Monat: Mai 2026

BlackBerry UEM Release 12.23 … just a little Watch Back

11. Mai 2026 / / Keine Kommentare

BlackBerry UEM 12.23: Das November-Update im Reality-Check, just a little Watch Back

Heute mal ein kleiner Watch back und ich schaue mir das 12.23 release von BB und Ihrem UEM an. Ich hatte ja in meiner Zeit beim Land, mehr als genug mit BB zutun. Dann kam der wechsel und die letzten 7,5 Jahren, waren mehr WS1 und nachher Intune im UEM & MDM Feld im Fokus. Nun ist es aber auch mal wieder Zeit, sich dem alten Herren in Schwarz zu widmen und auch diesen zu beleuchten.

Es ist November 2026 und UEM 12.23 ist da – und ehrlich gesagt: Das ist kein Release, das große Headlines verdient. Das ist ein solides, pragmatisches Update, das zeigt, wohin BlackBerry UEM wirklich unterwegs ist. Kein Marketing-Blabla, keine zehn neuen Features, die niemand braucht. Stattdessen: Stabilität, Sicherheit, Zertifizierungen.

Wenn eine neue Version im November kommt und die Release Notes nicht vor Features überlaufen, ist das erfrischend ehrlich. BlackBerry hat verstanden: In einem etablierten UEM-System geht es nicht um Raketenfunktionen, sondern um Zuverlässigkeit.

Das Wichtigste in einer Tabelle

Feature / Bereich 12.23 Relevanz Status
Upgrade-Pfade von 12.21, 12.22 Standard ✓ Supported
iOS/iPadOS Tag-Null Support für aktuelle OS Enterprise-Muss ✓ Ready
Android Android Enterprise, Management API Standard ✓ Stabil
Windows 10/11 MDM-Management Enterprise-Standard ✓ Unterstützt
macOS Vollständige Unterstützung BYOD/Enterprise ✓ Stabil
Automatische Backups Setup-Tool integration Betrieb-Critical ✓ Automatisch
Gatekeeping Microsoft 365 Modern Auth Email-Management ✓ Optimiert
BlackBerry Connectivity Node Optional für große Umgebungen Skalierung ✓ Verfügbar

Was sich in 12.23 konkret ändert

Installation und Upgrade

Die Setup-Anwendung erlaubt Installation von UEM 12.23 oder Upgrade von UEM 12.21 oder 12.22. Das ist sauber: Sie sind nicht auf eine Version beschränkt, können aber überspringen sollten Sie noch auf 12.20 sein (das ist dann ein etwas aufwändigeres Upgrade, das ich separat planen würde).

⚠️ Breaking Change Watch: Wenn der Setup-Tool lädt, stoppt und startet er alle UEM-Services automatisch. Das ist normal – aber planen Sie Wartungsfenster. In Produktionsumgebungen machen Sie das am Wochenende oder nachts. Die Datenbank wird automatisch gebackt, aber trotzdem: Backups vor dem Upgrade, auch wenn die Software das macht.

Database-Anforderungen verschärfen sich

BlackBerry UEM Core Server müssen weniger als 5ms Latenz zur Datenbank haben. Das ist nicht neu, aber wird strikte überprüft. Wenn Sie eine Standard-SQL-Server-Installation mit Fernanbindung haben und die Latenz borderline ist – jetzt wird das zum echten Problem. Optimieren Sie vorher.

Sicherheit: JRE 17 ist Pflicht

JRE 17 muss auf dem Computer installiert sein, der UEM hostet. Das ist eine harte Anforderung. Wenn Sie noch auf JRE 11 rumfahren: Das endet jetzt. JRE 17 ist seit November 2023 LTS, also aktuell und stabil.

Plattform-spezifische Neuerungen

iOS & iPadOS

BlackBerry UEM ist eine Multi-Platform-EMM-Lösung, die umfassendes Device-, App- und Content-Management mit integrierter Sicherheit für iOS, macOS, Android und Windows 10 Geräte bereitstellt.

