterprise Application Repository v2 (EARv2):
Ihr könnt jetzt über 8.500 Enterprise-Apps browsen, konfigurieren und an Windows-Geräte pushen – direkt aus WS1 UEM. Noch besser: WS1 kann über 8.500 Apps automatisch patchen. Ihr konfiguriert den Plan einmal – WS1 kümmert sich um den Rest, Apps bleiben aktuell ohne manuelle Intervention.

Unified Application Sampling:
Besseres App-Reporting mit konsistenten Daten. Mit dem neuen Sampling-Framework werden App-Daten einheitlich über Intelligent Hub, UEM und DEX/DEEM erfasst.

Windows Agent Updates Dashboard:
Neues Dashboard für Echtzeit-Sichtbarkeit aller Intelligent Hub & SFD Agentversionen. Zwischen Agenten wechseln, Charts ansehen, zu Device-Listen drilldown – alles from one dashboard.

Intel Chip-to-Cloud Logging:
C2C-Events sind jetzt in dedizierter Log-Datei, ohne unrelated data. AMT-Interface-Aktivierung & Checking verbessert.

Granular App Retention:
Admins steuern jetzt, ob Apps beim Device-Wipe oder App-Unassign entfernt oder behalten werden.

Dropship Provisioning:
Bulk-Import von Geräte-Records – egal ob 1 oder 100 Devices auf einmal.

Meine Analyse: Das ist substantiell. 25+ Windows-Features sind nicht gequetscht, sondern strategisch: DeviceList-Visibility (Admin), App-Automation (Speed), Troubleshooting-Verbesserungen (Ops). EARv2 mit Automatic Patching ist besonders nice – Zero-Touch Patching für 8.500 Apps reduziert MSP-Intervention massiv.

⚠️ Warnung: Windows Server Management ist noch Limited Availability. Wenn ihr auf WS1 für Server-Flotten setzt – noch ein paar Releases warten.

Automation & Workflows: Smarter, nicht komplexer

Mit Phased Deployments könnt ihr Apps schrittweise ausrollen – mit kleiner Gruppe starten, Probleme früh catch, Rest der Fleet schützen. Ziel exakte Assignment Groups in jeder Phase, automatische oder manuelle Phase-Progression, Clear Phase-Level Insights.

Das ist LowCode-Orchestration im Best-Sense: nicht Freestyle, aber simpler als vor 2602.

Handlungsbedarfe & Deprecations: Was ist zu beachten?

⚠️ Console Modernization = Limited Availability

Die neue Admin Console ist noch nicht GA. Testet in Lab/Non-Prod, bevor ihr großflächig rolled. Die Opt-in Strategy ist gut, aber seids vorsichtig mit Critical Workflows.

⚠️ Windows Server = Not Yet Production-Ready

Windows Server Management ist derzeit in Limited Availability mit General Availability demnächst . Wenn ihr Windows Server managed, wartet noch.

⚠️ Apple Migration ohne App Preservation (noch)

WS1 UEM unterstützt derzeit keine App Preservation während Migration. Ihr müsst Apps vorab in WS1 aufsetzen. An diesem Feature wird gearbeitet.

⚠️ Legacy App Catalog Sunset: 30. April 2025

Wechselt zur neuen Enterprise App Repository – Legacy-Path wird deprecated.

Kurzer Vergleich zu Microsoft Intune

Ja, die Frage kommt. Hier meine ehrliche Sicht:

Wo WS1 2602 Intune schlägt:
Cross-Device Management: Windows + Mac + Android + rugged aus einer Konsole. Intune braucht mehr Basteln.
eSIM Management: Noch nicht in Intune, WS1 has it. Nice-Feature, aber strategisch.
ADMX Profiles (kommend): Familiarität für Group Policy Admins.
Enterprise App Repo (8.500+ Apps): Intune’s Win32 App Management ist granular, aber anstrengender.

Wo Intune Punkte macht:
Microsoft Ecosystem Integration: Wenn ihr 100% Microsoft-Stack seid, Intune ist built-in.
Conditional Access: WS1 ist gut, Intune’s AAD-Integration tighter.
Community & Adoption: Intune-Adoption ist bei SMB größer (aktuell).

Fazit: 2602 macht WS1 für gemischte Umgebungen (Apple + Android + Windows + Rugged) attraktiver. Für rein Microsoft-Shops bleibt Intune einfacher. Für Enterprise Complexity: WS1.

Quellen & offizielle Dokumentation

Microsoft Intune Release 2602: Das ist neu (Woche 2. März 2026)

5. März 2026 / / Keine Kommentare

Microsoft Intune Release 2602: Das ist neu (Woche 2. März 2026)

Moin zusammen,

ich sitze hier gerade vor den Release Notes zur Woche 2. März 2026 – und ehrlich gesagt: Das ist eine Release, die zeigt, wohin die Reise geht. Microsoft macht hier ernsthaft ernst mit Apple’s Declarative Device Management (DDM). Das Legacy-Zeug wird eingestampft, die neuen Features sind gut durchdacht, und das Multi-Admin Approval Feature adressiert endlich ein Problem, das viele von euch im Enterprise haben.

Auch interessant: Autopatch Update Readiness kommt mit echtem Reporting-Zeugs statt nur „lädt gerade Update“ zu zeigen. Das spart euch Zeit beim Troubleshooting.

Lass mich die wichtigsten Punkte durchgehen – und wo ihr aufpassen müsst.

Release-Übersicht: Feature nach Kategorie

Feature Betroffen Kategorie Status
Apple DDM + Assignment Filters iOS, iPadOS, macOS Device Configuration ✅ Neu
Settings Catalog Updates (AirPlay, Defender) iOS, iPadOS, macOS Device Configuration ✅ Erweitert
Multi-Admin Approval für Policies iOS, iPadOS, macOS, Windows Device Management & Security ✅ Neu
Legacy MDM Software Updates deprecated iOS, iPadOS, macOS Device Security ⚠️ Breaking
Protected Apps: Jump, Mijn InPlanning Android App Management ✅ Neu
Autopatch Update Readiness Dashboard Windows Update Management ✅ Neu
Device Query Operators erweitert Alle Monitor & Troubleshoot ✅ Erweitert

Die wichtigsten Features im Detail

1. Apple Declarative Device Management (DDM) mit Assignment Filters 🎯

Das ist die Headline dieser Release.

Was ändert sich?
– Assignment Filters funktionieren jetzt auch mit DDM-basierten Konfigurationen (Software Updates, Policies)
– Bisher war das nur bei Legacy-Policies möglich
– Ermöglicht granulares Targeting: z.B. „Software Updates nur für Devices im Finance-Department mit iOS 24+“

Warum ist das wichtig?

Bei großen Umgebungen brauchst du Granularität. Mit Assignment Filters kannst du jetzt:
– Nach Azure AD Groups filtern
– Nach Device Attributes filtern (Owner Type, OS Version, Location)
– Nach User Attributes filtern

Praxisbeispiel:

Device Configuration → Create Policy (DDM-based)
→ Assign → Add Assignment Filter
→ "iOS >= 25 AND Department = Engineering"

Das reduziert Rollout-Komplexität erheblich – vor allem wenn ihr mehrere tenants oder heterogene Environments habt.

Gilt für: iOS/iPadOS, macOS

2. ⚠️ WARNUNG: Legacy Apple MDM Software Update Policies werden deprecated 🚨

Das ist wichtig. Sehr wichtig.

Microsoft und Apple beenden Support für die alten MDM Software Update Commands mit iOS 26, iPadOS 26 und macOS 26. Das bedeutet:

  • Legacy-Policies (die ihr vermutlich heute noch nutzt) funktionieren in Kürze nicht mehr
  • Apple hat diese alten Payloads aus dem MDM-Spec rausgenommen
  • Action Item für euch: Migration zu DDM-based Software Updates erforderlich

Was müsst ihr machen?

  1. Audit: Welche Legacy-Policies habt ihr aktuell deployed?
  2. Planning: Welche Geräte sind noch auf iOS < 25 / macOS < 25?
  3. Rollout: DDM Software Update Policies neu erstellen und testen
  4. Sunset: Legacy Policies systematisch deaktivieren

Zeitrahmen? Microsoft nennt kein genaues Datum, aber „soon“ ist im Tech-Speak nicht mehr fern. Ich würde Q2-Q3 2026 kalkulieren.

Ressource: Schaut euch den Intune Customer Success Blog an – da wird’s detailliert erklärt.

3. Multi-Administrator Approval für Device Configuration & Compliance Policies 👥

Das ist ein Security-Feature, das lange überfällig war.

Was ändert sich?
– Dual-Authorization für Policy-Änderungen ist jetzt auch für Settings Catalog Policies möglich
– Vorher war das nur für Compliance Policies relevant
Jede Änderung (Create, Edit, Delete) muss von Admin #2 genehmigt werden

Warum?
– Verhindert versehentliche Breaking Changes (z.B. falsch konfigurierte VPN-Policies)
– Schützt vor Malicious Actions durch compromised Admin-Accounts
– Audit Trail für Compliance-Reviews (SOC 2, ISO 27001, etc.)

Wo stellt ihr das ein?

Intune Admin Center
→ Devices → Device Configuration oder Compliance
→ Create Policy
→ Policies (unter Access policies)
→ Require Multi Admin Approval: ON

Praktischer Hinweis: Das wird euer Change-Management verlangsamen. Ein Policy-Update dauert dann länger. Aber der Security Gewinn ist es wert – vor allem in Enterprise-Umgebungen.

Gilt für: iOS, iPadOS, macOS, Android, Windows

4. Settings Catalog Updates: AirPlay & Microsoft Defender 🎨

Microsoft hat die Settings Catalog (das zentrale Policy-Management-Tool) erweitert.

Neue Settings:

Setting Platform Use Case
AirPlay → Device Name iOS, iPadOS, macOS Custom Device-Naming für AirPlay
Microsoft Defender → Neue Policies macOS Advanced Threat Protection Config

Das klingt marginal, aber für Environments die AirPlay oder Defender managed endpoints haben: Jetzt könnt ihr das via Policy zentralisiert steuern statt manuell auf jedem Device.

Für macOS-Defender: Besonders interessant für Security Teams, die Microsoft Defender als Standard-AV eingerollt haben. Mehr Policy-Control = bessere Compliance.

5. Autopatch Update Readiness Dashboard 📊

Das ist für Windows-Teams ein großes Ding.

Was ist neu?
– Unified Dashboard für Update-Readiness (Intune + Windows Autopatch)
– Device Update Journey: Granulare Status pro Gerät
– Centralized Alerting: Failures, Policy Conflicts, Readiness Gaps
– Update Readiness Checker: Proaktive Risk-Evaluation
– OS Reinstall Trigger: Automatisches Remediating bei Blockern (z.B. Disk Space)

Konkret:

Autopatch Dashboard
→ Update Status: "In Progress" / "Failed" / "At Risk"
→ Reason: "Insufficient disk space (22 GB free, 30 GB required)"
→ Remediation: "Trigger OS reinstall" (mit Alerts & Reporting)

Wofür nutze ich das?
– Pre-Deployment Risk Assessment
– Quick Troubleshooting (warum stockt das Update?)
– Proactive Device Remediation

Das spart euch echte Stunden bei größeren Updates.

6. Protected Apps: Jump & Mijn InPlanning 📱

Zwei neue Apps sind jetzt auf der Intune Protected Apps Liste.

Jump by Accio Inc. – Scheduling/Planning App
Mijn InPlanning by Intus Workforce Solutions – Workforce Planning (Android)

Das bedeutet: Diese Apps kriegen automatisch Mobile App Protection Policies (MAMP) angeboten:
– Biometric Lock
– Data Encryption
– Clipboard Restrictions
– etc.

Relevant, wenn ihr diese Tools deployed und data protection braucht.

