Schlagwort: Intune März 2026

Microsoft Intune Release 2602: Das ist neu (Woche 2. März 2026)

5. März 2026 / / Keine Kommentare

Microsoft Intune Release 2602: Das ist neu (Woche 2. März 2026)

Moin zusammen,

ich sitze hier gerade vor den Release Notes zur Woche 2. März 2026 – und ehrlich gesagt: Das ist eine Release, die zeigt, wohin die Reise geht. Microsoft macht hier ernsthaft ernst mit Apple’s Declarative Device Management (DDM). Das Legacy-Zeug wird eingestampft, die neuen Features sind gut durchdacht, und das Multi-Admin Approval Feature adressiert endlich ein Problem, das viele von euch im Enterprise haben.

Auch interessant: Autopatch Update Readiness kommt mit echtem Reporting-Zeugs statt nur „lädt gerade Update“ zu zeigen. Das spart euch Zeit beim Troubleshooting.

Lass mich die wichtigsten Punkte durchgehen – und wo ihr aufpassen müsst.

Release-Übersicht: Feature nach Kategorie

Feature Betroffen Kategorie Status
Apple DDM + Assignment Filters iOS, iPadOS, macOS Device Configuration ✅ Neu
Settings Catalog Updates (AirPlay, Defender) iOS, iPadOS, macOS Device Configuration ✅ Erweitert
Multi-Admin Approval für Policies iOS, iPadOS, macOS, Windows Device Management & Security ✅ Neu
Legacy MDM Software Updates deprecated iOS, iPadOS, macOS Device Security ⚠️ Breaking
Protected Apps: Jump, Mijn InPlanning Android App Management ✅ Neu
Autopatch Update Readiness Dashboard Windows Update Management ✅ Neu
Device Query Operators erweitert Alle Monitor & Troubleshoot ✅ Erweitert

Die wichtigsten Features im Detail

1. Apple Declarative Device Management (DDM) mit Assignment Filters 🎯

Das ist die Headline dieser Release.

Was ändert sich?
– Assignment Filters funktionieren jetzt auch mit DDM-basierten Konfigurationen (Software Updates, Policies)
– Bisher war das nur bei Legacy-Policies möglich
– Ermöglicht granulares Targeting: z.B. „Software Updates nur für Devices im Finance-Department mit iOS 24+“

Warum ist das wichtig?

Bei großen Umgebungen brauchst du Granularität. Mit Assignment Filters kannst du jetzt:
– Nach Azure AD Groups filtern
– Nach Device Attributes filtern (Owner Type, OS Version, Location)
– Nach User Attributes filtern

Praxisbeispiel:

Device Configuration → Create Policy (DDM-based)
→ Assign → Add Assignment Filter
→ "iOS >= 25 AND Department = Engineering"

Das reduziert Rollout-Komplexität erheblich – vor allem wenn ihr mehrere tenants oder heterogene Environments habt.

Gilt für: iOS/iPadOS, macOS

2. ⚠️ WARNUNG: Legacy Apple MDM Software Update Policies werden deprecated 🚨

Das ist wichtig. Sehr wichtig.

Microsoft und Apple beenden Support für die alten MDM Software Update Commands mit iOS 26, iPadOS 26 und macOS 26. Das bedeutet:

  • Legacy-Policies (die ihr vermutlich heute noch nutzt) funktionieren in Kürze nicht mehr
  • Apple hat diese alten Payloads aus dem MDM-Spec rausgenommen
  • Action Item für euch: Migration zu DDM-based Software Updates erforderlich

Was müsst ihr machen?

  1. Audit: Welche Legacy-Policies habt ihr aktuell deployed?
  2. Planning: Welche Geräte sind noch auf iOS < 25 / macOS < 25?
  3. Rollout: DDM Software Update Policies neu erstellen und testen
  4. Sunset: Legacy Policies systematisch deaktivieren

Zeitrahmen? Microsoft nennt kein genaues Datum, aber „soon“ ist im Tech-Speak nicht mehr fern. Ich würde Q2-Q3 2026 kalkulieren.

Ressource: Schaut euch den Intune Customer Success Blog an – da wird’s detailliert erklärt.

3. Multi-Administrator Approval für Device Configuration & Compliance Policies 👥

Das ist ein Security-Feature, das lange überfällig war.