Für iOS-Admin bedeutet 12.23:
Tag-Null-Kompatibilität mit den neuesten iOS-Versionen (der Standard in jedem BlackBerry-Release)
– Verwaltung von Zertifikaten für Devices und Apps mittels UEM-Profilen und Setup von Work Connections.
– VPN-Profile und PKI sind weiterhin der Standard

Praxis-Tipp: Wer noch auf ältere iOS-Versionen verteilt ist – plant jetzt das Upgrade auf 12.23, damit bei iOS 19 keine Überraschungen kommen.

Android

Keine großen Explosionen hier. OEMConfig-Apps erlauben Administratoren, Device-spezifische Funktionen über App-Konfigurationen zu verwalten, wie für Samsung Knox und andere Hersteller.

Die wichtigsten Unterstützungen:
Android Enterprise – Standard und stabil
Android Management API (AMAPI) – für modernere Gerätekontrolle
Samsung Knox – weiterhin vollständig

Was sich nicht ändert: Das Android-Management in BlackBerry UEM ist pragmatisch, nicht flashy. Policies, Compliance, App-Verwaltung – all bewährte Features.

Windows 10/11

Windows 10 Devices werden als Teil des umfassenden Device-Management unterstützt. Windows 11 auch – obwohl die Docs noch „Windows 10“ sagen, ist das eine dokumentations-Verzögerung.

Für Enterprise-Umgebungen, die Intune für Windows nutzen: BlackBerry UEM can Co-Exist, ist aber eher für spezialisierte Szenarien (alte Geräte, Hybrid-Umgebungen, sehr restrictive Sicherheitsrichtlinien).

Sicherheit und Zertifizierungen – Das Eigentliche Update

Das große News für 12.23 ist nicht in den technischen Features, sondern in der Compliance-Welt: BlackBerry UEM ist das erste UEM-Produkt, das BSI-Zertifizierung erreicht hat und wurde gegen die Common Criteria Standards auf den höchsten Levels validiert.

Was bedeutet das praktisch?

  • Deutsche Regierungsbehörden müssen jetzt nicht mehr auf Ausnahmegenehmigungen kämpfen
  • NATO-Länder, Skandinavien, Frankreich sehen das als Vertrauenszeichen
  • Kritische Infrastruktur (Energie, Telekommunikation, Gesundheit) bekommt ein zusätzliches Zertifikat

Für normale Enterprise-Kunden ist das eher ein Verkaufs-Feature („Ja, sogar die deutsche Bundesregierung vertraut uns“). Aber für hochregulierten Umgebungen: Das ist jetzt ein Kaufargument.

Gatekeeper und Microsoft 365 Authentication

Für Modern Authentication mit Microsoft 365 muss man ein Entra-App hinzufügen und dessen Details bereitstellen – man muss nicht die Anmeldedaten eines M365-Admin-Kontos angeben, sondern nur das Entra Application ID und Organization Values.

Das ist ein echter Fortschritt für größere Orgs:
Weniger Admin-Accounts mit Super-Privilegien
OAuth-basiert, nicht mehr nur Legacy-Auth
Microsoft-Integration wird moderner

Handlungsbedarf: Das musst du vor dem Upgrade wissen

1. Datenbank-Latenz überprüfen – JETZT

Nicht erst im Upgrade. Führe einen Test durch:

ping <deine-db-server>

Wenn die Latenz über 10ms ist, hast du ein Problem. Unter 5ms: Alles gut.

2. JRE 17 im Voraus installieren

Nicht während des Upgrades. Installiere JRE 17 auf dem UEM-Server, teste es, dann erst das Upgrade.

3. Backups – und zwar echte Backups

Die Software macht das automatisch, aber:
– Externe Backups VOR dem Upgrade
– Oder: Snapshot der ganzen VM vor dem Upgrade
– Test-Restore auf einer Testumgebung, falls möglich

4. Notification der Nutzer

Das Upgrade stoppt Services. Mach es nachts oder am Wochenende. User sollten das nicht während der Arbeit erleben.

5. Critical Issue Advisories lesen

Die dokumentierten Critical Issue Advisory Knowledge Base Articles für UEM und Enterprise Mobility Server sollten vor dem Upgrade gelesen werden. BlackBerry publiziert dort wichtige Gotchas.

Marktkontext: Wohin geht BlackBerry UEM?

Seien wir ehrlich: BlackBerry UEM ist eine Nischen-Lösung. Das ist nicht negativ gemeint – es ist realistisch.