7. Device Query Operators – Erweiterte Abfragen 🔍

Für die Admin-Power-User da draußen:

Neue Join Types:
leftsemi, rightsemi, leftanti, rightanti

Breaking Changes:
on Device.DeviceId wird nicht mehr unterstützt → nutzt stattdessen on Device
Device allein in distinct, summarize, order by geht nicht mehr → specific properties required

Bessere Error Messages + Devices als clickable Links in Query Results

Das ist ein UX-Upgrade für euer Troubleshooting, aber Achtung: Falls ihr custom KQL-Queries gebaut habt, müssen die angepasst werden.

Handlungsbedarfe & Warnungen 🚨

1. Legacy iOS/macOS Software Updates – Migration erforderlich

Item Details
Was? Legacy MDM Software Update Policies
Deadline Unklar, aber „soon“ – rechne Q2-Q3 2026
Action Audit + Rollout zu DDM-based Policies
Impact Breaking Change für iOS/macOS Updates

Meine Empfehlung: Startet noch diesen Monat mit der Audit & Test-Phase. DDM ist die Zukunft – besser proaktiv als reaktiv migrieren.

2. Multi-Admin Approval Performance-Impact

Wenn ihr das Feature enablet:
– Policy-Rollouts werden langsamer (Genehmigung erforderlich)
– Notfall-Changes brauchen schnelle Admin-Koordination

Lösung: Separate Approval-Policies für kritische vs. Standard-Changes einplanen.

3. Device Query Syntax-Änderungen

Falls ihr custom Queries nutzt:
– Alt: on Device.DeviceId → Neu: on Device
– Test eure Queries gegen die neuen Anforderungen

Fazit & Meine persönliche Einschätzung 💭

Diese Release ist solid und forward-looking. Drei Dinge fallen mir auf:

  1. Microsoft stellt Apple Legacy-Zeug konsequent ab – Das ist richtig. DDM ist moderner, sicherer, zuverlässiger. Wer noch auf Legacy-Policies läuft: Wake up call. Migration sollte jetzt starten.
  2. Multi-Admin Approval ist Enterprise-ready – Das Feature adressiert echte Security-Anforderungen. In großen Umgebungen unverzichtbar.
  3. Autopatch Update Readiness ist praktisch – Endlich echtes Troubleshooting-Tooling statt „lädt gerade“. Time Saver.

Quellenlinks

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

5. März 2026 / / Keine Kommentare

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

Kurze Info vorab: Ich versuche diese Serie nun hier zu etablieren und will die jeweiligen Erneuerungen welche Microsoft in Ihren Monatlichen Releases für Intune packt, hier klar zusammenzufassen. 

Microsoft Intune liefert monatlich neue Features – und manchmal passiert das so schnell, dass man kaum hinterherkommt. Heute schaue ich mir die Neuerungen aus den Service Releases 2601 (Februar 2026) und 2602 (März 2026) an und filtere raus, was für MDM-Admins wirklich relevant ist.

Kleiner Hinweis vorweg: Das 2602-Release ist heute, am 3. März 2026, gerade frisch deployed worden. Die detaillierten Release Notes auf Microsoft Learn wurden zum Zeitpunkt dieses Posts noch nicht vollständig publiziert – das ist bei neuen Releases normal, da die Doku immer etwas hinterherläuft. Was ich an 2602-Inhalten habe, kommt aus der offiziellen Microsoft-Ankündigung. Der Großteil dieses Posts deckt die gut dokumentierten 2601-Features ab – und da ist einiges dabei das sich lohnt genauer anzuschauen.

ℹ️ Wichtige Info zur Verfügbarkeit: Intune-Updates werden schrittweise ausgerollt – Tag 1: APAC, Tag 2: EMEA, Tag 3: Nordamerika, Tag 4+: Government. Manche Features brauchen mehrere Wochen bis zur vollständigen Verfügbarkeit. Wer etwas noch nicht sieht: einfach abwarten, es kommt automatisch.

Übersicht: Was ist neu in 2601 & 2602?

Feature Plattform Release Kategorie
Neue MHS RBAC-Permissions (Suspend/Restore) Android 2602 🔐 RBAC / Kiosk
EPM-Support für Azure Virtual Desktop Windows 2601 🔐 Security
Lenovo Device Orchestration Link im Admin Center Windows 2601 🛠️ Management
Neue Windows Settings Catalog Policies (Edge, AI, Chrome) Windows 2601 ⚙️ Konfiguration
Neue OEMConfig Apps (FCNT, Sonim) Android 2601 📱 Android OEM
Android Management Mode Filter im Settings Catalog Android 2601 ⚙️ Konfiguration
iOS/iPadOS Rating Apps Exempted Bundle IDs iOS/iPadOS 2601 ⚙️ Konfiguration
Erweiterte Assignment Filter für Managed Apps Android/iOS 2601 ⚙️ Policy
Zimperium MTD: Certificate Inventory Sync (iOS) iOS/iPadOS 2601 🔐 Security
Azure Front Door IPs – Firewall-Anpassung nötig! Alle 2601 ⚠️ Aktion erforderlich
Win11 25H2 in Feature Update Reports Windows 2601 📊 Reporting
Admin Tasks jetzt Generally Available Alle 2601 🛠️ Management
PowerShell-Installer für Win32 Apps Windows 2601 📦 App Management

🆕 Release 2602 – Was bisher bekannt ist

Neue RBAC-Permissions für den Managed Home Screen: TemporarilySuspendManagedHomeScreen & RestoreManagedHomeScreen

Das ist das Feature aus 2602, über das ich heute einen eigenen Post geschrieben habe – also kurz die Zusammenfassung: Mit diesem Release kommen zwei neue RBAC-Permissions für den Managed Home Screen, die automatisch den Built-in-Rollen School Administrator und Help Desk Operator hinzugefügt werden.

Was das bedeutet: Help Desk Operators und Schuladmins können jetzt einen Android-Kiosk temporär aus dem MHS-Modus herausnehmen, das Problem lösen, und ihn danach wieder zurücksetzen – alles ohne einen Global Admin einschalten zu müssen. Für alle die MHS in Schulen, im Retail oder bei Frontline Workern einsetzen: Das ist ein echter Alltagshelfer.

Mehr Details dazu gibt es in meinem ausführlichen Post: Intune MHS RBAC – Neue Permissions im Detail

📦 Release 2601 – Die wichtigsten Features im Detail

Android Enterprise: Neue OEMConfig Apps und bessere Filteroptionen

Zwei Themen die für Android-Enterprise-Admins interessant sind:

Erstens: Neue OEMConfig Apps. Microsoft hat drei neue OEMConfig-Apps in Intune verfügbar gemacht – FCNT Senior Care, FCNT Schema und Sonim. FCNT ist ein japanischer OEM mit Fokus auf robuste und barrierefreie Geräte (Senior Care ist selbst erklärend), Sonim ist für ultra-ruggedized Devices bekannt. Wer Geräte dieser Hersteller im Einsatz hat oder plant: die OEMConfig-Integration ermöglicht herstellerspezifische Konfigurationen direkt über Intune, ohne App-Wrapper oder Sonderlösungen.

Zweitens: Android Management Mode Filter im Settings Catalog. Beim Erstellen von Android-Policy-Profiles im Settings Catalog gibt es jetzt einen Filter nach dem Enrollment-Typ: Fully Managed, Corporate-owned Work Profile oder Dedicated. Das klingt nach einem kleinen QoL-Feature – ist aber in der Praxis ein echter Zeitgewinn. Wer heterogene Android-Flotten mit verschiedenen Enrollment-Typen verwaltet, findet die relevanten Settings jetzt schneller, ohne durch hunderte Optionen zu scrollen.

Android & iOS: Granularere Assignment Filter für Managed Apps

Das ist ein Feature das unter dem Radar läuft, aber operativ relevant ist. Assignment Filter erlauben es in Intune, Policy-Zuweisungen nicht nur nach Gruppe, sondern nach spezifischen Device-Properties zu steuern. Mit 2601 kommen deutlich mehr Optionen für den Device Management Type bei Managed Apps:

  • Android neu: Corporate-owned with work profile, Corporate-owned fully managed, Corporate-owned dedicated devices without Entra ID Shared mode
  • iOS/iPadOS neu: Automated Device Enrollment user-associated, Automated Device Enrollment userless, Account Driven User Enrollment, Device Enrollment with Company Portal and Web Enrollment

Warum ist das wichtig? In komplexen Umgebungen mit gemischten Enrollment-Typen – z.B. BYOD mit Work Profile neben Corporate-owned Fully Managed Devices – können Admins jetzt granular steuern welche App Protection Policies und App Config Policies für welchen Device-Typ gelten. Das reduziert Policy-Wildwuchs und ermöglicht sauberere Segmentierung. Das Feature rollt laut Microsoft bis Ende März 2026 vollständig aus.

iOS/iPadOS: Neues im Settings Catalog

Zwei Änderungen für iOS-Admins:

Erstens das neue Setting Rating Apps Exempted Bundle IDs. Wer auf Schulgeräten Altersrestriktionen konfiguriert hat (z.B. nur Apps bis 9 Jahre), konnte bisher keine Ausnahmen für bestimmte Apps definieren. Mit diesem Setting können Admins spezifische Apps vom Altersfilter ausnehmen – z.B. eine Lern-App die technisch ein 17+-Rating hat, aber inhaltlich für Schüler vollkommen unbedenklich ist.

Zweitens ein Umbenennung: Apple hat Rapid Security Responses in Background Security Improvements umbenannt. Intune hat das im Settings Catalog entsprechend nachgezogen. Kein funktionaler Unterschied – aber wer nach dem alten Namen gesucht hat, findet es jetzt unter dem neuen.

Windows: Neue Settings Catalog Policies

Microsoft hat wieder eine Reihe neuer Policies in den Windows Settings Catalog aufgenommen. Hier die MDM-relevanten Highlights:

  • Microsoft Edge bis v143 – inklusive neuer Policy zum Teilen von browsing history mit Microsoft 365 Copilot Search (ja, genau das was viele Admins kontrollieren wollen), RAM-Ressourcensteuerung und Local Network Access Restrictions
  • Windows AI Controls – neue Settings für Agent Workspaces, Agent Connectors und Remote Agent Connectors (aktuell noch Windows Insiders, aber gut zu kennen für die Zukunft)
  • Disable Share App Promotions – endlich: Admins können verhindern dass Windows im Share Sheet Werbung für Apps macht. Klingt trivial, war aber ein echtes Ärgernis in managed Umgebungen
  • Firewall Audit Mode – neues Setting um den Audit Mode für die Windows Firewall zu aktivieren (nützlich für Security-Reviews und Compliance-Audits)
  • Google Chrome ADMX bis v141 – immer schön wenn der Settings Catalog aktuell bleibt

Windows: PowerShell-Installer für Win32 Apps

Das ist ein Feature aus dem Januar-Update (Week of January 12) das ich kurz erwähnen möchte, weil es für viele App-Deployments relevant ist: Win32 Apps können jetzt mit einem PowerShell-Script als Installer deployt werden – statt mit einer klassischen Command Line. Das bedeutet: Prerequisite-Checks, Config-Änderungen, Post-Install-Aktionen – alles direkt im Installer-Script. Das ist besonders nützlich für komplexe App-Deployments die mehr als nur ein simples Setup.exe /S brauchen.

EPM: Support für Azure Virtual Desktop

Endpoint Privilege Management (EPM) – das Feature für granulare Elevation-Policies ohne lokale Admin-Rechte – unterstützt jetzt auch Azure Virtual Desktop (AVD) Single-Session VMs. Für alle die AVD in ihrem Modern Workplace Stack haben: EPM-Elevation-Policies können jetzt auch auf diese VMs deployed werden. EPM ist Teil des Intune Suite Add-ons.

Lenovo Device Orchestration: Direktlink im Admin Center

Kleines aber praktisches Feature für alle mit Lenovo-Flotten: Das Intune Admin Center hat jetzt einen direkten Link zur Lenovo Device Orchestration (LDO) Plattform unter Partner Portals. Das schafft einen single entry point für Lenovo-spezifische Device-Management-Funktionen – ohne extra Login oder Tab-Hopping.