Was ändert sich?
– Dual-Authorization für Policy-Änderungen ist jetzt auch für Settings Catalog Policies möglich
– Vorher war das nur für Compliance Policies relevant
Jede Änderung (Create, Edit, Delete) muss von Admin #2 genehmigt werden

Warum?
– Verhindert versehentliche Breaking Changes (z.B. falsch konfigurierte VPN-Policies)
– Schützt vor Malicious Actions durch compromised Admin-Accounts
– Audit Trail für Compliance-Reviews (SOC 2, ISO 27001, etc.)

Wo stellt ihr das ein?

Intune Admin Center
→ Devices → Device Configuration oder Compliance
→ Create Policy
→ Policies (unter Access policies)
→ Require Multi Admin Approval: ON

Praktischer Hinweis: Das wird euer Change-Management verlangsamen. Ein Policy-Update dauert dann länger. Aber der Security Gewinn ist es wert – vor allem in Enterprise-Umgebungen.

Gilt für: iOS, iPadOS, macOS, Android, Windows

4. Settings Catalog Updates: AirPlay & Microsoft Defender 🎨

Microsoft hat die Settings Catalog (das zentrale Policy-Management-Tool) erweitert.

Neue Settings:

Setting Platform Use Case
AirPlay → Device Name iOS, iPadOS, macOS Custom Device-Naming für AirPlay
Microsoft Defender → Neue Policies macOS Advanced Threat Protection Config

Das klingt marginal, aber für Environments die AirPlay oder Defender managed endpoints haben: Jetzt könnt ihr das via Policy zentralisiert steuern statt manuell auf jedem Device.

Für macOS-Defender: Besonders interessant für Security Teams, die Microsoft Defender als Standard-AV eingerollt haben. Mehr Policy-Control = bessere Compliance.

5. Autopatch Update Readiness Dashboard 📊

Das ist für Windows-Teams ein großes Ding.

Was ist neu?
– Unified Dashboard für Update-Readiness (Intune + Windows Autopatch)
– Device Update Journey: Granulare Status pro Gerät
– Centralized Alerting: Failures, Policy Conflicts, Readiness Gaps
– Update Readiness Checker: Proaktive Risk-Evaluation
– OS Reinstall Trigger: Automatisches Remediating bei Blockern (z.B. Disk Space)

Konkret:

Autopatch Dashboard
→ Update Status: "In Progress" / "Failed" / "At Risk"
→ Reason: "Insufficient disk space (22 GB free, 30 GB required)"
→ Remediation: "Trigger OS reinstall" (mit Alerts & Reporting)

Wofür nutze ich das?
– Pre-Deployment Risk Assessment
– Quick Troubleshooting (warum stockt das Update?)
– Proactive Device Remediation

Das spart euch echte Stunden bei größeren Updates.

6. Protected Apps: Jump & Mijn InPlanning 📱

Zwei neue Apps sind jetzt auf der Intune Protected Apps Liste.

Jump by Accio Inc. – Scheduling/Planning App
Mijn InPlanning by Intus Workforce Solutions – Workforce Planning (Android)

Das bedeutet: Diese Apps kriegen automatisch Mobile App Protection Policies (MAMP) angeboten:
– Biometric Lock
– Data Encryption
– Clipboard Restrictions
– etc.

Relevant, wenn ihr diese Tools deployed und data protection braucht.

7. Device Query Operators – Erweiterte Abfragen 🔍

Für die Admin-Power-User da draußen:

Neue Join Types:
leftsemi, rightsemi, leftanti, rightanti

Breaking Changes:
on Device.DeviceId wird nicht mehr unterstützt → nutzt stattdessen on Device
Device allein in distinct, summarize, order by geht nicht mehr → specific properties required

Bessere Error Messages + Devices als clickable Links in Query Results

Das ist ein UX-Upgrade für euer Troubleshooting, aber Achtung: Falls ihr custom KQL-Queries gebaut habt, müssen die angepasst werden.

Handlungsbedarfe & Warnungen 🚨

1. Legacy iOS/macOS Software Updates – Migration erforderlich

Item Details
Was? Legacy MDM Software Update Policies
Deadline Unklar, aber „soon“ – rechne Q2-Q3 2026
Action Audit + Rollout zu DDM-based Policies
Impact Breaking Change für iOS/macOS Updates

Meine Empfehlung: Startet noch diesen Monat mit der Audit & Test-Phase. DDM ist die Zukunft – besser proaktiv als reaktiv migrieren.

