Microsoft Intune Release 2603: DDM für Apple, Recovery Lock für macOS und Linux Support
Schon wieder März – und wieder eine Release, die zeigt, wo Microsofts Reise hingeht. Diesmal hat man sich besonders Zeit für Apple DDM genommen, und das ist bedeutsam. Als jemand, der schon länger im MDM-Umfeld unterwegs ist, sehe ich hier einen wichtigen Shift: Apple zieht mit Declarative Device Management aus dem klassischen MDM-Modus raus. Das ist nicht einfach nur „noch ein Feature“ – das ändert, wie wir iOS/iPadOS Apps deployen.
Gleichzeitig bekommt macOS endlich ordentliche Recovery Lock Features, Android Enterprise kriegt neuen OEM-Support, und Linux wird erwachsen. Lass mich die wichtigsten Punkte durchgehen.
Übersichtstabelle: Was ändert sich in 2603?
| Feature | Plattform | Kategorie | Status |
|---|---|---|---|
| Declarative Device Management (DDM) für Line-of-Business Apps | iOS/iPadOS 18+ | App Management | ✅ Verfügbar |
| Recovery Lock mit Password Rotation | macOS | Device Configuration | 🔄 Rollout (bis Ende April) |
| Inventus OEMConfig Integration | Android Enterprise | OEMConfig | ✅ Verfügbar |
| Disable Cross Device Resume Policy | Windows 10/11 | Settings Catalog | ✅ Windows Insiders |
| Remove Microsoft Copilot App Policy | Windows 10/11 | Settings Catalog | ✅ Verfügbar |
| Apple Intelligence & AI Settings (DDM) | iOS/iPadOS, macOS | Settings Catalog | ✅ Verfügbar |
| Remote Help Connectivity Endpoint | Windows | Device Management | ✅ Verfügbar |
| RHEL 9 LTS & 10 LTS Support | Linux | Enrollment | ✅ Verfügbar |
| Microsoft Identity Broker für Linux | Linux | Authentication | ✅ Verfügbar |
1. Declarative Device Management für Apple – Das große Ding
Was ist DDM und warum sollte dich das interessieren?
Seit iOS 18 und iPadOS 18 können wir Apple DDM nutzen, um Line-of-Business Apps zu verwalten. Das ist ein großer Unterschied zur klassischen MDM-Verwaltung:
Klassisches MDM:
– Reaktive Verwaltung (Befehl → Antwort)
– Höhere Latenz bei App-Installationen
– Limitierte Per-App-Optionen
Apple DDM:
– Deklarativ (Zielzustand definieren, Apple macht den Rest)
– Echte Echtzeit-App-Status
– Associated Domains Support
– Bessere Delivery Efficiency
Praktisch im Intune Admin Center:
- Devices → Apps → Deine iOS/iPadOS Line-of-Business App öffnen
- App Information → Management Type auf Declarative Device Management setzen
- Neue Per-App-Optionen konfigurieren (z.B. Associated Domains)
- Deployment starten
Was dich erwartet:
✅ Schnellere App-Bereitstellung
✅ Bessere App-Status-Transparenz
✅ Neue Security Features via Associated Domains
❌ Nur für iOS/iPadOS 18+ (Versionsprüfung nötig)
Meine Einschätzung: Das ist ein echter Game-Changer für Unternehmen mit großen iOS-Flotten. Wenn du noch auf iOS 17 bist, solltest du jetzt deinen Update-Plan prüfen.
2. Recovery Lock für macOS – Sicherheit auf neuer Ebene
Das Problem, das Recovery Lock löst:
Ein User mit lokalen Admin-Rechten kann sich in Recovery Mode booten, die Festplatte neuformatieren und dein MDM-Management umgehen. Damit ist Schluss.
Was ist Recovery Lock?