⚠️ Wichtig & Handlungsbedarf: Azure Front Door IP-Adressen

⚠️ AKTION ERFORDERLICH wenn ihr IP-basierte Allowlists nutzt: Microsoft Intune verwendet seit Dezember 2025 Azure Front Door (AFD) IP-Adressen zusätzlich zu den bisherigen Intune Service IPs. Wer IP-basierte Firewall-Regeln, VPN-Policies oder Proxy-Allowlists betreibt, MUSS diese anpassen – sonst kann die Intune-Kommunikation der verwalteten Geräte eingeschränkt oder unterbrochen werden.

Microsoft hat das im Rahmen der Secure Future Initiative (SFI) kommuniziert – und es ist eines der Features das im Alltag leicht übersehen wird, aber operative Konsequenzen hat. Hier die Details:

Wenn ihr FQDN-basierte Regeln nutzt (empfohlen): Stellt sicher dass *.manage.microsoft.com als Wildcard-Regel konfiguriert ist. Typischerweise kein weiterer Handlungsbedarf.

Wenn ihr IP-basierte Allowlists nutzt: Folgende IP-Ranges müssen hinzugefügt werden (Commercial Endpoints):

  • 13.107.219.0/24
  • 13.107.227.0/24
  • 13.107.228.0/23
  • 150.171.97.0/24
  • 2620:1ec:40::/48 (IPv6)
  • 2620:1ec:49::/48 (IPv6)
  • 2620:1ec:4a::/47 (IPv6)

Alternativ kann der Azure Service Tag AzureFrontDoor.MicrosoftSecurity genutzt werden. Für US Government Endpoints gelten separate IPs – die aktuellen Ranges findet ihr direkt in den offiziellen Intune Network Endpoints Dokumenten.

💡 Empfehlung: Wenn ihr es noch nicht getan habt – wechselt auf FQDN-basierte Regeln. Ihr reduziert damit dauerhaft den Wartungsaufwand, weil IP-Änderungen nicht mehr manuell nachgepflegt werden müssen. Microsoft empfiehlt das ausdrücklich.

Reporting & Administration: Was sich verbessert hat

Admin Tasks jetzt Generally Available

Der Admin Tasks Node unter Tenant Administration ist aus der Public Preview raus und jetzt Generally Available. Was ist das? Eine zentrale Ansicht im Intune Admin Center die alle offenen Aufgaben bündelt – EPM-Elevation-Requests, Microsoft Defender Security Tasks und Multi-Admin-Approval-Requests. Alles auf einer Seite, mit Such- und Filterfunktion. Wer bisher durch verschiedene Admin-Center-Bereiche navigieren musste um den Überblick zu behalten – das ist jetzt deutlich angenehmer.

Windows 11 25H2 in Feature Update Reports

Die Windows Feature Update Readiness- und Compatibility Risks-Reports unterstützen jetzt Windows 11 25H2 als Ziel-OS. Das ist relevant für alle die gerade planen, wann und wie sie auf 25H2 upgraden wollen – die Reports zeigen jetzt Readiness-Status und potenzielle Compatibility-Risiken für diese Version, bevor man das Update ausrollt.

Zimperium MTD: Certificate Inventory Sync für iOS

Wer Zimperium als Mobile Threat Defense Partner nutzt: Es gibt eine neue Integration. Der Zimperium MTD Connector kann jetzt das Certificate Inventory von iOS-Geräten synchronisieren – also eine Liste der installierten Zertifikate. Das erlaubt Zimperium zu erkennen, wenn ein Device durch ein potenziell schädliches Zertifikat kompromittiert wurde. Konfigurierbar über den MTD Connector mit zwei neuen Settings: Enable Certificate Sync und Send full certificate inventory data for personally-owned devices.

Fazit: Zwei Releases – viel Substanz

2601 und 2602 sind keine „Mega-Releases“ mit einem einzelnen Killer-Feature – aber sie zeigen schön wie Microsoft Intune in der Breite reift: Granularere Policies, bessere Filter, mehr OEM-Support, sicherere Infrastruktur und mit den neuen MHS RBAC-Permissions ein echtes Alltagsproblem gelöst.

Was sollten Admins jetzt konkret tun? Erstens die Azure Front Door IP-Situation prüfen – das ist der einzige Punkt mit echtem Handlungsbedarf. Zweitens die neuen Assignment Filter für Managed Apps im Auge behalten (Rollout bis Ende März). Und drittens – wenn MHS im Einsatz ist – die neuen RBAC-Permissions reviewen und den Support-Workflow anpassen.

Ich bin gespannt was 2602 noch alles bringt wenn die vollständige Dokumentation online ist. Bis dahin – ran an die Kommentare, welches Feature freut euch am meisten? 😄

🔗 Quellen & weiterführende Links:

• Microsoft Learn – Intune What’s New (2601/2602): learn.microsoft.com/intune/fundamentals/whats-new

• M365 Admin – Service Update February 2026 (2602): m365admin.handsontek.net

• Microsoft Support Tip – Upcoming Intune Network Changes: techcommunity.microsoft.com

• Microsoft Learn – Intune Network Endpoints: learn.microsoft.com/intune/fundamentals/intune-endpoints

Intune Managed Home Screen: Neue RBAC-Permissions – kleines Feature, große Wirkung

4. März 2026 / / Keine Kommentare

Intune Managed Home Screen: Neue RBAC-Permissions – kleines Feature, große Wirkung

Manchmal sind es die kleinen Änderungen, die im Alltag den größten Unterschied machen. Microsoft hat mit dem Intune Februar-Release (2602) zwei neue RBAC-Permissions für den Managed Home Screen eingeführt:

TemporarilySuspendManagedHomeScreen | RestoreManagedHomeScreen

Klingt erstmal technisch und unspektakulär. Ist es aber nicht. Wer schon mal versucht hat, einen Android-Kiosk in einer Schule oder im Frontline-Worker-Umfeld zu supporten, ohne lokalen Admin-Zugriff aufs Gerät zu haben, wird beim Lesen dieser Zeilen vielleicht kurz aufatmen. Warum? Das erkläre ich hier.

Kurzer Auffrischungskurs: Was ist eigentlich der Managed Home Screen?

Für alle die noch nicht täglich mit Android-Enterprise-Deployments zu tun haben: Der Microsoft Managed Home Screen (kurz MHS) ist eine App aus dem Managed Google Play Store, die Microsoft Intune als Standard-Launcher für Android-Kiosk-Geräte verwendet.

Das bedeutet konkret: Statt dem normalen Android-Homescreen sieht der Nutzer nur das, was der Admin ihm erlaubt. Welche Apps, welche Einstellungen, welche Widgets – alles zentral gesteuert. MHS läuft dabei typischerweise auf:

  • Android Enterprise Dedicated Devices (Corporate-owned, kein User-Account) – klassisch für Kiosk, Shared Devices, Info-Terminals
  • Fully Managed Devices (Corporate-owned, user-affiliated) – z.B. Frontline Worker, Schüler-Tablets, Lagermitarbeiter

Der Vorteil ist klar: Kein Nutzer kommt aus dem Kiosk raus, installiert irgendwas, oder ändert die WLAN-Einstellungen. Das Gerät macht was es soll – und sonst nichts.

ℹ️ MHS in Kürze: Intune-verwalteter Android-Launcher | Kiosk-Modus für Dedicated & Fully Managed Devices | Konfigurierbar via App Configuration Policies oder Device Configuration Profiles | Unterstützt Android Enterprise ab OS 8.0 | Beliebt in Schulen, Logistik, Healthcare und Retail

Das Problem: Kiosk ist super – bis jemand Support braucht

Kiosk-Geräte sind im laufenden Betrieb wunderbar. Aber dann kommt der Moment, wo etwas nicht funktioniert. Eine App hängt sich auf, eine Policy greift nicht, das Gerät braucht ein Update das sich im Lock-Down nicht automatisch installiert. Oder – klassischer Schulkontext – ein Schüler hat irgendwas Kreatives angestellt und das Gerät verhält sich komisch.

Vor den neuen Permissions war die Situation für Help Desk Operators und Schuladmins in solchen Momenten nicht schön. Um aus dem MHS-Kiosk rauszukommen und auf die normale Android-Oberfläche zugreifen zu können, gab es im Wesentlichen drei Wege:

  • Den Kiosk-Exit-PIN verwenden – sofern konfiguriert und dem Supporter bekannt
  • Den Debug-Modus über das 15-malige Zurück-Drücken aktivieren – undurchsichtig, nutzerfeindlich, nicht skalierbar
  • Einen vollwertigen Intune-Admin einschalten – weil nur der die nötigen Berechtigungen hatte

Für große Organisationen mit vielen Geräten und einem gestaffelten Support-Modell (Tier 1 / Tier 2 / Tier 3) ist das ein echtes Problem. Ein Help Desk Operator der in einer Schule 300 iPads und 200 Android-Kiosks supportet, braucht operative Handlungsfähigkeit – ohne dass man ihm gleich globale Admin-Rechte geben will. Genau hier setzen die neuen Permissions an.

Die zwei neuen RBAC-Permissions im Detail

TemporarilySuspendManagedHomeScreen – Kiosk kurz auf Pause

Mit dieser Permission kann ein berechtigter Admin den Managed Home Screen vorübergehend aussetzen. Das Gerät verlässt damit den Kiosk-Modus und gibt temporär Zugriff auf die normale Android-Oberfläche – ohne dass der Kiosk dauerhaft deaktiviert wird oder irgendwas an der Konfiguration geändert werden muss.

Was das in der Praxis bedeutet: Der Help Desk kann aus der Ferne – oder direkt am Gerät via Intune Remote Action – den Kiosk kurz „parken“, das Problem lösen (App-Cache leeren, Update erzwingen, Einstellungen prüfen), und danach den MHS-Kiosk wieder aktivieren. Sauber, kontrolliert, ohne Admin-Eskalation.

💡 Praxisbeispiel Schule: Schüler-Tablet in Klasse 7b verhält sich komisch – App startet nicht, Lehrer ruft Support. Help Desk Operator suspendiert remote den MHS, sieht auf die vollständige Android-Oberfläche, stellt das Problem fest (abgelaufene App-Version), triggert ein Sync, aktiviert MHS wieder. Dauer: 5 Minuten. Ohne diese Permission: IT-Admin-Eskalation, Ticket-Ping-Pong, ggf. Gerät einschicken.

RestoreManagedHomeScreen – zurück in den Kiosk

Das ist die Gegenseite. Nachdem der MHS temporär suspendiert wurde, stellt diese Permission sicher, dass der Help Desk Operator den Kiosk-Modus wieder aktivieren kann – ohne auf einen vollständigen Intune-Admin angewiesen zu sein.

Das ist wichtiger als es klingt. Ein Suspend ohne kontrollierten Restore ist in einer Kiosk-Umgebung ein Sicherheitsrisiko. Ein Gerät das „aus Versehen“ dauerhaft aus dem Kiosk ist, ist im Schulkontext oder im Retail-Einsatz schnell ein Problem. Mit RestoreManagedHomeScreen hat der Help Desk die volle Kontrolle über den gesamten Suspend/Restore-Zyklus.

ℹ️ Wichtig: Die beiden Permissions sind als Paar gedacht. TemporarilySuspend ohne Restore ergibt keinen sicheren Support-Workflow. Microsoft hat sie deshalb auch gemeinsam in die Built-in-Rollen aufgenommen.

Wer bekommt die neuen Permissions – und warum genau diese Rollen?

Microsoft hat die beiden Permissions mit dem Februar-Release (2602) automatisch in zwei bestehende Built-in-Rollen integriert:

RBAC-Rolle Bisherige Kernaufgaben Neu hinzukommend
Help Desk Operator Remote-Tasks (Wipe, Lock, Retire), App/Policy-Zuweisung, User-Support TemporarilySuspend + RestoreManagedHomeScreen
School Administrator Apps & Settings für Gruppen, Remote-Lock/Restart/Retire, Intune for Education TemporarilySuspend + RestoreManagedHomeScreen

Die Wahl dieser beiden Rollen ist nicht zufällig. Der Help Desk Operator ist die typische Tier-1-bis-Tier-2-Support-Rolle in Unternehmen mit MHS-Deployments – Retail, Logistik, Healthcare, Frontline Worker. Und der School Administrator ist die dedizierte Rolle für Intune for Education-Umgebungen, wo Kiosk-Tablets und Shared Devices allgegenwärtig sind.

