Kategorie: IT

iPhone & iPad für NATO-Verschlusssachen zugelassen: Was steckt wirklich hinter der Indigo-Zertifizierung?

2. März 2026 / / Keine Kommentare

iPhone & iPad für NATO-Verschlusssachen zugelassen: Was steckt wirklich hinter der Indigo-Zertifizierung?

In einem LinkedIn-Post am Wochenende bin ich auf diese Info gestoßen – und hab das Ganze direkt mal näher beleuchtet. Was ich da gelesen hab, ist tatsächlich ziemlich bemerkenswert. Also fangen wir mal von vorne an.

26. Februar 2026. Apple veröffentlicht eine Pressemitteilung, die in der MDM- und Security-Community sofort die Runde macht: iPhone und iPad sind die ersten – und bislang einzigen – Consumer-Endgeräte weltweit, die für den Umgang mit vertraulichen NATO-Informationen zugelassen sind. Keine Zusatz-Software. Keine Spezial-Hardware. Das Ding in deiner Hosentasche – ab sofort offiziell NATO-tauglich.

Als jemand der seit Jahren im Mobile Device Management unterwegs ist und täglich iOS-Deployments in Enterprise- und Behördenumgebungen begleitet, hat mich diese Nachricht aufhorchen lassen. Nicht wegen des Apple-Marketing-Texts – der ist erwartungsgemäß vollmundig – sondern wegen dem, was technisch dahintersteckt und was es für unsere Branche bedeutet.

In diesem Post schaue ich mir an, was die Indigo-Konfiguration wirklich ist, was das technisch und operativ bedeutet, wo die echten Chancen liegen – und wo ich als MDM-Praktiker trotzdem kritisch nachfragen würde.

Was ist passiert? Die Fakten auf den Punkt

ℹ️ Das Wichtigste in Kürze: iPhone und iPad mit iOS 26 / iPadOS 26 sind im NATO Information Assurance Product Catalogue (NIAPC) gelistet. Zertifizierungsstufe: NATO RESTRICTED – also „Nur für den Dienstgebrauch“. Keine Zusatz-Software nötig, nur MDM-Verwaltung im Supervised Mode. Technische Bewertung und Freigabe durch das BSI (Deutschland). Bezeichnung der Konfiguration: Indigo.

Die NATO hat eine Produktkategorie namens NATO RESTRICTED – das ist die unterste von vier NATO-Geheimhaltungsstufen. Darüber liegen NATO CONFIDENTIAL, NATO SECRET und COSMIC TOP SECRET. Wir reden also nicht über Atomwaffen-Codes auf dem iPhone 😄 – aber NATO RESTRICTED ist trotzdem eine staatlich anerkannte Sicherheitsstufe mit echten operativen Informationen in Militär, Behörden und Sicherheitsorganisationen. Und für die war bis heute kein Consumer-Device zugelassen – zumindest nicht ohne Sondersoftware, die es in der Vergangenheit gab und auch noch gibt. Aber die brachte immer einen riesigen Impact auf Budgetplanung und Administration mit. Halt: unsexy.

Die Grundlage für die NATO-Zertifizierung legte das BSI: Das Bundesamt für Sicherheit in der Informationstechnik hatte iOS und iPadOS bereits zuvor für die Verarbeitung von VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) freigegeben – dem deutschen Äquivalent zu NATO RESTRICTED. Auf Basis dieser gründlichen Prüfung wurde die Zertifizierung auf alle 32 NATO-Mitgliedsstaaten ausgeweitet. Ab sofort sind iPhone und iPad mit iOS 26 und iPadOS 26 in allen NATO-Staaten offiziell zertifiziert.

Die Indigo-Konfiguration: Was steckt technisch dahinter?

„Indigo“ klingt nach einem speziellen Government-Fork von iOS – so eine Art geheimes Geheimdienstbetriebssystem. Ist es aber nicht. Apple hat das explizit klargestellt, und der offizielle NIAPC-Eintrag bestätigt es: Indigo ist kein separates OS, kein Custom-Build, kein proprietäres Sicherheits-Layer. Es ist schlicht der Name, den das BSI der Standard-iOS-Konfiguration im Rahmen seiner Sicherheitsevaluierung gegeben hat.