Ein Recovery OS Password, der verhindert:
– Booten in Recovery Mode
– macOS Neuinstallation ohne Admin-Genehmigung
– Umgehen der Remote Management
Zwei Wege zur Umsetzung:
Option 1: Settings Catalog Policy
Devices → Configuration profiles → Create profile
→ macOS → Settings Catalog
→ Recovery Lock
• Feature aktivieren
• Password Rotation Schedule setzen (z.B. alle 90 Tage)
• Speichern
Option 2: Remote Device Action (Manuelle Rotation)
Devices → All devices
→ [Device auswählen]
→ ... → Remote tasks
→ Recovery Lock rotation → Starten
Wichtig: RBAC für Passwords
⚠️ Handlungsbedarf: Admins brauchen explizit die Berechtigung:
Remote tasks/View macOS recovery lock password
Das stellst du unter Roles & Admins → Custom Role → Permissions ein.
Verfügbarkeit:
🔄 Graduelle Rollout bis Ende April 2026 – nicht sofort in allen Tenants verfügbar.
3. Android Enterprise: Inventus OEMConfig
Neu: Inventus com.inventus.oemconfig.gen
Für Admin, die mit Inventus-Rugged-Devices arbeiten (stark in der Logistik/Warehouse), ist das relevant.
OEMConfig erlaubt es, OEM-spezifische Features direkt über Intune zu verwalten:
Devices → Configuration profiles → Create
→ Android Enterprise
→ OEMConfig
→ Inventus (com.inventus.oemconfig.gen)
→ OEM-spezifische Settings konfigurieren
Für wen relevant: Unternehmen mit Zebra/Honeywell/Inventus Devices im Warehouse/Retail.
4. Windows Settings Catalog – Zwei neue Policies mit Bedeutung
Policy 1: Disable Cross Device Resume
Scenario: Der User startet etwas auf seinem iPhone und will es auf dem PC fortsetzen. Security-Policy sagt: Nein.
Devices → Configuration profiles → Create
→ Windows 10 and later
→ Settings Catalog
→ Connectivity
→ Disable Cross Device Resume: Select "Disabled"
Effekt: Keine „Resume from your phone“ Prompts mehr.
Status: ⚠️ Nur für Windows Insiders (Preview-Feature)
Policy 2: Remove Microsoft Copilot App
Szenario: Copilot ist vorinstalliert, aber deine Security Policy sagt: Nicht auf unternehmenseigenen Devices.
Settings Catalog
→ Windows AI
→ Remove Microsoft Copilot App: Enable
Bedingungen (automatisch prüfbar):
– Beide Copilot Apps sind installiert
– User hat die App nicht selbst installiert
– App wurde in letzten 14 Tagen nicht geöffnet
Effekt: App wird deinstalliert (User kann sie später neu installieren).
Status: ✅ Sofort verfügbar
5. Apple Settings Catalog – DDM erweitert sich massiv
DDM x Apple Intelligence Settings (Neu!)
Mit iOS 18 / macOS Sonoma kommt Apple Intelligence. Intune kann jetzt granular kontrollieren:
iOS/iPadOS DDM Settings (neu):
– External Intelligence: Sign In, Workspace IDs
– Apple Intelligence: Report, Genmoji, Image Playground, Visual Intelligence Summary
– Mail: Smart Replies, Summary
– Notes: Transcription, Summary
– Safari: Summary
– Keyboard: Definition Lookup, Auto-Correction, Dictation, Predictive Text, etc.
– Siri: User Generated Content, While Locked, Profanity Filter
macOS DDM Settings (neu):
– File Provider: Remote Syncing, External Volume Syncing, Domain Auto-Enablement
– Rosetta Usage Awareness (für ARM-Transition)
Praktisch:
Devices → Configuration profiles → Create
→ iOS or macOS
→ Settings Catalog
→ Declarative Device Management
→ Intelligence Settings
→ z.B. "Allow Apple Intelligence Report" = Toggle
Security-Tipp: Wenn deine Compliance-Policy Says „Keine Cloud-Datenanalyse“, stellst du hier alle AI-Features auf Disabled.