  • Große Konzerne mit Sicherheits-Paranoia? → BlackBerry UEM
  • Regierungen, Militär, kritische Infrastruktur? → BlackBerry UEM
  • Mittelständler mit Standard-Anforderungen? → Intune, Jamf, MobileIron

Das Release 12.23 zeigt das deutlich: Keine Konsumenten-Features, keine Mobile-First-Optik. Sondern:
– Stabilität
– Compliance
– Enterprise-Hardening

Die BSI-Zertifizierung ist nicht zufällig: Sie zeigt, dass BlackBerry sich bewusst positioniert – nicht „für jeden“, sondern „für die, die Security ernst nehmen“.

Fazit: Solltest du upgraden?

Ja, aber:

  1. Wenn du aktuell auf 12.21 oder 12.22 bist → Im nächsten Wartungsfenster. Das ist ein normales Stabilitäts-Update.
  2. Wenn du auf 12.20 oder älter bist → Plane einen größeren Upgrade-Prozess. Das ist ein Multi-Version-Jump.
  3. Wenn du von anderer Lösung kommst → 12.23 ist aktuell und stabil. Guter Zeitpunkt für einen New Deployment.
  4. Wenn du in stark regulierter Branche bist → Die BSI-Zertifizierung könnte Compliance-Anforderungen erfüllen, die bisher ein Problem waren.

Was ich nicht empfehle: Hektik. Dieses Release ist nicht „müssen sofort upgraden“. Es ist ein „plane in den nächsten 2-3 Monaten und mach es dann“.

Die Technologie ist reif, die Anforderungen sind klar, die Migration ist standardisiert. Das ist das Gegenteil von hastig.

Die letzte Realität

Nach 16+ Jahren in MDM-Land sag ich dir eins: Die besten Enterprise-Updates sind die, die man kaum merkt. Man startet die Systeme neu, alles läuft wie vorher, die Devices synchronisieren sich, Policies pushen, Compliance wird überwacht.

Das ist 12.23. Genau das.

Ressourcen & Dokumentation

Omnissa Workspace ONE UEM Release 2604

10. Mai 2026 / / Keine Kommentare

Hey Leute,

ich hatte es ja versprochen und nun kommt mein Artikel zum neuen 2604. Geile release Nummer by the Way (kleiner Insider 🤩). Das 2604 Release ist einer der expansivsten der letzten Zeit und baut auf dem Momentum der 2602 auf . Und ehrlich? Das ist die Release, auf die viele von euch gewartet haben. Windows Server endlich im UEM-Universum, macOS-Admins können die Verpackungsorgie lassen, und mit Vulnerability Defense gibt’s jetzt auch nen CrowdStrike-Integration (mir stellen sich die Nackenhaare auf 🤯🤓, aber das ist eher ein persönliches Problem mit CrowdStrike wieder so ein Insider), die tatsächlich Sinn macht.

Ich bin mir aber auch bewusst: Das ist eine Broadcom/KKR-Omnissa, die hier liefert. Die Richtung stimmt, die Features sind solid – aber wir beobachten weiterhin kritisch, wie stabil das bleibt und ob OEMConfig, Rugged und DEX im Fokus bleiben.

Lass mich ein paar Stunden recherchiert haben und dann durch die Features nehmen.

Übersichtstabelle: Features nach Kategorie

Feature Plattform Kategorie Status
Windows Server Management (Enroll 2016+) Windows Server Infrastructure GA
Granular Patch Management Windows Server OS Management GA
Vulnerability Defense (CrowdStrike Integration) Windows Security Limited Availability
Enterprise App Repository (macOS) macOS App Management GA
Platform SSO in Setup Assistant (ADE) macOS, iOS Enrollment Limited Availability
App Preservation during MDM Migration iOS/iPadOS 26+ App Lifecycle GA
Redesigned UEM Console All UI/UX GA
Phased Deployments (Percentage-based) All Deployment GA
Ansible in Custom Config Profiles Linux Configuration GA
Device Update Profile (SUSE Linux) Linux (openSUSE, SLED, SLES) OS Updates GA
Platform-specific ADE Default Profiles iOS, macOS Enrollment GA
Application Removal Protection Improvements iOS App Security GA

Die Top Features im Detail

🖥️ Windows Server Management – Jetzt generell verfügbar (GA)

Das ist die Headline: Windows Server Management ist nun generell verfügbar in Workspace ONE UEM und bringt Server-Infrastruktur in die gleiche Management-Ebene wie der Rest der Endpoint-Flotte .