Was die Indigo-Konfiguration konkret ausmacht, ist im NIAPC-Eintrag offiziell dokumentiert. Ich übersetze das mal aus dem Behörden-Englisch ins IT-Deutsch:

Apple Silicon – die Hardware-Basis

Der Apple Silicon Chip arbeitet nahtlos mit iOS und iPadOS zusammen und liefert Security-Features direkt auf Hardware-Ebene. Die Secure Enclave ist dabei der Kern: Sie verschlüsselt und schützt User- und biometrische Daten und setzt Passcode-Policies direkt in Hardware durch – ohne dass das OS selbst überhaupt Zugriff auf die Schlüssel hat. Das ist eine fundamentale Architekturentscheidung, die Apple vom Wettbewerb unterscheidet – und die man nicht einfach per Software nachrüsten kann.

Touch ID und Face ID – mehr als nur Komfort

Biometrische Authentifizierung über Face ID oder Touch ID – schnell, sicher, ohne Passwort-Overhead. Im Enterprise- und Behördenkontext ist das besonders relevant, weil es den ewigen Security-Usability-Konflikt löst: Keine Post-its mit Passwörtern unter der Tastatur, keine „Passwort vergessen“-Tickets, kein Shoulder-Surfing im Großraumbüro. Und das Beste: Die biometrischen Daten verlassen nie die Secure Enclave – nicht mal Apple selbst hat darauf Zugriff.

Memory Integrity Enforcement (MIE) – das eigentliche Highlight

Das ist das Feature, das mich beim Lesen des NIAPC-Eintrags am meisten aufhorchen ließ. MIE kombiniert Apple Silicon Hardware mit fortschrittlicher OS-Security und liefert laut Apple „always-on memory safety für Geräte mit A19 und M5 Prozessoren“ – ohne Performance-Impact. Der offizielle NIAPC-Eintrag bezeichnet es als den größten Fortschritt in der Memory Safety für Consumer-Betriebssysteme überhaupt. Und das ist keine leere Marketingaussage.

Was MIE in der Praxis bedeutet: Klassische Speicherangriffe – Buffer Overflows, Use-After-Free, Return-Oriented Programming – werden auf Hardware-Ebene blockiert, bevor sie überhaupt zur Software-Schicht gelangen. Das klingt technisch, hat aber eine ganz einfache Konsequenz: Eine ganze Klasse von Angriffen, für die es in der Vergangenheit aufwendige Software-Patches brauchte, existiert auf diesen Geräten schlicht nicht mehr. Das ist der Grund, warum der NIAPC-Eintrag explizit A19- und M5-Geräte hervorhebt.

⚠️ Wichtig für die Praxis: MIE ist ausschließlich auf Geräten mit A19- und M5-Chip verfügbar – also der aktuellen iPhone 17-Serie und den neuesten iPad Pro/Air Modellen. Ältere Geräte fallen zwar unter iOS 26 und sind formal unter die Zertifizierung gefasst, erreichen aber nicht das gleiche Memory-Safety-Level. Wer sicherheitskritische Deployments plant, sollte das bei der Gerätebeschaffung berücksichtigen.

VPN und Secure Networking – kein Extra nötig

Apple Devices unterstützen VPN nativ – ohne Zusatz-App, ohne proprietären Client. iOS und iPadOS arbeiten direkt mit IKEv2, Cisco IPsec und L2TP over IPsec zusammen. Das stellt sicher, dass Daten auf dem Transportweg verschlüsselt bleiben – auch wenn die verwendete App selbst keine eigene Verschlüsselung mitbringt. Für Behörden, die ohnehin auf VPN-Infrastruktur setzen: nahtlose Integration, kein Mehraufwand.

Was die Konfiguration konkret verlangt – der MDM-Part

Und hier kommen wir zum entscheidenden operativen Punkt. Der NIAPC-Eintrag ist eindeutig: Indigo erfordert keine spezielle Zusatz-Software oder besondere Einstellungen – aber die Geräte müssen per MDM verwaltet und in den Supervised Mode versetzt werden. Kein Supervised Mode, keine Indigo-Zertifizierung. So einfach ist das.

Freigegebene Anwendungen in der Indigo-Konfiguration: Mail, Kalender und Kontakte – mit den nativen Apple-Apps. Genau die Kern-Tools des täglichen Dienstbetriebs. Keine Custom-App, kein proprietärer Mailclient. Die Standard-Apps reichen.