Beide Rollen haben gemeinsam, dass sie operativ nah an den Geräten dran sind – aber eben nicht die volle Intune-Admin-Power haben sollen. Genau deshalb macht es Sinn, ihnen die MHS-Suspend/Restore-Kontrolle zu geben: genug Handlungsspielraum für den Daily Support, ohne sicherheitskritische Berechtigungen wie Policy-Erstellung oder Enrollment-Management zu öffnen.

Kurzer RBAC-Exkurs: Warum das Prinzip so wichtig ist

Role-Based Access Control (RBAC) ist in Intune das zentrale Berechtigungsmodell. Statt jedem Admin die gleichen Rechte zu geben, definiert man Rollen mit klar begrenzten Berechtigungen – und weist diese Rollen dann an spezifische Personen oder Gruppen zu. Das Prinzip dahinter: Least Privilege – jeder bekommt genau die Rechte, die er für seine Aufgabe braucht. Nicht mehr, nicht weniger.

Microsoft empfiehlt ausdrücklich, für den täglichen Betrieb auf Built-in-Rollen zu setzen und Microsoft Entra ID-Rollen (die oft zu viel Zugriff haben) nicht als Standard-Admin-Rollen zu verwenden. Die neuen MHS-Permissions sind ein gutes Beispiel für diese Philosophie in der Praxis: Eine Aufgabe (Kiosk suspendieren) bekommt eine dedizierte Permission, die gezielt an die richtigen Rollen vergeben werden kann.

RBAC-Konzept Bedeutung für MHS-Deployments
Least Privilege Help Desk kann Kiosk managen ohne globale Admin-Rechte
Built-in Roles School Admin + Help Desk Operator bekommen die Permissions automatisch
Custom Roles Granulare Vergabe möglich: z.B. nur RestoreManagedHomeScreen ohne Suspend
Scope Tags Permissions können auf bestimmte Gerätegruppen oder Standorte begrenzt werden

Für Organisationen die Custom RBAC-Rollen nutzen: Die neuen Permissions können auch gezielt einzeln vergeben werden. Wer zum Beispiel einen noch engeren Tier-1-Support nur mit Restore-Recht ausstatten will (um zu verhindern dass jemand den Kiosk unberechtigt suspendiert), kann das über eine Custom Role abbilden.

Wie funktioniert das technisch – was passiert beim Suspend?

Wenn TemporarilySuspendManagedHomeScreen ausgelöst wird, passiert folgendes auf dem Gerät:

  • Der Managed Home Screen-Launcher gibt die Steuerung temporär ab
  • Das Android-System zeigt wieder den Standard-Launcher (oder einen anderen konfigurierten Launcher)
  • Der Nutzer/Admin hat Zugriff auf die vollständige Android-Oberfläche, System-Settings und alle installierten Apps
  • Die MHS-Konfiguration, Policies und App-Zuweisungen bleiben dabei vollständig erhalten – es wird nichts gelöscht oder geändert
  • Per RestoreManagedHomeScreen wird MHS wieder als aktiver Launcher gesetzt – der Kiosk-Modus ist sofort wiederhergestellt

Das ist der entscheidende Unterschied zur bisherigen „Exit Kiosk Mode“-Funktionalität über das Debug-Menü: Die neuen Permissions erlauben eine saubere, remote-auslösbare, auditierbare Aktion – keine Workarounds, kein manuelles Rumdrücken am Gerät, keine PIN-Weitergabe.

⚠️ Zu beachten: Die Suspend-Aktion gibt dem Nutzer temporär Vollzugriff auf das Android-System. In sensiblen Umgebungen (z.B. Healthcare, KRITIS) sollte der Suspend-Workflow dokumentiert und per Scope Tags auf berechtigte Admins begrenzt sein. Ein unbeaufsichtigtes Gerät im Suspend-Zustand ist de facto aus dem Kiosk – das sollte nicht dauerhafter Zustand sein.

Die konkreten Vorteile für den Admin-Alltag

1. Eskalationen werden seltener

Der häufigste Support-Aufwand bei MHS-Deployments ist die Kiosk-Intervention: Gerät hängt, App macht nicht mit, Update ist blockiert. Bisher musste in vielen Szenarien ein Intune-Admin eingreifen. Mit den neuen Permissions kann der Help Desk das selbst lösen – weniger Tickets, kürzere Lösungszeiten, weniger frustrierte Lehrer oder Schichtleiter.

2. Kein PIN-Sharing mehr

Die bisherige „Exit Kiosk“-Methode via Kiosk-PIN war ein Sicherheitsproblem in der Praxis: Entweder kannte der Help Desk den PIN nicht, oder er wurde geteilt und damit zum Sicherheitsrisiko. Mit den RBAC-Permissions ist das obsolet. Kein Pin-Sharing, kein Post-it an der Unterseite des Tablets. Die Aktion ist an die Rolle gebunden, nicht an ein Shared Secret.

3. Vollständige Auditierbarkeit

RBAC-Aktionen in Intune werden geloggt. Wer den MHS suspendiert hat, wann, auf welchem Gerät – das ist alles in den Intune-Audit-Logs nachvollziehbar. Für Compliance-Reports, ISO-Zertifizierungen oder einfach nur für den internen Überblick ist das ein echter Mehrwert gegenüber dem bisherigen PIN-basierten Zugang.

4. Kein Sicherheits-Downgrade nötig

Bisher war die pragmatische Lösung in manchen Organisationen: Help-Desk-Mitarbeitern mehr Intune-Rechte geben als eigentlich nötig, damit sie Kiosk-Probleme lösen können. Das ist klassisches Permission Creep – und ein Risiko. Die neuen granularen Permissions erlauben es, genau das zu vermeiden: Der Help Desk Operator bekommt MHS-Suspend-Rechte, aber eben keine Policy-Erstellungs- oder Enrollment-Rechte.

5. Perfekt für Schul- und Frontline-Umgebungen

Genau die Szenarien wo MHS am meisten eingesetzt wird – Schulen, Retail, Logistik, Healthcare – sind auch die Szenarien mit dem höchsten Support-Aufkommen und dem geringsten Admin-Personal vor Ort. Ein Schulleiter oder Schichtverantwortlicher mit Help-Desk-Operator-Rolle kann jetzt selbst eingreifen, ohne auf den zentralen IT-Admin warten zu müssen. Das ist in der Praxis ein erheblicher Effizienzgewinn.

Was müssen Admins jetzt tun?

Microsoft hat das klar kommuniziert: Es ist keine Admin-Aktion erforderlich. Die Permissions werden automatisch den Built-in-Rollen hinzugefügt. Aber „kein Handlungsbedarf“ heißt nicht „kein Nachdenken erforderlich“. Hier die Empfehlungen:

  • Rolle-Assignments reviewen: Wer hat bei euch die School Administrator- oder Help Desk Operator-Rolle zugewiesen bekommen? Diese Personen bekommen die neuen Permissions automatisch. Ist das in allen Fällen gewollt?
  • Dokumentation aktualisieren: Wenn ihr interne IT-Handbücher, Schulungsunterlagen oder SOPs für den Kiosk-Support habt, müssen diese aktualisiert werden. Der neue Workflow via Suspend/Restore sollte dokumentiert und kommuniziert sein.
  • Custom Roles prüfen: Wer Custom RBAC-Rollen nutzt, kann die neuen Permissions manuell hinzufügen – oder bewusst weglassen, wenn der engste Least-Privilege-Ansatz gewünscht ist.
  • Scope Tags einsetzen: Besonders in großen Organisationen mit verteilten Standorten: Scope Tags sicherstellen, dass Help Desk Operators nur die Geräte suspendieren können, für die sie auch zuständig sind.
  • Auslöser in Intune kennenlernen: Die Aktion wird in der Intune Admin Console als Remote Action auf dem Gerät auslösbar sein – ähnlich wie Remote Lock oder Sync. Den genauen Workflow für das eigene Team einmal durchspielen bevor es der erste echte Support-Fall erfordert.

Fazit: Klein, aber fein – und überfällig

TemporarilySuspendManagedHomeScreen und RestoreManagedHomeScreen sind keine Features die auf Konferenzen mit großem Tamtam vorgestellt werden. Aber für jeden der täglich MHS-Deployments in Schulen, im Frontline-Worker-Umfeld oder im Kiosk-Betrieb supporten muss, sind sie ein echter Lebensverbesserer.

Das Prinzip dahinter ist einfach und richtig: Wer Support machen darf, soll auch die Werkzeuge haben, um guten Support machen zu können – ohne dafür einen sicherheitskritischen Permission-Overhead zu bekommen. Granulares RBAC ist genau dafür gemacht. Und Microsoft setzt das hier konsequent um.

Wer schon MHS im Einsatz hat: Jetzt ist ein guter Zeitpunkt, die Role Assignments zu reviewen und den Suspend/Restore-Workflow in den internen Support-Prozess aufzunehmen. Und wer noch überlegt, MHS für ein Kiosk-Deployment einzusetzen: Diese Verbesserung macht es noch attraktiver – gerade wenn kein dediziertes Vor-Ort-Admin-Team zur Verfügung steht.

💡 Mein Fazit: Kleine Permissions, große Wirkung. Wer 100+ Kiosk-Geräte ohne dediziertes Admin-Team vor Ort supportet, wird diese Änderung lieben. Der Help Desk kann jetzt genau das tun, wofür er da ist – Probleme lösen – ohne bei jedem Kiosk-Issue einen Global Admin klingeln zu müssen.

🔗 Quellen & weiterführende Links:

• M365 Admin – Originalmeldung MC1213781: m365admin.handsontek.net

• Microsoft Learn – Configure Managed Home Screen App: learn.microsoft.com/intune/apps/app-configuration-managed-home-screen-app

• Microsoft Learn – RBAC with Microsoft Intune: learn.microsoft.com/intune/fundamentals/role-based-access-control

• Microsoft Tech Community – MHS Setup Guide (Kiosk Mode): techcommunity.microsoft.com

• Systunation – The Incredible Managed Home Screen: systunation.com/the-incredible-managed-home-screen-mhs-of-intune

iPhone & iPad für NATO-Verschlusssachen zugelassen: Was steckt wirklich hinter der Indigo-Zertifizierung?

2. März 2026 / / Keine Kommentare

iPhone & iPad für NATO-Verschlusssachen zugelassen: Was steckt wirklich hinter der Indigo-Zertifizierung?

In einem LinkedIn-Post am Wochenende bin ich auf diese Info gestoßen – und hab das Ganze direkt mal näher beleuchtet. Was ich da gelesen hab, ist tatsächlich ziemlich bemerkenswert. Also fangen wir mal von vorne an.

26. Februar 2026. Apple veröffentlicht eine Pressemitteilung, die in der MDM- und Security-Community sofort die Runde macht: iPhone und iPad sind die ersten – und bislang einzigen – Consumer-Endgeräte weltweit, die für den Umgang mit vertraulichen NATO-Informationen zugelassen sind. Keine Zusatz-Software. Keine Spezial-Hardware. Das Ding in deiner Hosentasche – ab sofort offiziell NATO-tauglich.

Als jemand der seit Jahren im Mobile Device Management unterwegs ist und täglich iOS-Deployments in Enterprise- und Behördenumgebungen begleitet, hat mich diese Nachricht aufhorchen lassen. Nicht wegen des Apple-Marketing-Texts – der ist erwartungsgemäß vollmundig – sondern wegen dem, was technisch dahintersteckt und was es für unsere Branche bedeutet.

In diesem Post schaue ich mir an, was die Indigo-Konfiguration wirklich ist, was das technisch und operativ bedeutet, wo die echten Chancen liegen – und wo ich als MDM-Praktiker trotzdem kritisch nachfragen würde.