Konkret:

  • Enroll Windows Server 2016 oder später via Intelligent Hub, und sie tauchen neben deinen Desktops auf mit Server-spezifischen Details wie installierten Rollen und Features
  • Du kannst die Tools nutzen, die du schon kennst: ADMX-Profile mit vorgeladenen Templates, Baselines für automatische Config-Refresh, granulare OS-Patching mit Scheduling, vollständiges App-Lifecycle-Management via Enterprise Application Repository, und Freestyle Orchestrator für Automation
  • Remote Support funktioniert auch: Screen Share, File Access, Command Line – genauso wie bei Desktops

Das ist clever gedacht von Omnissa. Jahrelang haben Server-Teams separate Tools gebraucht. Jetzt ist die Frage: Wie tief geht das? Die ADMX-Integration und das Patching-Handling hören sich solide an. Aber ich warte auf Real-World-Reports zu Skalierungsfragen – einen 5.000er Server-Fleet mit WS1 zu patchen ist nochmal ne andere Hausnummer als Desktops.

Granular Patch Management: Du kannst spezifische Updates aus dem Windows Update Catalog suchen und selektieren, sie auf definierte Server-Gruppen zielen und die Deployment innerhalb deinem Timeframe planen. Du kannst sogar Updates vorab herunterladen, damit die Installation sofort startet, wenn die Zeit kommt .

🔒 Vulnerability Defense + CrowdStrike Falcon – Limited Availability

Workspace ONE Vulnerability Defense tritt in Limited Availability ein und bringt einen kompletten Assessment-to-Remediation-Workflow direkt in die Omnissa Platform für Windows Endpoints. Die Lösung integriert WS1 UEM mit CrowdStrike Falcon Exposure Management, um die Lücke zwischen Vulnerability Management, Exposure Discovery und Remediation zu schließen .

Der Workflow:

  • Wenn ne CVE oder High-Risk-Bedingung identifiziert wird, mapped WS1 UEM das automatisch zu betroffenen Endpoints für schnelle Risk-based Priorisierung
  • Empfohlene Remediation Paths werden direkt in der Admin-Console angezeigt, zusammen mit vorkonfigurierten Updates aus dem Enterprise App Repository. Patches und App-Updates werden über UEM ausgeliefert und IT-Teams können den Remediation-Progress monitoren

Die Integration mit CrowdStrike ist clever – Falcon hat etablierte Visibility, und jetzt hast du direkt im UEM-Portal die Remediation-Automation. Das reduziert Ticket-Ping-Pongs massiv. Aber: Limited Availability heißt, das ist noch nicht für alle da. Warte auf GA, bevor du architektural darauf planst. Und der CrowdStrike-Lizenz-Stack ist nicht zu unterschätzen.

🍎 Enterprise App Repository (macOS) – Jetzt GA

Das war lange überfällig. Workspace ONE UEM launcht die Enterprise App Repository (EAR) für macOS – ein kuratierter Katalog von beliebten Applikationen, der Deployment und laufende Verwaltung streamlined .

Praktisch:

  • Admins können Apps aus dem Repository direkt in der UEM-Console selektieren und sofort in Device-Gruppen deployen – kein manuelles Packaging nötig
  • Updates werden automatisch gehandhabt, und Notifications halten Admins informiert, wenn neue Appversionen verfügbar sind
  • Das App-Repository integriert nativ mit bestehenden UEM Assignment Workflows – Deployment passiert wie mit jeder anderen verwalteten App

Endlich. macOS-Admins hatten bisher ne Lücke: Android und iOS haben ihre App-Kataloge, aber macOS-Packaging war immer ne Sandbox, wo man sich selbst überlassen war. Mit der EAR kriegt ihr da Consistency. Die Frage ist: Wie groß ist der Katalog wirklich? Und können Custom Apps dazukommen? Aber für die Top-Use-Cases (Office, Teams, Browser, Dev-Tools) ist das jetzt ein echter Gewinn.