6. Remote Help – Neue Connectivity-Anforderung ⚠️
Firewall-Update erforderlich!
Microsoft hat einen neuen Endpoint für Remote Help (Launch Remote Help in Admin Center) hinzugefügt:
*.trouter.communications.svc.cloud.microsoft
Handlungsbedarf:
1. ✅ Aktualisiere deine Firewall-Regeln
2. ✅ Prüfe Proxy-Konfiguration
3. ✅ Teste Remote Help mit Windows-Device nach Update
Neues Log-File:
– NotificationInfra.log (Intune Management Extension)
– Trackt Real-Time-Communication-Notifications
– Hilfreich für Troubleshooting
Ort: C:\Program Files (x86)\Microsoft Intune Management Extension\Logs\
7. Linux Support – RHEL wird erwachsen
Support-Änderung:
| Version | Status | Aktion |
|---|---|---|
| RHEL 8 LTS | ❌ End of Support | Bestehende Devices bleiben enrollt, aber kein Support mehr |
| RHEL 9 LTS | ✅ Neu unterstützt | Production-Ready |
| RHEL 10 LTS | ✅ Neu unterstützt | Production-Ready |
Handlungsbedarf für dich:
- Identify RHEL 8 Devices:
Intune Admin Center
→ Devices → All devices
→ Filter: OS = Linux
→ Add Column: OS Version
- User Notification:
– E-Mail an Admins mit RHEL 8-Devices
– Upgrade-Plan für Q2/Q3 2026 - Enrollment Verification:
– Neue Enrollments nur auf RHEL 9+ akzeptieren
– Enrollment Restrictions prüfen
Microsoft Intune App für Linux – Identity Broker Integration
Die neue Version der Intune-App für Linux unterstützt jetzt Microsoft Identity Broker, was bedeutet:
– SSO zwischen Linux-Apps und Browser
– Bessere Token-Verwaltung
– Sicherere Authentication Flow
🚨 Kritische Handlungsbedarfe
| Punkt | Kritikalität | Deadline | Aktion |
|---|---|---|---|
| Firewall Update (Remote Help Endpoint) | 🔴 Hoch | Sofort | *.trouter.communications.svc.cloud.microsoft allowlisten |
| RHEL 8 Geräte identifizieren | 🟡 Mittel | Bis Juni 2026 | Inventory + Upgrade-Plan |
| Recovery Lock RBAC Setup | 🟡 Mittel | Bis Ende April | Berechtigungen für Admin-Rollen anpassen |
| iOS 18 DDM Readiness Check | 🟡 Mittel | Vor Rollout | Device-Kompatibilität prüfen (iOS 18+) |
| Windows Insider Copilot Policy Testen | 🟢 Niedrig | Optional | In Test-Ring deployen |
Meine persönliche Einschätzung
Diese Release 2603 ist solider mittlerer Release – nicht revolutionär, aber substanziell:
✅ Positiv:
– Apple DDM für LOB Apps ist längst überfällig und wird Deployment-Performance spürbar verbessern
– Recovery Lock für macOS schliesst echte Security-Lücke
– Linux Support mit RHEL 9/10 macht Sinn (Zukunftsicherung)
– AI Settings Katalog zeigt, dass Microsoft ernst mit Apple Intelligence-Management meint
⚠️ Vorsichtig:
– Recovery Lock ist nur graduelle Rollout (bis Ende April) – nicht ideal für große Deployments
– Cross-Device Resume Policy ist noch Insider-only (zu nischig?)
– Copilot Removal braucht spezifische Bedingungen (14 Tage nicht geöffnet – kann frustrierend sein)
🔔 Wichtigste Action: Firewall-Update für Remote Help. Das übersehen viele und dann funktioniert Remote Help plötzlich nicht.
). Mit dieser Version liefern sie eines ihrer ambitioniertesten Updates: vollständig aufgefrischte Admin Experience, innovative Android- und Apple-Management-Fähigkeiten, Game-Changing Windows Management und intelligentere Automation überall.