Die echten Vorteile – warum das mehr als Marketing ist

Security by Design – endlich offiziell bestätigt

Apple argumentiert seit Jahren: echte Sicherheit muss von Anfang an ins Produkt integriert sein. Kein nachträglicher Security-Layer, keine Compliance-Krücke. Schön und gut – das behaupten viele Hersteller. Aber das BSI ist keine Institution, die Zertifizierungen leichtfertig vergibt. Wenn das BSI nach umfassender technischer Prüfung bestätigt, dass Standard-iOS für VS-NfD geeignet ist, dann ist das eine fundierte, unabhängige Aussage – kein Gefälligkeitsgutachten.

Kein Sonderbau mehr – Standard-Hardware für klassifizierte Umgebungen

Das ist wohl der größte Paradigmenwechsel. Bislang brauchten Behörden für klassifizierte Informationen speziell gehärtete Devices – teuer, schwer zu updaten, operativ unbequem und – wie schon erwähnt – halt unsexy. Das iPhone ist jetzt ab Werk NATO-tauglich. Das senkt Beschaffungskosten dramatisch, vereinfacht das Lifecycle-Management und löst ein ganz praktisches Problem: Mitarbeiter schleppen keine zwei Geräte mehr mit sich rum.

MDM als zentraler Sicherheitsmechanismus – starkes Signal für die Branche

Aus meiner MDM-Perspektive ist das ein echtes Statement: Die einzige technische Voraussetzung für die NATO-Zertifizierung ist Supervised Mode via MDM. Kein weiterer proprietärer Layer, kein spezieller Security-Agent. Ein gut konfiguriertes Workspace ONE UEM oder Microsoft Intune mit dem richtigen Deployment-Profil liefert die technische Grundlage für den NATO-konformen Betrieb. Das ist eine massive Aufwertung für Standard-MDM-Infrastruktur in Behördenumgebungen – und ein starkes Argument in Kundengesprächen.

Apple öffnet sich eine Tür – hinter der richtig viel Budget liegt 📈

Das ist der wirtschaftliche Aspekt, den man nicht ignorieren sollte. Behörden, Militär, Sicherheitsorganisationen, KRITIS-Betreiber – das sind Märkte mit erheblichem Investitionsvolumen, langen Vertragslaufzeiten und einer historisch konservativen Beschaffungspolitik. Mit der NATO-Zertifizierung hat Apple ein überzeugendes Argument in genau diesen Märkten. Nicht nur für die Hardware, sondern für das gesamte Apple-Ökosystem: MDM via WS1 oder Intune, JAMF für macOS, iCloud in freigegebenen Kontexten.

💡 Strategische Einschätzung: Apple macht sich mit der Indigo-Zertifizierung eine Tür auf, hinter der richtig viel Budget liegt. Der öffentliche Sektor in NATO-Mitgliedsstaaten wird diese Zertifizierung als Grundlage für Beschaffungsentscheidungen nutzen – und das über Jahre hinweg. Für MDM-Berater und Systemhäuser im Public-Sector-Umfeld ist das ein echter Türöffner für neue Projekte.

Die kritischen Fragen – weil es sie gibt

NATO RESTRICTED ist die niedrigste Stufe – Kontext ist alles

Das muss man klar sagen: Die Zertifizierung gilt für NATO RESTRICTED – die unterste von vier Geheimhaltungsstufen. NATO CONFIDENTIAL, NATO SECRET und COSMIC TOP SECRET bleiben weiterhin spezialisierten, gehärteten Systemen vorbehalten. Die Berichterstattung hat das manchmal etwas dramatischer klingen lassen als es ist. Trotzdem: Für einen riesigen Teil der täglichen Behörden- und Militärarbeit ist NATO RESTRICTED die relevante Stufe. Der Großteil der Verschlusssachen im operativen Dienstbetrieb läuft auf genau dieser Ebene – und da ist die Zertifizierung absolut relevant.

Supervised Mode schließt BYOD vollständig aus

Die Zertifizierung gilt ausschließlich für vollständig MDM-verwaltete Corporate Devices im Supervised Mode. BYOD-Konzepte, Work-Profile-Ansätze oder MAM-only sind für klassifizierte Umgebungen damit nicht zulässig. Für Behörden mit BYOD-Programmen bedeutet das: zwei getrennte Device-Welten. Das ist operativ handhabbar – muss aber von Anfang an in der MDM-Architektur eingeplant werden.