Was ist passiert? Die Fakten auf den Punkt

ℹ️ Das Wichtigste in Kürze: iPhone und iPad mit iOS 26 / iPadOS 26 sind im NATO Information Assurance Product Catalogue (NIAPC) gelistet. Zertifizierungsstufe: NATO RESTRICTED – also „Nur für den Dienstgebrauch“. Keine Zusatz-Software nötig, nur MDM-Verwaltung im Supervised Mode. Technische Bewertung und Freigabe durch das BSI (Deutschland). Bezeichnung der Konfiguration: Indigo.

Die NATO hat eine Produktkategorie namens NATO RESTRICTED – das ist die unterste von vier NATO-Geheimhaltungsstufen. Darüber liegen NATO CONFIDENTIAL, NATO SECRET und COSMIC TOP SECRET. Wir reden also nicht über Atomwaffen-Codes auf dem iPhone 😄 – aber NATO RESTRICTED ist trotzdem eine staatlich anerkannte Sicherheitsstufe mit echten operativen Informationen in Militär, Behörden und Sicherheitsorganisationen. Und für die war bis heute kein Consumer-Device zugelassen – zumindest nicht ohne Sondersoftware, die es in der Vergangenheit gab und auch noch gibt. Aber die brachte immer einen riesigen Impact auf Budgetplanung und Administration mit. Halt: unsexy.

Die Grundlage für die NATO-Zertifizierung legte das BSI: Das Bundesamt für Sicherheit in der Informationstechnik hatte iOS und iPadOS bereits zuvor für die Verarbeitung von VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) freigegeben – dem deutschen Äquivalent zu NATO RESTRICTED. Auf Basis dieser gründlichen Prüfung wurde die Zertifizierung auf alle 32 NATO-Mitgliedsstaaten ausgeweitet. Ab sofort sind iPhone und iPad mit iOS 26 und iPadOS 26 in allen NATO-Staaten offiziell zertifiziert.

Die Indigo-Konfiguration: Was steckt technisch dahinter?

„Indigo“ klingt nach einem speziellen Government-Fork von iOS – so eine Art geheimes Geheimdienstbetriebssystem. Ist es aber nicht. Apple hat das explizit klargestellt, und der offizielle NIAPC-Eintrag bestätigt es: Indigo ist kein separates OS, kein Custom-Build, kein proprietäres Sicherheits-Layer. Es ist schlicht der Name, den das BSI der Standard-iOS-Konfiguration im Rahmen seiner Sicherheitsevaluierung gegeben hat.

Was die Indigo-Konfiguration konkret ausmacht, ist im NIAPC-Eintrag offiziell dokumentiert. Ich übersetze das mal aus dem Behörden-Englisch ins IT-Deutsch:

Apple Silicon – die Hardware-Basis

Der Apple Silicon Chip arbeitet nahtlos mit iOS und iPadOS zusammen und liefert Security-Features direkt auf Hardware-Ebene. Die Secure Enclave ist dabei der Kern: Sie verschlüsselt und schützt User- und biometrische Daten und setzt Passcode-Policies direkt in Hardware durch – ohne dass das OS selbst überhaupt Zugriff auf die Schlüssel hat. Das ist eine fundamentale Architekturentscheidung, die Apple vom Wettbewerb unterscheidet – und die man nicht einfach per Software nachrüsten kann.

Touch ID und Face ID – mehr als nur Komfort

Biometrische Authentifizierung über Face ID oder Touch ID – schnell, sicher, ohne Passwort-Overhead. Im Enterprise- und Behördenkontext ist das besonders relevant, weil es den ewigen Security-Usability-Konflikt löst: Keine Post-its mit Passwörtern unter der Tastatur, keine „Passwort vergessen“-Tickets, kein Shoulder-Surfing im Großraumbüro. Und das Beste: Die biometrischen Daten verlassen nie die Secure Enclave – nicht mal Apple selbst hat darauf Zugriff.

Memory Integrity Enforcement (MIE) – das eigentliche Highlight

Das ist das Feature, das mich beim Lesen des NIAPC-Eintrags am meisten aufhorchen ließ. MIE kombiniert Apple Silicon Hardware mit fortschrittlicher OS-Security und liefert laut Apple „always-on memory safety für Geräte mit A19 und M5 Prozessoren“ – ohne Performance-Impact. Der offizielle NIAPC-Eintrag bezeichnet es als den größten Fortschritt in der Memory Safety für Consumer-Betriebssysteme überhaupt. Und das ist keine leere Marketingaussage.

Was MIE in der Praxis bedeutet: Klassische Speicherangriffe – Buffer Overflows, Use-After-Free, Return-Oriented Programming – werden auf Hardware-Ebene blockiert, bevor sie überhaupt zur Software-Schicht gelangen. Das klingt technisch, hat aber eine ganz einfache Konsequenz: Eine ganze Klasse von Angriffen, für die es in der Vergangenheit aufwendige Software-Patches brauchte, existiert auf diesen Geräten schlicht nicht mehr. Das ist der Grund, warum der NIAPC-Eintrag explizit A19- und M5-Geräte hervorhebt.

⚠️ Wichtig für die Praxis: MIE ist ausschließlich auf Geräten mit A19- und M5-Chip verfügbar – also der aktuellen iPhone 17-Serie und den neuesten iPad Pro/Air Modellen. Ältere Geräte fallen zwar unter iOS 26 und sind formal unter die Zertifizierung gefasst, erreichen aber nicht das gleiche Memory-Safety-Level. Wer sicherheitskritische Deployments plant, sollte das bei der Gerätebeschaffung berücksichtigen.

VPN und Secure Networking – kein Extra nötig

Apple Devices unterstützen VPN nativ – ohne Zusatz-App, ohne proprietären Client. iOS und iPadOS arbeiten direkt mit IKEv2, Cisco IPsec und L2TP over IPsec zusammen. Das stellt sicher, dass Daten auf dem Transportweg verschlüsselt bleiben – auch wenn die verwendete App selbst keine eigene Verschlüsselung mitbringt. Für Behörden, die ohnehin auf VPN-Infrastruktur setzen: nahtlose Integration, kein Mehraufwand.

Was die Konfiguration konkret verlangt – der MDM-Part

Und hier kommen wir zum entscheidenden operativen Punkt. Der NIAPC-Eintrag ist eindeutig: Indigo erfordert keine spezielle Zusatz-Software oder besondere Einstellungen – aber die Geräte müssen per MDM verwaltet und in den Supervised Mode versetzt werden. Kein Supervised Mode, keine Indigo-Zertifizierung. So einfach ist das.

Freigegebene Anwendungen in der Indigo-Konfiguration: Mail, Kalender und Kontakte – mit den nativen Apple-Apps. Genau die Kern-Tools des täglichen Dienstbetriebs. Keine Custom-App, kein proprietärer Mailclient. Die Standard-Apps reichen.

Die echten Vorteile – warum das mehr als Marketing ist

Security by Design – endlich offiziell bestätigt

Apple argumentiert seit Jahren: echte Sicherheit muss von Anfang an ins Produkt integriert sein. Kein nachträglicher Security-Layer, keine Compliance-Krücke. Schön und gut – das behaupten viele Hersteller. Aber das BSI ist keine Institution, die Zertifizierungen leichtfertig vergibt. Wenn das BSI nach umfassender technischer Prüfung bestätigt, dass Standard-iOS für VS-NfD geeignet ist, dann ist das eine fundierte, unabhängige Aussage – kein Gefälligkeitsgutachten.

Kein Sonderbau mehr – Standard-Hardware für klassifizierte Umgebungen

Das ist wohl der größte Paradigmenwechsel. Bislang brauchten Behörden für klassifizierte Informationen speziell gehärtete Devices – teuer, schwer zu updaten, operativ unbequem und – wie schon erwähnt – halt unsexy. Das iPhone ist jetzt ab Werk NATO-tauglich. Das senkt Beschaffungskosten dramatisch, vereinfacht das Lifecycle-Management und löst ein ganz praktisches Problem: Mitarbeiter schleppen keine zwei Geräte mehr mit sich rum.

MDM als zentraler Sicherheitsmechanismus – starkes Signal für die Branche

Aus meiner MDM-Perspektive ist das ein echtes Statement: Die einzige technische Voraussetzung für die NATO-Zertifizierung ist Supervised Mode via MDM. Kein weiterer proprietärer Layer, kein spezieller Security-Agent. Ein gut konfiguriertes Workspace ONE UEM oder Microsoft Intune mit dem richtigen Deployment-Profil liefert die technische Grundlage für den NATO-konformen Betrieb. Das ist eine massive Aufwertung für Standard-MDM-Infrastruktur in Behördenumgebungen – und ein starkes Argument in Kundengesprächen.

Apple öffnet sich eine Tür – hinter der richtig viel Budget liegt 📈

Das ist der wirtschaftliche Aspekt, den man nicht ignorieren sollte. Behörden, Militär, Sicherheitsorganisationen, KRITIS-Betreiber – das sind Märkte mit erheblichem Investitionsvolumen, langen Vertragslaufzeiten und einer historisch konservativen Beschaffungspolitik. Mit der NATO-Zertifizierung hat Apple ein überzeugendes Argument in genau diesen Märkten. Nicht nur für die Hardware, sondern für das gesamte Apple-Ökosystem: MDM via WS1 oder Intune, JAMF für macOS, iCloud in freigegebenen Kontexten.

💡 Strategische Einschätzung: Apple macht sich mit der Indigo-Zertifizierung eine Tür auf, hinter der richtig viel Budget liegt. Der öffentliche Sektor in NATO-Mitgliedsstaaten wird diese Zertifizierung als Grundlage für Beschaffungsentscheidungen nutzen – und das über Jahre hinweg. Für MDM-Berater und Systemhäuser im Public-Sector-Umfeld ist das ein echter Türöffner für neue Projekte.

Die kritischen Fragen – weil es sie gibt

NATO RESTRICTED ist die niedrigste Stufe – Kontext ist alles

Das muss man klar sagen: Die Zertifizierung gilt für NATO RESTRICTED – die unterste von vier Geheimhaltungsstufen. NATO CONFIDENTIAL, NATO SECRET und COSMIC TOP SECRET bleiben weiterhin spezialisierten, gehärteten Systemen vorbehalten. Die Berichterstattung hat das manchmal etwas dramatischer klingen lassen als es ist. Trotzdem: Für einen riesigen Teil der täglichen Behörden- und Militärarbeit ist NATO RESTRICTED die relevante Stufe. Der Großteil der Verschlusssachen im operativen Dienstbetrieb läuft auf genau dieser Ebene – und da ist die Zertifizierung absolut relevant.

Supervised Mode schließt BYOD vollständig aus

Die Zertifizierung gilt ausschließlich für vollständig MDM-verwaltete Corporate Devices im Supervised Mode. BYOD-Konzepte, Work-Profile-Ansätze oder MAM-only sind für klassifizierte Umgebungen damit nicht zulässig. Für Behörden mit BYOD-Programmen bedeutet das: zwei getrennte Device-Welten. Das ist operativ handhabbar – muss aber von Anfang an in der MDM-Architektur eingeplant werden.

Indigo ist kein Plug-and-Play – das Hausaufgabenheft bleibt offen

Trotz der simplen Bezeichnung ist Indigo kein Schalter, den man einfach umlegt. Es ist eine Betriebskonfiguration, die durch MDM-Policies umgesetzt werden muss – und die genauen Policy-Anforderungen sind bisher nicht vollständig öffentlich dokumentiert. Organisationen, die das ernsthaft umsetzen wollen, müssen das mit ihrem MDM-Anbieter, dem BSI und den jeweiligen nationalen Sicherheitsbehörden abstimmen. Was ich mir wünschen würde: eine öffentliche, BSI-endorsed Configuration Baseline – ähnlich wie NIST das für andere Plattformen publiziert. Das würde die Community wirklich weiterbringen.