2. Multi-Admin Approval Performance-Impact

Wenn ihr das Feature enablet:
– Policy-Rollouts werden langsamer (Genehmigung erforderlich)
– Notfall-Changes brauchen schnelle Admin-Koordination

Lösung: Separate Approval-Policies für kritische vs. Standard-Changes einplanen.

3. Device Query Syntax-Änderungen

Falls ihr custom Queries nutzt:
– Alt: on Device.DeviceId → Neu: on Device
– Test eure Queries gegen die neuen Anforderungen

Fazit & Meine persönliche Einschätzung 💭

Diese Release ist solid und forward-looking. Drei Dinge fallen mir auf:

  1. Microsoft stellt Apple Legacy-Zeug konsequent ab – Das ist richtig. DDM ist moderner, sicherer, zuverlässiger. Wer noch auf Legacy-Policies läuft: Wake up call. Migration sollte jetzt starten.
  2. Multi-Admin Approval ist Enterprise-ready – Das Feature adressiert echte Security-Anforderungen. In großen Umgebungen unverzichtbar.
  3. Autopatch Update Readiness ist praktisch – Endlich echtes Troubleshooting-Tooling statt „lädt gerade“. Time Saver.

Quellenlinks

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

5. März 2026 / / Keine Kommentare

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

Kurze Info vorab: Ich versuche diese Serie nun hier zu etablieren und will die jeweiligen Erneuerungen welche Microsoft in Ihren Monatlichen Releases für Intune packt, hier klar zusammenzufassen. 

Microsoft Intune liefert monatlich neue Features – und manchmal passiert das so schnell, dass man kaum hinterherkommt. Heute schaue ich mir die Neuerungen aus den Service Releases 2601 (Februar 2026) und 2602 (März 2026) an und filtere raus, was für MDM-Admins wirklich relevant ist.

Kleiner Hinweis vorweg: Das 2602-Release ist heute, am 3. März 2026, gerade frisch deployed worden. Die detaillierten Release Notes auf Microsoft Learn wurden zum Zeitpunkt dieses Posts noch nicht vollständig publiziert – das ist bei neuen Releases normal, da die Doku immer etwas hinterherläuft. Was ich an 2602-Inhalten habe, kommt aus der offiziellen Microsoft-Ankündigung. Der Großteil dieses Posts deckt die gut dokumentierten 2601-Features ab – und da ist einiges dabei das sich lohnt genauer anzuschauen.

ℹ️ Wichtige Info zur Verfügbarkeit: Intune-Updates werden schrittweise ausgerollt – Tag 1: APAC, Tag 2: EMEA, Tag 3: Nordamerika, Tag 4+: Government. Manche Features brauchen mehrere Wochen bis zur vollständigen Verfügbarkeit. Wer etwas noch nicht sieht: einfach abwarten, es kommt automatisch.

Übersicht: Was ist neu in 2601 & 2602?

Feature Plattform Release Kategorie
Neue MHS RBAC-Permissions (Suspend/Restore) Android 2602 🔐 RBAC / Kiosk
EPM-Support für Azure Virtual Desktop Windows 2601 🔐 Security
Lenovo Device Orchestration Link im Admin Center Windows 2601 🛠️ Management
Neue Windows Settings Catalog Policies (Edge, AI, Chrome) Windows 2601 ⚙️ Konfiguration
Neue OEMConfig Apps (FCNT, Sonim) Android 2601 📱 Android OEM
Android Management Mode Filter im Settings Catalog Android 2601 ⚙️ Konfiguration
iOS/iPadOS Rating Apps Exempted Bundle IDs iOS/iPadOS 2601 ⚙️ Konfiguration
Erweiterte Assignment Filter für Managed Apps Android/iOS 2601 ⚙️ Policy
Zimperium MTD: Certificate Inventory Sync (iOS) iOS/iPadOS 2601 🔐 Security
Azure Front Door IPs – Firewall-Anpassung nötig! Alle 2601 ⚠️ Aktion erforderlich
Win11 25H2 in Feature Update Reports Windows 2601 📊 Reporting
Admin Tasks jetzt Generally Available Alle 2601 🛠️ Management
PowerShell-Installer für Win32 Apps Windows 2601 📦 App Management