Indigo ist kein Plug-and-Play – das Hausaufgabenheft bleibt offen

Trotz der simplen Bezeichnung ist Indigo kein Schalter, den man einfach umlegt. Es ist eine Betriebskonfiguration, die durch MDM-Policies umgesetzt werden muss – und die genauen Policy-Anforderungen sind bisher nicht vollständig öffentlich dokumentiert. Organisationen, die das ernsthaft umsetzen wollen, müssen das mit ihrem MDM-Anbieter, dem BSI und den jeweiligen nationalen Sicherheitsbehörden abstimmen. Was ich mir wünschen würde: eine öffentliche, BSI-endorsed Configuration Baseline – ähnlich wie NIST das für andere Plattformen publiziert. Das würde die Community wirklich weiterbringen.

Apple ist ein US-Konzern – der CLOUD Act bleibt ein Thema

Das kann man nicht einfach ignorieren. Apple ist ein US-amerikanisches Unternehmen, unterliegt US-Recht und theoretisch dem U.S. CLOUD Act. Die Secure Enclave ist hardwareseitig stark abgeschirmt, und Apple hat mehrfach betont, keine Backdoors eingebaut zu haben. Das BSI hat die Plattform gründlich geprüft und freigegeben – das ist ein starkes, unabhängiges Signal. Aber die Diskussion über digitale Souveränität und Abhängigkeit von US-Technologie bleibt politisch hochaktuell, gerade im europäischen Kontext.

Und Android? Die berechtigte Frage

Die Frage die sich viele Enterprise-Admins stellen werden: Wenn Apple es geschafft hat – warum nicht Android? Google hat mit Android Enterprise, dem Pixel-Portfolio und dem Android Ready SE Alliance-Programm ebenfalls erheblich in Hardware-Security investiert. Und trotzdem: Bisher ist kein einziges Android-Device im NIAPC gelistet. Das zeigt eindrucksvoll den Unterschied zwischen einem vertikal integrierten Ökosystem – Apple: eigener Chip, eigenes OS, eigene Sicherheitsarchitektur, alles aus einer Hand – und einem fragmentierten Ökosystem mit dutzenden OEMs, die alle unterschiedliche Hardware und unterschiedliche Update-Zyklen mitbringen. Für Android-lastige MDM-Umgebungen bleibt das eine offene und relevante Frage.

Was bedeutet das für MDM-Deployments in der Praxis?

Für alle, die das jetzt operativ umsetzen wollen oder müssen – hier die wichtigsten Anforderungen auf einen Blick:

Aspekt Anforderung / Implikation
iOS/iPadOS Version iOS 26 / iPadOS 26 – Mindestvoraussetzung, keine Ausnahme
Enrollment Supervised Mode via Apple Business Manager zwingend erforderlich
MDM-Plattform WS1 UEM oder Intune mit vollständiger iOS-Supervised-Unterstützung
Gerätehardware A19/M5 für MIE (always-on memory safety) – ältere HW formal konform, aber eingeschränkt
Freigegebene Apps Mail, Kalender, Kontakte (native Apple Apps) – explizit bestätigt
Netzwerk VPN nativ: IKEv2, Cisco IPsec, L2TP over IPsec – kein Zusatz-Client nötig
BYOD Nicht zulässig – ausschließlich vollständig verwaltete Corporate Devices
Policy-Anforderungen Abstimmung mit BSI / nationaler Sicherheitsbehörde erforderlich
Updates Konsequentes iOS-Update-Management zwingend – veraltetes OS = keine Konformität

Für WS1-Umgebungen: Die Kombination aus Apple Business Manager, WS1 UEM und der Indigo-Konfiguration ergibt ein kohärentes, nachvollziehbares Sicherheits-Stack – und ist ein starkes Argument für den Verbleib in der Apple-WS1-Welt, wenn Public-Sector-Kontexte eine Rolle spielen. Für Intune gilt das gleiche: Supervised iOS wird vollständig unterstützt, die nötigen Baseline-Policies lassen sich sauber ausrollen.

Fazit: Echter Meilenstein – mit offenem Hausaufgabenheft

Ich sag’s klar: Das ist ein echter Meilenstein. Nicht wegen dem vollmundigen Apple-Marketing, sondern weil das BSI eine der anspruchsvollsten Sicherheitsbewertungsbehörden weltweit ist. Wenn das BSI Standard-iOS für VS-NfD freigibt, wurde das ernsthaft geprüft – und das Ergebnis hat Gewicht.

Die Implikationen für unsere Branche sind erheblich. Erstmals ist ein Consumer-Betriebssystem offiziell als sicher genug für klassifizierte staatliche Informationen eingestuft. Das verändert die Benchmark – für Apple, für die Konkurrenz und für die Art wie wir über mobile Sicherheitsarchitekturen nachdenken. Security by Design ist keine leere Marketing-Phrase mehr, sondern eine extern bestätigte Tatsache.