🔐 Platform SSO beim Setup Assistant (ADE) – Limited Availability

Platform SSO kann jetzt direkt im Setup Assistant während Automated Device Enrollment (ADE) konfiguriert werden. Wenn ein Device ADE durchläuft, authentifizieren sich User mit ihrem Org-Identity-Provider und erstellen ihren ersten Local Account – alles während Initial Setup, bevor das Device übergeben wird. Keine zusätzlichen Schritte, kein separater Profile Push .

Das Resultat ist eine cleanere Onboarding-Experience und eine stärkere Security-Baseline von Tag 1 .

Das ist die richtige Richtung. Zero-Touch Enrollment mit PSSO on Day 0 – das war der USP von großen Apple-Lösungen, und jetzt kann WS1 das auch. Noch im Limited Availability Status, aber sobald das GA ist, sollte das zum Standard gehören für neue Mac-Enrollments.

📱 App Preservation during MDM Migration (iOS 26+)

Workspace ONE UEM führt granulare App Preservation während MDM Migration für iOS/iPadOS 26+ Devices ein .

Das Szenario: Du migrierst eine Flotte von nem anderen MDM zu WS1? Früher wurden die Apps gelöscht und neuinstalliert – Friction für User, Komplexität für IT. Jetzt können Apps erhalten bleiben.

Praktisch für größere Migrations-Szenarien. Aber iOS 26+ ist ne spezifische Anforderung – für ältere Devices musst du weiterhin mit App-Reinstall rechnen.

🖼️ Redesigned UEM Console – Now GA

Die neu designte WS1 UEM Admin-Console ist jetzt generell verfügbar. Sie ist auf einem modernisiertem Tech-Stack gebaut, geprägt von iterativem User Research und Testing. Die neue Experience reorganisiert Navigation in logischere Kategorien, stellt die meistgenutzten Features in den Vordergrund, und ersetzt Labels, die Institutional Knowledge brauchten, durch Sprache, die sofort klar ist .

UI-Überarbeitungen sind immer zweischneidig. Manche Admins haben Jahrzehnte in der alten Console gelebt. Aber wenn das Research-driven ist und auf Usability-Testing basiert, sollte das okay sein. Wird schnell klar, ob das wirklich besser ist oder nur anders. Ich bin gespannt drauf.

📊 Phased Deployments mit Percentage-based Rollout – GA

Phased Deployments sind jetzt GA, und diese Release fügt ne neue Capability hinzu: Admins können jede Phase jetzt nach Prozentanteil der Zielgruppe definieren, statt Gruppen explizit zu spezifizieren .

Praktisch: „Rollout an 10% → 25% → 50% → 100%“ ohne dass du Gruppen manuell aufteilen musst.

Das ist ein DLP-Playing-Field. Apple hat das via MDM-Restrictions seit Jahren, Microsoft Intune auch. Jetzt kann WS1 auch prozentual rollout – das ist gut.

🐧 Ansible in Linux Custom Config Profiles + SUSE Update Management

Zwei Linux-Highlights:

  1. Ansible Support: Enterprise Linux Environments vertrauen oft auf Ansible für Configuration Management. In 2604 bringt WS1 UEM diese Capability direkt ins Custom Configuration Profile. Ansible ist jetzt neben Bash, Python und Puppet als unterstützter Payload-Type verfügbar. Admins können Ansible Playbooks nutzen, um enrolled Linux Devices zu konfigurieren, mit Support für Ansible Collections und Roles .
  2. Device Update Profile für SUSE: Das Device Update Profile erweitert sich auf SUSE-basierte Linux Devices (openSUSE, SLED, SLES). Admins können das Level und die Frequenz von automatischen Updates konfigurieren, Security- und Policy-spezifische Update Rules, und Notifications für neue Major OS Versions .

Das ist solider Enterprise-Linux-Support. Ansible ist das Orchestration-Tool, und wenn WS1 das nativ unterstützt, brauchst du weniger Custom Integrations. Für SUSE-Shops ist das dann ne große Erleichterung.

🔧 Platform-specific ADE Default Profiles (iOS & macOS)

Ein Clarity-Feature: Admins können jetzt platform-spezifische Default ADE Profiles assignen. iOS und macOS können unterschiedliche On-Boarding-Profile haben, ohne dass man überall Conditional Logic bauen muss.