Apple ist ein US-Konzern – der CLOUD Act bleibt ein Thema

Das kann man nicht einfach ignorieren. Apple ist ein US-amerikanisches Unternehmen, unterliegt US-Recht und theoretisch dem U.S. CLOUD Act. Die Secure Enclave ist hardwareseitig stark abgeschirmt, und Apple hat mehrfach betont, keine Backdoors eingebaut zu haben. Das BSI hat die Plattform gründlich geprüft und freigegeben – das ist ein starkes, unabhängiges Signal. Aber die Diskussion über digitale Souveränität und Abhängigkeit von US-Technologie bleibt politisch hochaktuell, gerade im europäischen Kontext.

Und Android? Die berechtigte Frage

Die Frage die sich viele Enterprise-Admins stellen werden: Wenn Apple es geschafft hat – warum nicht Android? Google hat mit Android Enterprise, dem Pixel-Portfolio und dem Android Ready SE Alliance-Programm ebenfalls erheblich in Hardware-Security investiert. Und trotzdem: Bisher ist kein einziges Android-Device im NIAPC gelistet. Das zeigt eindrucksvoll den Unterschied zwischen einem vertikal integrierten Ökosystem – Apple: eigener Chip, eigenes OS, eigene Sicherheitsarchitektur, alles aus einer Hand – und einem fragmentierten Ökosystem mit dutzenden OEMs, die alle unterschiedliche Hardware und unterschiedliche Update-Zyklen mitbringen. Für Android-lastige MDM-Umgebungen bleibt das eine offene und relevante Frage.

Was bedeutet das für MDM-Deployments in der Praxis?

Für alle, die das jetzt operativ umsetzen wollen oder müssen – hier die wichtigsten Anforderungen auf einen Blick:

Aspekt Anforderung / Implikation
iOS/iPadOS Version iOS 26 / iPadOS 26 – Mindestvoraussetzung, keine Ausnahme
Enrollment Supervised Mode via Apple Business Manager zwingend erforderlich
MDM-Plattform WS1 UEM oder Intune mit vollständiger iOS-Supervised-Unterstützung
Gerätehardware A19/M5 für MIE (always-on memory safety) – ältere HW formal konform, aber eingeschränkt
Freigegebene Apps Mail, Kalender, Kontakte (native Apple Apps) – explizit bestätigt
Netzwerk VPN nativ: IKEv2, Cisco IPsec, L2TP over IPsec – kein Zusatz-Client nötig
BYOD Nicht zulässig – ausschließlich vollständig verwaltete Corporate Devices
Policy-Anforderungen Abstimmung mit BSI / nationaler Sicherheitsbehörde erforderlich
Updates Konsequentes iOS-Update-Management zwingend – veraltetes OS = keine Konformität

Für WS1-Umgebungen: Die Kombination aus Apple Business Manager, WS1 UEM und der Indigo-Konfiguration ergibt ein kohärentes, nachvollziehbares Sicherheits-Stack – und ist ein starkes Argument für den Verbleib in der Apple-WS1-Welt, wenn Public-Sector-Kontexte eine Rolle spielen. Für Intune gilt das gleiche: Supervised iOS wird vollständig unterstützt, die nötigen Baseline-Policies lassen sich sauber ausrollen.

Fazit: Echter Meilenstein – mit offenem Hausaufgabenheft

Ich sag’s klar: Das ist ein echter Meilenstein. Nicht wegen dem vollmundigen Apple-Marketing, sondern weil das BSI eine der anspruchsvollsten Sicherheitsbewertungsbehörden weltweit ist. Wenn das BSI Standard-iOS für VS-NfD freigibt, wurde das ernsthaft geprüft – und das Ergebnis hat Gewicht.

Die Implikationen für unsere Branche sind erheblich. Erstmals ist ein Consumer-Betriebssystem offiziell als sicher genug für klassifizierte staatliche Informationen eingestuft. Das verändert die Benchmark – für Apple, für die Konkurrenz und für die Art wie wir über mobile Sicherheitsarchitekturen nachdenken. Security by Design ist keine leere Marketing-Phrase mehr, sondern eine extern bestätigte Tatsache.

Für MDM-Admins und Berater im Public-Sector-Umfeld: Das ist ein Türöffner. Nicht nur für iOS-Deployments, sondern für das gesamte Gespräch rund um Standard-Hardware in sicherheitskritischen Umgebungen. Wer bisher gegen den Widerstand von IT-Sicherheitsbeauftragten ankämpfen musste, hat jetzt ein starkes Argument in der Hand.

Was ich mir noch wünsche: eine öffentliche, BSI-endorsed Configuration Baseline, die konkret dokumentiert welche MDM-Policies die Indigo-Konfiguration ausmachen. Das würde die operative Umsetzung deutlich vereinfachen und der Community echten Mehrwert liefern. Bis dahin: selbst recherchieren & BSI-Dokumente lesen. 😄

Workspace ONE vs. Microsoft Intune: Mein ehrlicher MDM-Vergleich nach 16+ Jahren im Feld

1. März 2026 / / Keine Kommentare

Workspace ONE vs. Microsoft Intune: Mein ehrlicher MDM-Vergleich nach 16+ Jahren im Feld

Also, lasst mich direkt loslegen – kein Blabla vorneweg. Ich bin seit 26 Jahren in der IT, die letzten 16+ davon speziell im Mobile Device Management. iOS, Android und in den letzten 7 Jahren dazu noch der Fokus auf Zebra-Rugged-Devices, Honeywell MDE. Dabei hab‘ ich schon so ziemlich alles gesehen, was die Branche zu bieten hat. Und die beiden Systeme, die mich dabei am längsten begleiten: VMware Workspace ONE (WS1) und Microsoft Intune. Beide stark. Beide mit Ecken und Kanten. Und beide für bestimmte Szenarien einfach die richtige Wahl.

In diesem Post zeige ich euch keinen Marketing-Vergleich, sondern meinen ehrlichen Blick aus dem Admin-Alltag. Kein Sieger, kein Verlierer – nur Fakten, Erfahrungen und ein bisschen Meinung. Los geht’s!

Ein kurzer Blick zurück: Wie haben sich WS1 und Intune entwickelt?

Wer lange genug dabei ist, erinnert sich noch an AirWatch. Damals – so ab 2012/2013 – war das die Referenz im MDM-Markt. VMware hat AirWatch 2014 übernommen und daraus Workspace ONE gemacht, ein vollintegriertes Digital Workspace-Ökosystem. Der Ansatz: Ein Ökosystem für alles – MDM, Identity, App-Management, Conditional Access. Klingt gut, und ist es auch – wenn man bereit ist, etwas Zeit zu investieren.

Microsoft Intune startete ungefähr zur gleichen Zeit als eher schlichter MDM-Dienst in der Azure-Cloud. Lange Zeit war es ehrlich gesagt… okay-ish. Aber mit der Einführung von Microsoft Endpoint Manager (MEM) und der späteren Umbenennung und Neuausrichtung als Intune innerhalb des Microsoft 365-Ökosystems hat sich das massiv verändert. Heute ist Intune ein ernstzunehmender Konkurrent – gerade wenn man sowieso tief im Microsoft-Stack steckt.

iOS-Management: Wer macht’s besser?

Workspace ONE

WS1 und iOS – das war lange die Traumehe im Enterprise-Umfeld. Supervised Mode, Apple Business Manager Integration, Custom Payloads, granulare Richtlinien für jede erdenkliche Einstellung: Workspace ONE hat hier jahrelang die Benchmark gesetzt. Besonders bei komplexen Enrollment-Szenarien (Zero-Touch via DEP, Shared Device Mode, etc.) ist WS1 stark.

Was ich persönlich schätze: Die Flexibilität bei Custom Profiles. Wenn Apple mal wieder eine Einstellung nicht offiziell im MDM-Standard freigibt, kann man mit WS1 via Custom XML Payload trotzdem rankommen. Das ist für erfahrene Admins Gold wert.

Zusätzlich ist der Workspace ONE Intelligent Hub unter iOS die Steuerzentrale & bietet dem Anwender über die Umsetzung der Policy, Verteilung der Apps bis hin zu Pushnachrichten, alles was benötigt wird.

Microsoft Intune

Intune hat in den letzten Jahren enorm aufgeholt. ADE (Automated Device Enrollment), Apple Business Manager-Integration, SCEP-Zertifikate (okay okay, hier gibt es so manche Use-Cases, da kann man nur mit dem Kopf drüber schütteln), Conditional Access – das läuft mittlerweile alles rund. Für Organisationen, die primär Microsoft 365 nutzen, ist die Integration einfach nahtlos. Ein Klick in Azure AD, und der Mac (Ja ja, JAMF ist the King, but don’t judge me 😉) oder das iPhone ist im Unternehmensnetzwerk.

Wo Intune noch hinterherhinkt: Bei sehr spezifischen, tief greifenden iOS-Konfigurationen kommt man schneller an Grenzen als bei WS1. Custom Profiles gehen auch hier, aber die Dokumentation und der Support sind nicht immer auf dem gleichen Level.

Kriterium Workspace ONE Microsoft Intune
Apple Business Manager ✅ Stark, tiefe Integration ✅ Gut, nahtlos mit M365
Supervised Mode ✅ Vollständig unterstützt ✅ Vollständig unterstützt
Custom Profiles (XML) ✅ Sehr flexibel ⚠️ Möglich, aber weniger komfortabel
Zero-Touch Enrollment ✅ Excellent ✅ Gut
Conditional Access ✅ Via Workspace ONE Intelligence ✅ Nativ in Azure AD

Android-Management: Enterprise-tauglich oder Bastelbude?

Android for Enterprise (AfE) – die Grundlage

Seit Google Android for Enterprise eingeführt hat, ist Android im Enterprise-Umfeld erwachsen geworden. Beide Systeme unterstützen die gängigen AfE-Enrollment-Methoden: Work Profile, Fully Managed, Dedicated Device. Der Unterschied liegt – wie so oft – im Detail.

Workspace ONE bei Android

WS1 ist im Android-Segment extrem stark, gerade wenn es um Fully Managed Devices oder Dedicated Devices (Kiosk-Mode) geht. Ich hab das in Projekten mit Samsung Knox & Zebra Devices immer wieder erlebt: WS1 gibt dir einfach mehr Hebel. OEM Config-Support, tiefe Knox Integration, granulare App-Verwaltung über Managed Google Play – das sitzt. Auch wenn ich da nochmal sagen muss, Knox und Ich, naja das wird nie eine richtige Freundschaft 😏

Ein echtes Highlight: der Workspace ONE Intelligent Hub. Der Agent macht auf Android deutlich mehr als nur MDM-Policies zu verteilen. Self-Service, App Catalog, Benachrichtigungen – das fühlt sich für den User weniger nach „Kontrolle“ an und mehr nach „Tool“.

Microsoft Intune bei Android

Intune hat bei Android in den letzten Jahren ebenfalls stark nachgelegt. Work Profile Enrollment läuft smooth (okay, wenn wir realistisch sind, kommt es auch hier manchmal auf die Laune von Microsoft an & man darf den einen oder anderen Kaffee trinken, bis das System es richtig umsetzt), MAM (Mobile App Management) ohne Enrollment ist für BYOD-Szenarien oft die smartere Wahl – und hier glänzt Intune wirklich. Die Integration mit Microsoft Apps (Outlook, Teams, Edge) via App Protection Policies ist einfach unschlagbar komfortabel.

Bei Dedicated Devices und komplexen Kiosk-Setups merkt man aber schneller die Grenzen. Hier fehlt Intune die Tiefe, die WS1 mitbringt – vor allem wenn OEM-spezifische Features gefragt sind.

Kriterium Workspace ONE Microsoft Intune
Work Profile (BYOD) ✅ Gut ✅ Sehr gut, bes. mit MAM
Fully Managed Devices ✅ Exzellent ✅ Gut
Dedicated/Kiosk Mode ✅ Sehr flexibel ⚠️ Eingeschränkt
OEM Config (Zebra/Samsung) ✅ Tiefe Integration ⚠️ Basis-Support
MAM ohne Enrollment (BYOD) ✅ Vorhanden ✅ Best-in-Class
Knox Integration ✅ Exzellent ⚠️ Eingeschränkt

Rugged Devices: Zebra, Honeywell & Co. – das oft vergessene Segment

Das ist das Thema, das in 80% der MDM-Blogposts völlig ignoriert wird – aber in den letzten über 7 Jahren durfte ich in meiner täglichen Arbeit einige Erfahrungen sammeln. Zebra TC-Serie, Honeywell CT-Serie, MDE-Devices für Logistik, Produktion, Einzelhandel – das sind Tiere für sich.