Für MDM-Admins und Berater im Public-Sector-Umfeld: Das ist ein Türöffner. Nicht nur für iOS-Deployments, sondern für das gesamte Gespräch rund um Standard-Hardware in sicherheitskritischen Umgebungen. Wer bisher gegen den Widerstand von IT-Sicherheitsbeauftragten ankämpfen musste, hat jetzt ein starkes Argument in der Hand.

Was ich mir noch wünsche: eine öffentliche, BSI-endorsed Configuration Baseline, die konkret dokumentiert welche MDM-Policies die Indigo-Konfiguration ausmachen. Das würde die operative Umsetzung deutlich vereinfachen und der Community echten Mehrwert liefern. Bis dahin: selbst recherchieren & BSI-Dokumente lesen. 😄

Workspace ONE vs. Microsoft Intune: Mein ehrlicher MDM-Vergleich nach 16+ Jahren im Feld

1. März 2026 / / Keine Kommentare

Workspace ONE vs. Microsoft Intune: Mein ehrlicher MDM-Vergleich nach 16+ Jahren im Feld

Also, lasst mich direkt loslegen – kein Blabla vorneweg. Ich bin seit 26 Jahren in der IT, die letzten 16+ davon speziell im Mobile Device Management. iOS, Android und in den letzten 7 Jahren dazu noch der Fokus auf Zebra-Rugged-Devices, Honeywell MDE. Dabei hab‘ ich schon so ziemlich alles gesehen, was die Branche zu bieten hat. Und die beiden Systeme, die mich dabei am längsten begleiten: VMware Workspace ONE (WS1) und Microsoft Intune. Beide stark. Beide mit Ecken und Kanten. Und beide für bestimmte Szenarien einfach die richtige Wahl.

In diesem Post zeige ich euch keinen Marketing-Vergleich, sondern meinen ehrlichen Blick aus dem Admin-Alltag. Kein Sieger, kein Verlierer – nur Fakten, Erfahrungen und ein bisschen Meinung. Los geht’s!

Ein kurzer Blick zurück: Wie haben sich WS1 und Intune entwickelt?

Wer lange genug dabei ist, erinnert sich noch an AirWatch. Damals – so ab 2012/2013 – war das die Referenz im MDM-Markt. VMware hat AirWatch 2014 übernommen und daraus Workspace ONE gemacht, ein vollintegriertes Digital Workspace-Ökosystem. Der Ansatz: Ein Ökosystem für alles – MDM, Identity, App-Management, Conditional Access. Klingt gut, und ist es auch – wenn man bereit ist, etwas Zeit zu investieren.

Microsoft Intune startete ungefähr zur gleichen Zeit als eher schlichter MDM-Dienst in der Azure-Cloud. Lange Zeit war es ehrlich gesagt… okay-ish. Aber mit der Einführung von Microsoft Endpoint Manager (MEM) und der späteren Umbenennung und Neuausrichtung als Intune innerhalb des Microsoft 365-Ökosystems hat sich das massiv verändert. Heute ist Intune ein ernstzunehmender Konkurrent – gerade wenn man sowieso tief im Microsoft-Stack steckt.

iOS-Management: Wer macht’s besser?

Workspace ONE

WS1 und iOS – das war lange die Traumehe im Enterprise-Umfeld. Supervised Mode, Apple Business Manager Integration, Custom Payloads, granulare Richtlinien für jede erdenkliche Einstellung: Workspace ONE hat hier jahrelang die Benchmark gesetzt. Besonders bei komplexen Enrollment-Szenarien (Zero-Touch via DEP, Shared Device Mode, etc.) ist WS1 stark.

Was ich persönlich schätze: Die Flexibilität bei Custom Profiles. Wenn Apple mal wieder eine Einstellung nicht offiziell im MDM-Standard freigibt, kann man mit WS1 via Custom XML Payload trotzdem rankommen. Das ist für erfahrene Admins Gold wert.

Zusätzlich ist der Workspace ONE Intelligent Hub unter iOS die Steuerzentrale & bietet dem Anwender über die Umsetzung der Policy, Verteilung der Apps bis hin zu Pushnachrichten, alles was benötigt wird.