🆕 Release 2602 – Was bisher bekannt ist

Neue RBAC-Permissions für den Managed Home Screen: TemporarilySuspendManagedHomeScreen & RestoreManagedHomeScreen

Das ist das Feature aus 2602, über das ich heute einen eigenen Post geschrieben habe – also kurz die Zusammenfassung: Mit diesem Release kommen zwei neue RBAC-Permissions für den Managed Home Screen, die automatisch den Built-in-Rollen School Administrator und Help Desk Operator hinzugefügt werden.

Was das bedeutet: Help Desk Operators und Schuladmins können jetzt einen Android-Kiosk temporär aus dem MHS-Modus herausnehmen, das Problem lösen, und ihn danach wieder zurücksetzen – alles ohne einen Global Admin einschalten zu müssen. Für alle die MHS in Schulen, im Retail oder bei Frontline Workern einsetzen: Das ist ein echter Alltagshelfer.

Mehr Details dazu gibt es in meinem ausführlichen Post: Intune MHS RBAC – Neue Permissions im Detail

📦 Release 2601 – Die wichtigsten Features im Detail

Android Enterprise: Neue OEMConfig Apps und bessere Filteroptionen

Zwei Themen die für Android-Enterprise-Admins interessant sind:

Erstens: Neue OEMConfig Apps. Microsoft hat drei neue OEMConfig-Apps in Intune verfügbar gemacht – FCNT Senior Care, FCNT Schema und Sonim. FCNT ist ein japanischer OEM mit Fokus auf robuste und barrierefreie Geräte (Senior Care ist selbst erklärend), Sonim ist für ultra-ruggedized Devices bekannt. Wer Geräte dieser Hersteller im Einsatz hat oder plant: die OEMConfig-Integration ermöglicht herstellerspezifische Konfigurationen direkt über Intune, ohne App-Wrapper oder Sonderlösungen.

Zweitens: Android Management Mode Filter im Settings Catalog. Beim Erstellen von Android-Policy-Profiles im Settings Catalog gibt es jetzt einen Filter nach dem Enrollment-Typ: Fully Managed, Corporate-owned Work Profile oder Dedicated. Das klingt nach einem kleinen QoL-Feature – ist aber in der Praxis ein echter Zeitgewinn. Wer heterogene Android-Flotten mit verschiedenen Enrollment-Typen verwaltet, findet die relevanten Settings jetzt schneller, ohne durch hunderte Optionen zu scrollen.

Android & iOS: Granularere Assignment Filter für Managed Apps

Das ist ein Feature das unter dem Radar läuft, aber operativ relevant ist. Assignment Filter erlauben es in Intune, Policy-Zuweisungen nicht nur nach Gruppe, sondern nach spezifischen Device-Properties zu steuern. Mit 2601 kommen deutlich mehr Optionen für den Device Management Type bei Managed Apps:

  • Android neu: Corporate-owned with work profile, Corporate-owned fully managed, Corporate-owned dedicated devices without Entra ID Shared mode
  • iOS/iPadOS neu: Automated Device Enrollment user-associated, Automated Device Enrollment userless, Account Driven User Enrollment, Device Enrollment with Company Portal and Web Enrollment

Warum ist das wichtig? In komplexen Umgebungen mit gemischten Enrollment-Typen – z.B. BYOD mit Work Profile neben Corporate-owned Fully Managed Devices – können Admins jetzt granular steuern welche App Protection Policies und App Config Policies für welchen Device-Typ gelten. Das reduziert Policy-Wildwuchs und ermöglicht sauberere Segmentierung. Das Feature rollt laut Microsoft bis Ende März 2026 vollständig aus.

iOS/iPadOS: Neues im Settings Catalog

Zwei Änderungen für iOS-Admins:

Erstens das neue Setting Rating Apps Exempted Bundle IDs. Wer auf Schulgeräten Altersrestriktionen konfiguriert hat (z.B. nur Apps bis 9 Jahre), konnte bisher keine Ausnahmen für bestimmte Apps definieren. Mit diesem Setting können Admins spezifische Apps vom Altersfilter ausnehmen – z.B. eine Lern-App die technisch ein 17+-Rating hat, aber inhaltlich für Schüler vollkommen unbedenklich ist.