Workspace ONE hat hier einen klaren Vorteil: Die Zebra OEM Config-Unterstützung ist exzellent. StageNow-Integration, SOTI-ähnliche Konfigurationsmöglichkeiten via WS1, spezifische Hardware-Profile für Barcode-Scanner, PTT-Tasten, Display-Helligkeit unter bestimmten Bedingungen – das alles lässt sich über WS1 granular steuern.

Intune verbessert sich hier, aber wenn ihr ernsthaft in der Welt der Rugged Devices unterwegs seid, werdet ihr mit Intune allein oft nicht glücklich. Hier braucht man entweder WS1 oder spezialisierte EMM-Lösungen wie SOTI MobiControl. Manche Kunden kombinieren das auch – Intune für Standard-Devices, WS1 oder SOTI für den Rugged-Bereich.

Administration: Wo macht’s mehr Spaß (oder weniger Frust)?

Die WS1-Konsole

Ich sag’s ehrlich: WS1 ist mächtig. Und mit Macht kommt Komplexität. Die Admin-Konsole ist funktionsreich bis an die Grenze des Überwältigenden. Wenn du weißt, was du tust, kannst du quasi alles konfigurieren. Wenn du neu bist, kannst du dich erstmal eine Weile in den Menüs verlieren.

Mit dem Umstieg auf Workspace ONE UEM Cloud und dem neueren UI hat VMware / Broadcom einiges verbessert. Trotzdem: Die Lernkurve ist real. Ich empfehle hier immer eine gute Schulung (auch wenn die nur auf Labs wie bei allen großen besteht) oder – noch besser – jemanden mit Erfahrung an Bord zu holen.

Die Intune-Konsole (aka Microsoft Intune Admin Center)

Wer regelmäßig im Azure-Portal unterwegs ist, fühlt sich in Intune schnell zuhause. Das Layout folgt Microsoft-Logik, die Dokumentation ist umfangreich und auf Microsoft Learn sehr gut aufbereitet. Für Admins, die bereits mit Azure AD, Conditional Access oder Defender for Endpoint arbeiten, ist das ein echter Vorteil – alles spielt zusammen.

Was mich bei Intune manchmal wahnsinnig macht: Einstellungen, die sich an drei verschiedenen Stellen befinden können (Device Configuration, Security Baselines, Endpoint Security…). Das sorgt für „Wo war das nochmal?“-Momente, die man kennt, wenn man Intune schon länger nutzt.

Security: Wer schläft ruhiger?

Security ist das Herzstück jedes MDM-Systems, und hier spielen beide in der obersten Liga – auf unterschiedliche Weise.

Workspace ONE Intelligence & Trust Network

WS1 bringt mit Workspace ONE Intelligence eine eigene SIEM-ähnliche Analyse- und Automatisierungsschicht mit. Ich kann Policies definieren, die automatisch auf Geräte reagieren (z.B.: Device ohne aktuelles OS-Update → Zugriff auf Unternehmensressourcen sperren). Das Trust Network integriert Security-Drittanbieter – hier möchte ich einfach keine Namen nennen, dort gilt: try and error. Für komplexe Enterprise-Security-Setups ist das richtig stark.

Microsoft Defender + Conditional Access

Microsoft spielt seine Stärken hier aus: Microsoft Defender for Endpoint ist direkt in Intune integriert. Conditional Access in Azure AD ist für viele Szenarien der Standard-Ansatz – und das aus gutem Grund. Wenn ihr M365 E5 oder ähnliche Lizenzen habt, bekommt ihr Security-Features, für die ihr bei WS1 extra zahlen würdet.

Für reine Microsoft-Shops ist das Sicherheits-Stack von Microsoft schwer zu schlagen. Für heterogene Umgebungen mit vielen Nicht-Microsoft-Produkten hat WS1 mehr Flexibilität.

Flexibilität & Skalierbarkeit: Wächst das System mit?

Workspace ONE: Extrem skalierbar, extrem flexibel – und extrem komplex wenn man’s falsch angeht. WS1 kann On-Premise, Cloud oder Hybrid betrieben werden. Das ist in regulated industries (KRITIS, Banken, Healthcare) ein echtes Argument.

Und genau für diese regulierten Umgebungen gibt es seit kurzem eine weitere spannende Option: die Omnissa Sovereign Solution für Workspace ONE. Das ist kein klassisches On-Premise mehr im alten Sinne, sondern ein partner-gehostetes SaaS-Modell – sprich, ein zertifizierter Partner betreibt die WS1 UEM-Umgebung in seinem eigenen privaten, lokalen Rechenzentrum. Damit bekommt man die Vorteile einer modernen SaaS-Architektur, ohne die Daten in eine internationale Public Cloud geben zu müssen. Für KRITIS, Behörden oder stark regulierte Branchen kann das ein echter Game-Changer sein – und ist definitiv ein Thema, dem ich hier auf dem Blog noch einen eigenen Post widmen werde!

Intune: Cloud-first, kein On-Premise. Das ist für die meisten Unternehmen heutzutage kein Problem – kann aber in stark regulierten Umgebungen zum Showstopper werden. Dafür ist der Betrieb operativ günstiger und einfacher.

Kriterium Workspace ONE Microsoft Intune
Deployment-Option Cloud, On-Premise, Hybrid, Sovereign Cloud-only
Skalierbarkeit Sehr hoch Hoch
API-Integration Umfangreiche REST APIs Microsoft Graph API
Multi-Tenant
Lizenzkosten Höher, modular In M365 oft inkludiert
Community & Docs VMware Tech Zone / Broadcom Docs Microsoft Learn (sehr gut)

Das Broadcom-Thema: Der Elefant im Raum

Ich wäre kein ehrlicher MDM-Blogger, wenn ich das nicht ansprechen würde: Broadcom hat VMware übernommen – und das hat die WS1-Welt ordentlich durchgeschüttelt. Lizenzstruktur-Änderungen, Partner-Ökosystem-Unsicherheiten, Support-Fragen… Das sind reale Themen, die Kunden zu Recht beschäftigen.

Ich sage nicht, dass WS1 deshalb keine gute Wahl mehr ist. Aber wer heute eine Entscheidung treffen muss, sollte das Broadcom-Thema in der Bewertung nicht ignorieren. Es hat viele Unternehmen dazu gebracht, ihre MDM-Strategie zu überdenken – und nicht wenige davon landen gerade bei Intune oder evaluieren Alternativen wie Jamf (für Apple-only) oder SOTI.

Für wen ist was die bessere Wahl?

Jetzt wird’s meinungsstark – aber ohne Sieger. Es gibt kein „besser“ ohne Kontext. Hier meine Einschätzung:

  • Du bist tief im Microsoft 365-Ökosystem, nutzt Azure AD, Defender und Teams? → Intune ist dein Weg.
  • Du hast eine heterogene Umgebung mit iOS, Android und Rugged Devices von Zebra oder Honeywell? → WS1 hat die tiefere Feature-Abdeckung.
  • Du bist ein kleines bis mittelständisches Unternehmen ohne dediziertes MDM-Team? → Intune ist einsteigerfreundlicher und günstiger.
  • Du brauchst On-Premise, Hybrid oder Sovereign-Deployment aus regulatorischen Gründen? → WS1 (inkl. Omnissa Sovereign Solution) ist dein einziger Kandidat der beiden.
  • BYOD-Strategie mit Android und minimaler Eingriff auf Privatgeräte? → Intune MAM ist hier das Mittel der Wahl.
  • Komplexe Enterprise-Security mit Drittanbieter-Integration? → WS1 Intelligence bietet hier mehr Flexibilität.

Fazit: Zwei Welten, eine Entscheidung

Nach 16+ Jahren MDM kann ich euch sagen: Es gibt kein universell „besseres“ System. Workspace ONE ist das Schweizer Taschenmesser – mächtig, flexibel, aber komplex. Microsoft Intune ist der verlässliche Werkzeugkasten für alle, die schon tief im Microsoft-Stack stecken.

Was ich euch mitgeben will: Evaluiert ehrlich eure eigene Umgebung. Welche Devices, welche Nutzungsszenarien, welche internen Skills habt ihr? Und schaut euch die Lizenzkosten ganzheitlich an – Intune ist oft schon in euren M365-Lizenzen drin, WS1 kostet extra.

Aber eins ist klar: Es bleibt spannend und der Bereich entwickelt sich und entwickelt sich. Man darf sich hier einfach weiter drauf freuen, wie es weitergeht – und wer weiß, vielleicht kommt ja noch einer der underated Underdogs aus dem Untergrund wieder hoch. 😄

Ich freue mich auf eure Erfahrungen in den Kommentaren – seid ihr Team WS1, Team Intune, oder habt ihr eine ganz andere Lösung gefunden? Immer her damit! 😄

Vom Bitwarden-Fan zum Apple-Native: So wechsle ich nahtlos zu Apple Passwörter – inklusive Passkeys und 2FA-Codes

28. Februar 2026 / / Keine Kommentare

Von Bitwarden zu Apple Passwörter wechseln: So geht’s Schritt für Schritt

Stellt euch vor: Ihr seid treuer Bitwarden-Nutzer, schätzt die Cross-Plattform-Funktionen und die starke Verschlüsselung. Aber eines Tages wacht ihr auf eurem MacBook auf, öffnet Safari, und zack – die Apple Passwörter-App füllt eure Logins perfekt aus, synchronisiert blitzschnell über iCloud und integriert sich nahtlos in euer Apple-Ökosystem. Kein Herumfummeln mehr mit Browser-Erweiterungen oder Apps. Das war mein „Warum“-Moment: Warum nicht die volle Apple-Power nutzen, wenn man ohnehin 90% der Zeit im macOS/iOS-Welt lebt?

In diesem Post zeige ich euch Schritt für Schritt, wie ich von Bitwarden zu Apple Passwörter gewechselt bin – inklusive der Knackpunkte bei Passkeys und Authenticator-Codes. Plus: Die echten Vorteile für Apple-Nutzer, die mich überzeugt haben.

Warum der Wechsel? Mein persönliches Szenario

Als Apple-User mit macOS, iPhone / iPad im Alltag  hatte ich Bitwarden für seine Plattformunabhängigkeit geliebt (auch gerade in Kooperation der Nutzung mit meiner Frau) . Aber mit iOS 19 und der neuen Passwörter-App (früher iCloud Keychain) wurde klar: Apple hat aufgeholt. Keine Subscription nötig, perfekte Integration in Face ID/Touch ID und Safari Autofill – ohne Extra-App.

Benefits auf einen Blick:

  • Nahtlose Sync: Alles über iCloud, offline verfügbar, null Verzögerung.

  • Zero Extra Kosten: Kostenlos für Apple-Nutzer vs. Bitwarden Premium.

  • Weniger Friction: Keine separate App/Extension – direkt in Einstellungen, Safari und Passwörter-App.

  • Sicherheit auf Apple-Niveau: Ende-zu-Ende-Verschlüsselung, passkeys-nativ, plus Warnungen vor Phishing.

  • Bessere UX für Daily Driver: Autofill in Apps, Face-ID-Login, integrierte 2FA-Codes.

Falls ihr wie ich Apple-zentriert seid, spart der Wechsel Zeit und Nerven.

Schritt 1: Passwörter migrieren (einfach!)

  1. Export aus Bitwarden: Web-Vault → Einstellungen → Export → JSON oder CSV wählen (Passwort schützen!).

  2. Import in Apple: Auf Mac → Systemeinstellungen → Passwörter → „Drei Punkte“ → Passwörter importieren → Datei wählen.

  3. Überprüfen: Duplikate löschen, starke Passwörter generieren lassen.