Microsoft Intune

Intune hat in den letzten Jahren enorm aufgeholt. ADE (Automated Device Enrollment), Apple Business Manager-Integration, SCEP-Zertifikate (okay okay, hier gibt es so manche Use-Cases, da kann man nur mit dem Kopf drüber schütteln), Conditional Access – das läuft mittlerweile alles rund. Für Organisationen, die primär Microsoft 365 nutzen, ist die Integration einfach nahtlos. Ein Klick in Azure AD, und der Mac (Ja ja, JAMF ist the King, but don’t judge me 😉) oder das iPhone ist im Unternehmensnetzwerk.

Wo Intune noch hinterherhinkt: Bei sehr spezifischen, tief greifenden iOS-Konfigurationen kommt man schneller an Grenzen als bei WS1. Custom Profiles gehen auch hier, aber die Dokumentation und der Support sind nicht immer auf dem gleichen Level.

Kriterium Workspace ONE Microsoft Intune
Apple Business Manager ✅ Stark, tiefe Integration ✅ Gut, nahtlos mit M365
Supervised Mode ✅ Vollständig unterstützt ✅ Vollständig unterstützt
Custom Profiles (XML) ✅ Sehr flexibel ⚠️ Möglich, aber weniger komfortabel
Zero-Touch Enrollment ✅ Excellent ✅ Gut
Conditional Access ✅ Via Workspace ONE Intelligence ✅ Nativ in Azure AD

Android-Management: Enterprise-tauglich oder Bastelbude?

Android for Enterprise (AfE) – die Grundlage

Seit Google Android for Enterprise eingeführt hat, ist Android im Enterprise-Umfeld erwachsen geworden. Beide Systeme unterstützen die gängigen AfE-Enrollment-Methoden: Work Profile, Fully Managed, Dedicated Device. Der Unterschied liegt – wie so oft – im Detail.

Workspace ONE bei Android

WS1 ist im Android-Segment extrem stark, gerade wenn es um Fully Managed Devices oder Dedicated Devices (Kiosk-Mode) geht. Ich hab das in Projekten mit Samsung Knox & Zebra Devices immer wieder erlebt: WS1 gibt dir einfach mehr Hebel. OEM Config-Support, tiefe Knox Integration, granulare App-Verwaltung über Managed Google Play – das sitzt. Auch wenn ich da nochmal sagen muss, Knox und Ich, naja das wird nie eine richtige Freundschaft 😏

Ein echtes Highlight: der Workspace ONE Intelligent Hub. Der Agent macht auf Android deutlich mehr als nur MDM-Policies zu verteilen. Self-Service, App Catalog, Benachrichtigungen – das fühlt sich für den User weniger nach „Kontrolle“ an und mehr nach „Tool“.

Microsoft Intune bei Android

Intune hat bei Android in den letzten Jahren ebenfalls stark nachgelegt. Work Profile Enrollment läuft smooth (okay, wenn wir realistisch sind, kommt es auch hier manchmal auf die Laune von Microsoft an & man darf den einen oder anderen Kaffee trinken, bis das System es richtig umsetzt), MAM (Mobile App Management) ohne Enrollment ist für BYOD-Szenarien oft die smartere Wahl – und hier glänzt Intune wirklich. Die Integration mit Microsoft Apps (Outlook, Teams, Edge) via App Protection Policies ist einfach unschlagbar komfortabel.

Bei Dedicated Devices und komplexen Kiosk-Setups merkt man aber schneller die Grenzen. Hier fehlt Intune die Tiefe, die WS1 mitbringt – vor allem wenn OEM-spezifische Features gefragt sind.

Kriterium Workspace ONE Microsoft Intune
Work Profile (BYOD) ✅ Gut ✅ Sehr gut, bes. mit MAM
Fully Managed Devices ✅ Exzellent ✅ Gut
Dedicated/Kiosk Mode ✅ Sehr flexibel ⚠️ Eingeschränkt
OEM Config (Zebra/Samsung) ✅ Tiefe Integration ⚠️ Basis-Support
MAM ohne Enrollment (BYOD) ✅ Vorhanden ✅ Best-in-Class
Knox Integration ✅ Exzellent ⚠️ Eingeschränkt

Rugged Devices: Zebra, Honeywell & Co. – das oft vergessene Segment

Das ist das Thema, das in 80% der MDM-Blogposts völlig ignoriert wird – aber in den letzten über 7 Jahren durfte ich in meiner täglichen Arbeit einige Erfahrungen sammeln. Zebra TC-Serie, Honeywell CT-Serie, MDE-Devices für Logistik, Produktion, Einzelhandel – das sind Tiere für sich.