⚠️ Handlungsbedarfe & Deprecations

Vulnerability Defense: Limited Availability Status

Vulnerability Defense ist noch nicht GA. Wenn du das architekturiert, solltest du mit dem Omnissa-Account-Team aligned sein. Das kann sich bis GA noch verschieben.

CrowdStrike-Lizenzierung

Wenn du Vulnerability Defense einführen willst, brauchst du nicht nur WS1 UEM, sondern auch CrowdStrike Falcon Exposure Management. Das ist ein separater Lizenzstack – kalkuliere das mit in deine TCO.

Windows Server 2016+ Requirement

Windows Server Management funktioniert nur ab 2016. Wenn du ältere Server-Flotten hast (2012 R2, 2008 R2), brauchst du weiterhin separate Tools.

iOS 26+ für App Preservation

App Preservation during Migration funktioniert nur auf iOS/iPadOS 26+. Ältere Devices haben weiterhin App-Wipe während Migration.

Vergleich zu Microsoft Intune: Wo WS1 Vorteile hat

Der 2604 Release ist eines der expansivsten in letzter Zeit und baut auf 2602-Momentum auf . Wenn du Intune mit WS1 vergleichst:

Feature Workspace ONE UEM 2604 Microsoft Intune
Windows Server Management ✅ Jetzt GA ❌ Nicht native
macOS Enterprise App Repository ✅ GA (curated) ⚠️ Basic app store integration
Rugged Device Support ✅ OEMConfig first ❌ Limited
Linux Management ✅ Ansible

Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)

4. Mai 2026 / / Keine Kommentare

Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)

🤔 Was mir an dieser Release auffällt

Ehrlich gesagt, die 2604er Release ist bemerkenswert solide. Keine großen Breaking Changes, aber dafür drei sehr sinnvolle Punkte, die ich täglich in Kundenprojekten höre:

  1. EPM endlich für alle User – bisher war das ein nerving restrictions für Shared Devices (Kiosk, Hotspot-Devices)
  2. Android 14: Credential Manager-Kontrolle – das schreit geradezu nach Zero-Trust-Architektur
  3. Vision Pro & Apple TV management – ok, nichts für den Massenmarkt, aber für Specialized Use Cases ein Game-Changer

Lass mich die Details durchkauen.

📊 Feature-Übersicht: Was sich ändert

Feature Plattform Kategorie Wichtigkeit
EPM: Support-approved Elevation für alle User Windows Security/Privilege Mgmt 🔴 High
Android 14: Credential Manager Permissions Android Enterprise Device Config 🔴 High
Location Services Settings Katalog (neu) Android Enterprise Device Config 🟡 Medium
Apple Access Management (ABM/ASM) iOS/macOS Enrollment/Access 🟡 Medium
visionOS & tvOS ADE Support visionOS/tvOS Enrollment 🟡 Medium
Ubuntu 26.04 LTS Support Linux Device Management 🟡 Medium
Neue Device Page (Public Preview) All UI/UX 🟢 Low (UX)
EPM: Suspend/Restore für Managed Hosting Windows Device Management 🟡 Medium

🔧 Die wichtigsten Features im Detail

1️⃣ Endpoint Privilege Management (EPM): Support-Approved Elevations für ALLE User

Vorher:
– Support-approved file elevation requests funktionieren nur für:
– Den Primary User des Devices
– Den User, der das Device enrolled hat
– Auf Shared Devices (Hotspot, Kiosk, Hoteling): komplettes Blockkade

Nachher (2604):
Alle User auf einem Device können Support-Approved Elevation Requests stellen
– Der Support-Admin muss nicht mehr jonglieren, welcher User gerade logged ist

Szenarios wo das hilft:
– Shared Hotspot-Geräte in Logistik-Hubs
– Kiosk-Modus für Retail/Hospitality
– Hot-Desking in großen Büros

Was ich dir empfehle:

Intune Admin Center → Endpoint Privilege Management →
Policies → [Deine Policy] → Elevation Settings prüfen

Vorsicht: Das ist ein Feature von Intune Suite – nicht im Standard-Intune Plan 1 enthalten. Kosten-Impact checken!