Tausende Einträge in Minuten erledigt. Apple erkennt Formate automatisch.

Schritt 2: Passkeys umziehen (der Haken)

Passkeys sind tricky – sie sind hardware-gebunden und lassen sich nicht einfach exportieren. Bitwarden-Exports enthalten Platzhalter, aber Apple importiert sie nicht direkt.

Lösung (Dienst für Dienst):

  1. Bei jedem Service (z.B. Google, GitHub) anmelden.

  2. Unter Sicherheit → „Passkey erstellen“ oder „Gerät hinzufügen“.

  3. Mit iPhone/Mac scannen/confirmen – fertig!

  4. Alten Bitwarden-Eintrag löschen.

Pro-Tipp: Fangt mit Top-Accounts an (E-Mail, Bank). Nach 10 Diensten habt ihr den Dreh raus. Vorteil: Apple-Passkeys syncen plattformübergreifend und sind phishing-resistent.

Schritt 3: 2FA-Codes aus Microsoft Authenticator in Apple Passwörter

Auch hier kein Bulk-Import, aber super einfach neu einrichten:

  1. Backup sichern: Authenticator-Cloud-Backup aktivieren (falls nötig).

  2. Pro Dienst: Login-Seite → 2FA-Einstellungen → „Neues Gerät“ oder QR-Code anzeigen.

  3. In Apple: Passwörter-App → Login öffnen → „Bestätigungscode einrichten“ → QR scannen.

  4. Code bestätigen – Code erscheint nun automatisch in der App.

Vorteil für Apple-User: Keine separate Authenticator-App mehr! Codes poppen direkt beim Login auf, syncen über Geräte. Spart einen App-Switch.

Nach dem Wechsel: Die echten Wins

Aspekt Bitwarden Apple Passwörter
Kosten Premium €10/Jahr bzw. Kostenlos Kostenlos
Integration Browser-Extension nötig Nativ in iOS/macOS/Safari
Autofill Gut, aber manuell Blitzschnell mit Face ID
2FA Separate Apps Integriert in Passwörter-App
Sync Cloud-abhängig iCloud, offline-first
Sicherheit Stark + Apple Silicon-Chip-Schutz

Seit dem Switch spare ich 5-10 Minuten täglich – kein Extension-Management, keine Sync-Probleme. Und für Reisen: Alles in einer App.

Fazit: Lohnt sich der Aufwand?

Ja, wenn Apple euer Haupt-Ökosystem ist. Der Initialaufwand (1-2 Stunden) zahlt sich durch Frictionless-Usage aus. Für Multi-Plattform? Bleibt bei Bitwarden.

Open Container Manager: Portainer sauber neu installieren

27. Februar 2026 / / Keine Kommentare

Schnell und unkompliziert die neueste Portainer-Version auf deinem Synology/Xpenology NAS installieren – ohne Datenverlust! (wenn Ihr nicht die neuste DSM Version installiert habt)

Manchmal hakt Portainer, Images sind veraltet oder du willst einfach die frischeste Version. Hier die sichere Update-Methode über den Synology Container Manager – in unter 5 Minuten erledigt!

🎯 Schritt-für-Schritt

1. Container stoppen & löschen

📱 Container Manager → Container (linke Sidebar)
➡️ portainer Container auswählen
⚙️ Action-Tab → Stop
🗑️ Action-Tab → Delete

2. Docker-Image entfernen

🖼️ Image (linke Sidebar)
➡️ portainer/portainer-ce Image auswählen

🗑️ Delete-Tab → Löschen

3. Task Scheduler: „Install Portainer“ erstellen

⚙️ Control Panel → Task Scheduler → Create → Scheduled Task → User-defined script

Einstellungen:

📋 General Settings → Task: "Install Portainer"

👤 User: root
📅 Schedule: "Run on the following date (just once)"

Folgenden Docker-Befehl einfügen:
docker run -d --name=portainer \
-p 8000:8000 \
-p 9000:9000 \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /volume1/docker/portainer:/data \
--restart=always \
portainer/portainer-ce
▶️ Run → Fertig!

4. Genießen! 🎉

🌐 http://deine-nas-ip:9000 → Login: admin/admin123
✅ Latest Portainer läuft!

⚠️ WICHTIGER Hinweis

text
❌ **NICHT löschen:** portainer Ordner in File Station!
→ Enthält deine Stacks, Volumes & Konfigurationen

Warum diese Methode? 🚀

  • 100% datensicher – deine Docker-Stacks bleiben erhalten

  • Automatische Latest-Version – kein manuelles Tinkern

  • Task Scheduler Magic – einmal eingerichtet, immer aktuell

Pro-Tipp: Für monatliche Auto-Updates: Schedule auf „Daily“ + „Run task at system startup“ setzen!

Thorsten Lajdych
📧 Kontaktieren

Was – Wie – Wo ??? GA1 und GA2 beim Lauftraining: Pulsbereiche, Vorteile und Trainingsempfehlungen

17. November 2025 / / Keine Kommentare

Long time not seen 😉 Also da bin ich wieder. Diesmal mit einer Notiz für mich und ggf. für andere die es sich auch nie merken können oder wollen.

Ich laufe ja nun schon etwas länger und ja ich liebe es nicht, aber der Sport ist nun halt das beste Übel um es in den Alttag einzubauen. In diesem Sportlichen Alltag, begleitet mich nun seit knapp 2 Jahren eine Garmin Forerunner 965. Für genau diesen Zweck, dass beste was ich mir jemals angeschafft habe. Und ja ich hatte schon diverse Apple Watches und auch die von Wahoo. Aber dies soll hier nun kein Device bashing werde, da alle Smart-Watches Ihre Daseinsberechtigung haben *gg*

So aber ich schweife ab und wollte mich eigentlich um das Thema GA1 und GA2 kümmern. Gerade bei Triathleten sieht man immer wieder diese Bezeichnungen! Und am Anfang sagt man immer WFT?!

Aber was ist das nun eigentlich?

Grundlagenausdauer (GA) ist eine zentrale Trainingskomponente im Ausdauersport, unterteilt in zwei Bereiche: GA1 und GA2. Hier die Definitionen:

GA1 (Grundlagenausdauer 1)

  • Bezeichnet die leichteste Trainingsintensität im Ausdauertraining.

  • Trainiert wird überwiegend aerob, das heißt, der Körper deckt den Energiebedarf vorwiegend mit Sauerstoff und nutzt Fett als Energiequelle.

  • Pulsbereich: etwa 60-75% der maximalen Herzfrequenz (bei dir ca. 107–134 bpm).

  • Vorteile: Verbesserung des Fettstoffwechsels, sanfte Stärkung des Herz-Kreislauf-Systems, Erhöhung der Kapillarisierung in der Muskulatur, Grundlage für längere Ausdauereinheiten.

  • Das Training dient dem Aufbau und der Stabilisierung der Grundlagenausdauer bei geringer Belastung, kann über lange Zeit (bis mehrere Stunden) durchgeführt werden.

GA2 (Grundlagenausdauer 2)

  • Baut auf GA1 auf mit höherer Intensität, an der oberen Grenze des aeroben Bereichs.

  • Pulsbereich: etwa 75-85% der maximalen Herzfrequenz (bei dir ca. 134–151 bpm).

  • Vorteile: Steigerung der aeroben Leistungsfähigkeit, bessere Sauerstoffaufnahme und -verwertung, strukturelle Anpassung des Herzens, Verbesserung der Fähigkeit, höhere Geschwindigkeiten länger zu halten.

  • GA2-Training besteht aus zügigen Dauerläufen oder Intervallen, meist kürzer (20–60 Minuten), aber mit höherer Intensität als GA1.

Ergo et sum:

GA1 ist die Basis für Ausdauer, die Grundlagen werden hier gelegt und gefestigt. GA2 erhöht die Intensität und zielt auf Leistungssteigerung, indem Herz, Muskeln und Sauerstofftransport optimiert werden. Beide Bereiche zusammen verbessern die Ausdauer nachhaltig.

Okay okay, leuchtet ein. Ich nehme mal meinen Maximalpuls 178 (welcher mir freundlicherweise von meiner Forerunner 965 geliefert wird, ansonsten kann man auch immer gerne die Faustformel: Maximalpuls=220Alter zur Ermittlung nutzen. Wollt Ihr auf Nummer sicher gehen, macht einen Leistungstest 😉 ) und definiere das ganze und baue als ein Beispiel-Trainingsplan auf:

Pulsbereiche für GA1 und GA2 bei Maximalpuls 178

  • GA1 (Grundlagenausdauer 1):
    60–75% vom Maximalpuls
    178×0,60=107178 \times 0{,}60 = 107 bis 178×0,75=134178 \times 0{,}75 = 134 Schläge pro Minute (bpm)

  • GA2 (Grundlagenausdauer 2):
    75–85% vom Maximalpuls
    178×0,75=134178 \times 0{,}75 = 134 bis 178×0,85=151178 \times 0{,}85 = 151 bpm

Die Vorteile von GA1-Training

  • Förderung der Grundlagenausdauer und des Fettstoffwechsels

  • Stärkung des Herz-Kreislaufsystems auf sanfte Weise

  • Verbesserung der Durchblutung der Muskulatur

  • Langfristige Steigerung der Ausdauerleistung und Gesundheit

  • Ermöglicht lange Trainingseinheiten (bis zu mehreren Stunden)

Die Vorteile von GA2-Training

  • Steigerung der aeroben Leistungsfähigkeit und Herzfunktion

  • Förderung struktureller Anpassungen am Herzen

  • Verbesserte Fähigkeit, höhere Laufgeschwindigkeiten zu halten

  • Optimierung der Sauerstoffaufnahme und -verwertung

  • Intensives Training mit Einheiten von 20 bis 60 Minuten

Trainingsdauer und Häufigkeit für die optimale Ausdauerverbesserung

Trainingsbereich Dauer pro Einheit Häufigkeit pro Woche Bemerkungen
GA1 40 Minuten bis 3 Stunden 1 bis 4-mal Basis für Ausdauer, auch lange langsame Läufe
GA2 20 bis 60 Minuten 1 bis 2-mal Leistungssteigernd, ausreichend Erholung nötig

Heisst somit folgendes für den Trainingsplan:

Tag Einheit Dauer Pulsbereich Beschreibung
Montag GA1 Dauerlauf 45 min 107–134 bpm Locker joggen, ruhiger Dauerlauf
Mittwoch GA2 Intervalltraining 30 min 134–151 bpm 5 Min. Einlaufen, 3x (5 Min. zügig, 2 Min. Erholung), Auslaufen
Freitag GA1 langer Lauf 60–90 min 107–134 bpm Langsam und konstant, Fokus auf Ausdauer
Samstag Optional GA2 Tempolauf 30–40 min 134–151 bpm Schneller Lauf fürs Tempo, aber kontrolliert

Natürlich werde ich mir die Trainings direkt in Garmin als Training hinterlegen, somit Sie immer parat an meinem Handgelenk sind und mich der kleine digitale Trainer in meinen Ar*** treten kann 😀

Das ganze werde ich nun mal bis Ende 2025 testen & lasse mich überraschen, wie sich meine Grundausdauer dadurch gesteigert hat.

PS: Dies ist keine Sportmedizinisch Empfehlung oder Anweisung, sondern eher das Ergebnis meiner Erfahrungen und Recherchen die ich hier Preisgebe. Will du tiefer in dieses Thema einsteigen, dann tue dies gerne und hole dir auch gerne Professionelle Unterstützung von Trainern!!!

Vmware WSONE: macOS managemend Install LOG auslesen

18. November 2021 / / Keine Kommentare

Kurze Notize, wenn man auf dem Mac das Install LOG welches durch Workspace One erstellt wird, auslesen möchte, kann man dies ganze einfach via Terminal machen.

Dazu einfach den Terminal starten und folgenden Befehl eingeben:

tail -n 20 -F /Library/Application\ Support/AirWatch/Data/Munki/Managed\ Installs/Logs/ManagedSoftwareUpdate.log

That’s it