Workspace ONE hat hier einen klaren Vorteil: Die Zebra OEM Config-Unterstützung ist exzellent. StageNow-Integration, SOTI-ähnliche Konfigurationsmöglichkeiten via WS1, spezifische Hardware-Profile für Barcode-Scanner, PTT-Tasten, Display-Helligkeit unter bestimmten Bedingungen – das alles lässt sich über WS1 granular steuern.

Intune verbessert sich hier, aber wenn ihr ernsthaft in der Welt der Rugged Devices unterwegs seid, werdet ihr mit Intune allein oft nicht glücklich. Hier braucht man entweder WS1 oder spezialisierte EMM-Lösungen wie SOTI MobiControl. Manche Kunden kombinieren das auch – Intune für Standard-Devices, WS1 oder SOTI für den Rugged-Bereich.

Administration: Wo macht’s mehr Spaß (oder weniger Frust)?

Die WS1-Konsole

Ich sag’s ehrlich: WS1 ist mächtig. Und mit Macht kommt Komplexität. Die Admin-Konsole ist funktionsreich bis an die Grenze des Überwältigenden. Wenn du weißt, was du tust, kannst du quasi alles konfigurieren. Wenn du neu bist, kannst du dich erstmal eine Weile in den Menüs verlieren.

Mit dem Umstieg auf Workspace ONE UEM Cloud und dem neueren UI hat VMware / Broadcom einiges verbessert. Trotzdem: Die Lernkurve ist real. Ich empfehle hier immer eine gute Schulung (auch wenn die nur auf Labs wie bei allen großen besteht) oder – noch besser – jemanden mit Erfahrung an Bord zu holen.

Die Intune-Konsole (aka Microsoft Intune Admin Center)

Wer regelmäßig im Azure-Portal unterwegs ist, fühlt sich in Intune schnell zuhause. Das Layout folgt Microsoft-Logik, die Dokumentation ist umfangreich und auf Microsoft Learn sehr gut aufbereitet. Für Admins, die bereits mit Azure AD, Conditional Access oder Defender for Endpoint arbeiten, ist das ein echter Vorteil – alles spielt zusammen.

Was mich bei Intune manchmal wahnsinnig macht: Einstellungen, die sich an drei verschiedenen Stellen befinden können (Device Configuration, Security Baselines, Endpoint Security…). Das sorgt für „Wo war das nochmal?“-Momente, die man kennt, wenn man Intune schon länger nutzt.

Security: Wer schläft ruhiger?

Security ist das Herzstück jedes MDM-Systems, und hier spielen beide in der obersten Liga – auf unterschiedliche Weise.

Workspace ONE Intelligence & Trust Network

WS1 bringt mit Workspace ONE Intelligence eine eigene SIEM-ähnliche Analyse- und Automatisierungsschicht mit. Ich kann Policies definieren, die automatisch auf Geräte reagieren (z.B.: Device ohne aktuelles OS-Update → Zugriff auf Unternehmensressourcen sperren). Das Trust Network integriert Security-Drittanbieter – hier möchte ich einfach keine Namen nennen, dort gilt: try and error. Für komplexe Enterprise-Security-Setups ist das richtig stark.

Microsoft Defender + Conditional Access

Microsoft spielt seine Stärken hier aus: Microsoft Defender for Endpoint ist direkt in Intune integriert. Conditional Access in Azure AD ist für viele Szenarien der Standard-Ansatz – und das aus gutem Grund. Wenn ihr M365 E5 oder ähnliche Lizenzen habt, bekommt ihr Security-Features, für die ihr bei WS1 extra zahlen würdet.

Für reine Microsoft-Shops ist das Sicherheits-Stack von Microsoft schwer zu schlagen. Für heterogene Umgebungen mit vielen Nicht-Microsoft-Produkten hat WS1 mehr Flexibilität.

Flexibilität & Skalierbarkeit: Wächst das System mit?

Workspace ONE: Extrem skalierbar, extrem flexibel – und extrem komplex wenn man’s falsch angeht. WS1 kann On-Premise, Cloud oder Hybrid betrieben werden. Das ist in regulated industries (KRITIS, Banken, Healthcare) ein echtes Argument.