2️⃣ Android 14+: Credential Manager Permissions – Das Security-Highlight

Das Problem:
– Android 14 blockt standardmäßig Third-Party Credential Provider auf Corporate Devices
– Passkey-Adoption scheitert, weil kein Custom Password Manager nutzbar ist
– Microsoft Authenticator kann nicht als Default-Provider fungieren

Die Lösung (2604):
Neue Config im Intune Admin Center:

Apps → Android → Configuration → Managed Devices
→ Android Enterprise → Credential Manager Permissions

Was du hier steuern kannst:
✅ Spezifische Apps als System-Credential-Provider zulassen
✅ Passkey-basierte Sign-in aktivieren
✅ Nur vertraute Credential Sources erlauben
❌ Google Password Manager bleibt blockiert (Known Limitation!)

Unterstützte Device Types:
– Android COBO (Fully Managed)
– Android COSU (Dedicated)
– Android COPE (Corporate-Owned Work Profile)
– Android BYOD mit Work Profile (AM API)

Meine Einschätzung:
Das ist Zero-Trust für Android. Du kannst jetzt explizit definieren: „Nur Microsoft Authenticator + 1Password dürfen Passkeys speichern.“ Game-changer für Finance/Legal-Geräte.

⚠️ Warnung: Google Password Manager funktioniert nicht – musst du in deinen Rollout-Docs erwähnen!

3️⃣ Android Enterprise: Location Settings – Mehr Granularität

Neu (war vorher Binary-Block):
Drei Optionen statt Ja/Nein:

Option Verhalten Use Case
Device default OS-Standard, User kann togglen Flexible Policies
Location enabled Erzwungen an, User kann nicht aus Fleet Tracking, Delivery
Location disabled Erzwungen aus, User kann nicht an High-Security Devices

Gilt für:
– Android 10 und älter (COPE, COBO, COSU)

Warum sag ich dir das?
Der alte „Block location“ Setting war ein Sledgehammer. Jetzt kannst du differenzieren: Fleet-Devices tracken, Admin-Devices privat halten.

4️⃣ Apple Access Management (neu) – For ABM/ASM Admins

Was ist neu:
– Direkt in Apple Business Manager / Apple School Manager konfigurierbar
– Du steuert jetzt aus ABM, welche Devices ein User nutzen darf
Welche Apps & Services verfügbar sind (z.B. App Store blockieren?)

Gilt für:
– iOS/iPadOS
– macOS

Impact für Intune Admins:
Das ist eher ein Apple-seitiges Feature. Aber wenn dein ABM Admin das nutzt, synchronisiert es mit Intune. Wichtig: In deine ABM-Onboarding-Docs aufnehmen!

5️⃣ 🎯 visionOS & tvOS ADE Support – The Future is Here

Brechen wir’s runter:

Zum ersten Mal unterstützt Intune:
Apple Vision Pro Management
Apple TV Management
Ohne User Affinity (userless ADE)

Technische Details:
– Über Apple Business Manager / Apple School Manager
– Intune Plan 2 erforderlich (Teil Microsoft 365 Suite)
– Voraussetzung: tvOS 26+ oder visionOS 26+
– Custom Configuration Uploads möglich
– Enrollment Restrictions & Device Actions funktionieren

Wo erscheinen diese Devices?

Intune Admin Center → Devices → All Devices →
Apple Mobile Devices (Filter: tvOS/visionOS)

Szenarios:
– 🏥 Krankenhaus: Vision Pro für Chirurgie-Planung + MDM-Lockdown
– 🏬 Retail: Apple TV in Stores mit gepinnten Apps
– 🎓 Education: VisionOS für AR-Learning, zentral verwaltet

⚠️ WICHTIG: Keep devices updated! tvOS/visionOS 26+ = Sicherheit. Das ist kein „kann“, das ist Pflicht für deine Governance.

6️⃣ Linux: Ubuntu 26.04 LTS Support + 22.04 EOL-Warnung

Timeline:

Version Status Maßnahme
Ubuntu 22.04 LTS EOL August 2026 ⚠️ Migration planen
Ubuntu 26.04 LTS Neu supported Rollout ready

Praktisch:
Devices auf 22.04 können enrolled bleiben, aber:
1. Du solltest Upgrade-Kampagne starten
2. Im Intune Admin Center kannst du identifizieren:

Devices → All Devices → Filter: Linux → Add Column: OS Version

7️⃣ New Device Page (Public Preview) – UI/UX Facelift

Das ist in Preview – noch nicht produktiv!

Enable:

Intune Admin Center → Devices → All Devices → Toggle: „Preview new device view“

Was ändert sich:
Single unified view für Device-Info statt 5 verschiedene Tabs
– Neue Struktur:
Device action status – Was läuft gerade?
Tools and reports – Compliance, Config Status, Remediations
Properties – Editable Device Infos
Device details – Hardware & Entra-Infos

Wichtig:
– Nur bei Devices → All Devices aktiv
– Wenn du ein Device aus Report-View öffnest → alte UI
Keine Funktionalitäts-Changes, rein UI

Meine Einschätzung:
Langfristig überraschend gut durchdacht. Aber warte bis GA, bevor du es im Training zeigst.

⚠️ HANDLUNGSBEDARF: Breaking Changes & Deprecations

🔴 CRITICAL: Google Password Manager blocked auf Android Work Profile

Was passiert:

Android COPE / BYOD Work Profile + Android 14
→ Google Password Manager funktioniert NICHT als Credential Provider

Dein Handeln:
1. Audit: Welche User nutzen Google Password Manager?
2. Communication: „Wir wechseln zu [Microsoft Authenticator / 1Password]“
3. Policy: Setze explizit authorized credential providers
4. Timeline: VOR Android 14 Roll-out implementieren!

🟠 WARNING: Ubuntu 22.04 LTS EOL August 2026

Was passiert:
Nach August 2026 keine Security Patches für 22.04

Dein Handeln:
1. Identifiziere alle Ubuntu 22.04 Devices (Filter in Intune)
2. Kommuniziere Migration zu 26.04 LTS
3. Teste 26.04 LTS in Pilot vor August 2026
4. Hardware-Check: Manche ältere Geräte unterstützen 26.04 nicht!

🟡 NOTICE: visionOS/tvOS 26+ Requirement

Was ist neu:
Apple Vision Pro & Apple TV management nur mit tvOS 26+ / visionOS 26+

Dein Handeln:
– Falls du Vision Pro pilotierst: Update-Strategie definieren
– Alte tvOS-Versionen bleiben „unmanaged“
– Monitoring: „Devices with unsupported OS version“ tracken

📚 Microsoft Learn Ressourcen

Alle offizielle Docs:

  1. EPM Support-Approved Elevations

  2. Android Credential Manager Config

  3. Android Settings Catalog

  4. Apple ADE Overview

  5. Linux Device Enrollment

  6. Ubuntu 26.04 Details

Wer MUSS upgraden:

✅ Android Enterprise Admins (Credential Manager Control ist ein Must-Have für Security)
✅ EPM-Nutzer auf Shared Devices (endlich nicht mehr Workarounds!)
✅ Apple-Shops mit tvOS/Vision Pro Piloten

Wer kann warten (bis GA):

⏳ Reine iOS/macOS Orgs (Features sind nett, nicht game-changing)
⏳ Linux-only Shops (Ubuntu 26.04 ist Standard, 22.04 EOL ist erst Aug 2026)
⏳ Wer Device Page neue UI noch nicht braucht (noch in Preview)

Meine persönliche Einschätzung:

Nach 16+ Jahren MDM: Diese Release ist stabil und pragmatisch. Keine Überraschungen, keine großen Deprecated Features, aber echte Mehrwerte bei Android Security + Credential Management.

Das Android Credential Manager Feature verdient eure volle Aufmerksamkeit. Das ist nicht nur ein „nice-to-have“ – das ist Zero-Trust für Mobile Devices.

Rollout-Plan:

Phase 1 (Juni 2026): Pilot mit Android Credential Manager (5% Devices)
Phase 2 (Juli 2026): EPM Policies für Shared Devices updaten
Phase 3 (Aug 2026): Ubuntu 22.04 → 26.04 Migration starten
Phase 4 (Sept 2026): visionOS/tvOS in Pilot (wenn relevant)
„`

🔗 Schnelle Links
Intune What’s New – Service Release 2604
Microsoft Intune Blog
Intune Roadmap
Endpoint Privilege Management Docs