Und genau für diese regulierten Umgebungen gibt es seit kurzem eine weitere spannende Option: die Omnissa Sovereign Solution für Workspace ONE. Das ist kein klassisches On-Premise mehr im alten Sinne, sondern ein partner-gehostetes SaaS-Modell – sprich, ein zertifizierter Partner betreibt die WS1 UEM-Umgebung in seinem eigenen privaten, lokalen Rechenzentrum. Damit bekommt man die Vorteile einer modernen SaaS-Architektur, ohne die Daten in eine internationale Public Cloud geben zu müssen. Für KRITIS, Behörden oder stark regulierte Branchen kann das ein echter Game-Changer sein – und ist definitiv ein Thema, dem ich hier auf dem Blog noch einen eigenen Post widmen werde!

Intune: Cloud-first, kein On-Premise. Das ist für die meisten Unternehmen heutzutage kein Problem – kann aber in stark regulierten Umgebungen zum Showstopper werden. Dafür ist der Betrieb operativ günstiger und einfacher.

Kriterium Workspace ONE Microsoft Intune
Deployment-Option Cloud, On-Premise, Hybrid, Sovereign Cloud-only
Skalierbarkeit Sehr hoch Hoch
API-Integration Umfangreiche REST APIs Microsoft Graph API
Multi-Tenant
Lizenzkosten Höher, modular In M365 oft inkludiert
Community & Docs VMware Tech Zone / Broadcom Docs Microsoft Learn (sehr gut)

Das Broadcom-Thema: Der Elefant im Raum

Ich wäre kein ehrlicher MDM-Blogger, wenn ich das nicht ansprechen würde: Broadcom hat VMware übernommen – und das hat die WS1-Welt ordentlich durchgeschüttelt. Lizenzstruktur-Änderungen, Partner-Ökosystem-Unsicherheiten, Support-Fragen… Das sind reale Themen, die Kunden zu Recht beschäftigen.

Ich sage nicht, dass WS1 deshalb keine gute Wahl mehr ist. Aber wer heute eine Entscheidung treffen muss, sollte das Broadcom-Thema in der Bewertung nicht ignorieren. Es hat viele Unternehmen dazu gebracht, ihre MDM-Strategie zu überdenken – und nicht wenige davon landen gerade bei Intune oder evaluieren Alternativen wie Jamf (für Apple-only) oder SOTI.

Für wen ist was die bessere Wahl?

Jetzt wird’s meinungsstark – aber ohne Sieger. Es gibt kein „besser“ ohne Kontext. Hier meine Einschätzung:

  • Du bist tief im Microsoft 365-Ökosystem, nutzt Azure AD, Defender und Teams? → Intune ist dein Weg.
  • Du hast eine heterogene Umgebung mit iOS, Android und Rugged Devices von Zebra oder Honeywell? → WS1 hat die tiefere Feature-Abdeckung.
  • Du bist ein kleines bis mittelständisches Unternehmen ohne dediziertes MDM-Team? → Intune ist einsteigerfreundlicher und günstiger.
  • Du brauchst On-Premise, Hybrid oder Sovereign-Deployment aus regulatorischen Gründen? → WS1 (inkl. Omnissa Sovereign Solution) ist dein einziger Kandidat der beiden.
  • BYOD-Strategie mit Android und minimaler Eingriff auf Privatgeräte? → Intune MAM ist hier das Mittel der Wahl.
  • Komplexe Enterprise-Security mit Drittanbieter-Integration? → WS1 Intelligence bietet hier mehr Flexibilität.

Fazit: Zwei Welten, eine Entscheidung

Nach 16+ Jahren MDM kann ich euch sagen: Es gibt kein universell „besseres“ System. Workspace ONE ist das Schweizer Taschenmesser – mächtig, flexibel, aber komplex. Microsoft Intune ist der verlässliche Werkzeugkasten für alle, die schon tief im Microsoft-Stack stecken.

Was ich euch mitgeben will: Evaluiert ehrlich eure eigene Umgebung. Welche Devices, welche Nutzungsszenarien, welche internen Skills habt ihr? Und schaut euch die Lizenzkosten ganzheitlich an – Intune ist oft schon in euren M365-Lizenzen drin, WS1 kostet extra.

Aber eins ist klar: Es bleibt spannend und der Bereich entwickelt sich und entwickelt sich. Man darf sich hier einfach weiter drauf freuen, wie es weitergeht – und wer weiß, vielleicht kommt ja noch einer der underated Underdogs aus dem Untergrund wieder hoch. 😄

Ich freue mich auf eure Erfahrungen in den Kommentaren – seid ihr Team WS1, Team Intune, oder habt ihr eine ganz andere Lösung gefunden? Immer her damit! 😄