Zweitens ein Umbenennung: Apple hat Rapid Security Responses in Background Security Improvements umbenannt. Intune hat das im Settings Catalog entsprechend nachgezogen. Kein funktionaler Unterschied – aber wer nach dem alten Namen gesucht hat, findet es jetzt unter dem neuen.

Windows: Neue Settings Catalog Policies

Microsoft hat wieder eine Reihe neuer Policies in den Windows Settings Catalog aufgenommen. Hier die MDM-relevanten Highlights:

  • Microsoft Edge bis v143 – inklusive neuer Policy zum Teilen von browsing history mit Microsoft 365 Copilot Search (ja, genau das was viele Admins kontrollieren wollen), RAM-Ressourcensteuerung und Local Network Access Restrictions
  • Windows AI Controls – neue Settings für Agent Workspaces, Agent Connectors und Remote Agent Connectors (aktuell noch Windows Insiders, aber gut zu kennen für die Zukunft)
  • Disable Share App Promotions – endlich: Admins können verhindern dass Windows im Share Sheet Werbung für Apps macht. Klingt trivial, war aber ein echtes Ärgernis in managed Umgebungen
  • Firewall Audit Mode – neues Setting um den Audit Mode für die Windows Firewall zu aktivieren (nützlich für Security-Reviews und Compliance-Audits)
  • Google Chrome ADMX bis v141 – immer schön wenn der Settings Catalog aktuell bleibt

Windows: PowerShell-Installer für Win32 Apps

Das ist ein Feature aus dem Januar-Update (Week of January 12) das ich kurz erwähnen möchte, weil es für viele App-Deployments relevant ist: Win32 Apps können jetzt mit einem PowerShell-Script als Installer deployt werden – statt mit einer klassischen Command Line. Das bedeutet: Prerequisite-Checks, Config-Änderungen, Post-Install-Aktionen – alles direkt im Installer-Script. Das ist besonders nützlich für komplexe App-Deployments die mehr als nur ein simples Setup.exe /S brauchen.

EPM: Support für Azure Virtual Desktop

Endpoint Privilege Management (EPM) – das Feature für granulare Elevation-Policies ohne lokale Admin-Rechte – unterstützt jetzt auch Azure Virtual Desktop (AVD) Single-Session VMs. Für alle die AVD in ihrem Modern Workplace Stack haben: EPM-Elevation-Policies können jetzt auch auf diese VMs deployed werden. EPM ist Teil des Intune Suite Add-ons.

Lenovo Device Orchestration: Direktlink im Admin Center

Kleines aber praktisches Feature für alle mit Lenovo-Flotten: Das Intune Admin Center hat jetzt einen direkten Link zur Lenovo Device Orchestration (LDO) Plattform unter Partner Portals. Das schafft einen single entry point für Lenovo-spezifische Device-Management-Funktionen – ohne extra Login oder Tab-Hopping.

⚠️ Wichtig & Handlungsbedarf: Azure Front Door IP-Adressen

⚠️ AKTION ERFORDERLICH wenn ihr IP-basierte Allowlists nutzt: Microsoft Intune verwendet seit Dezember 2025 Azure Front Door (AFD) IP-Adressen zusätzlich zu den bisherigen Intune Service IPs. Wer IP-basierte Firewall-Regeln, VPN-Policies oder Proxy-Allowlists betreibt, MUSS diese anpassen – sonst kann die Intune-Kommunikation der verwalteten Geräte eingeschränkt oder unterbrochen werden.

Microsoft hat das im Rahmen der Secure Future Initiative (SFI) kommuniziert – und es ist eines der Features das im Alltag leicht übersehen wird, aber operative Konsequenzen hat. Hier die Details:

Wenn ihr FQDN-basierte Regeln nutzt (empfohlen): Stellt sicher dass *.manage.microsoft.com als Wildcard-Regel konfiguriert ist. Typischerweise kein weiterer Handlungsbedarf.

Wenn ihr IP-basierte Allowlists nutzt: Folgende IP-Ranges müssen hinzugefügt werden (Commercial Endpoints):

  • 13.107.219.0/24
  • 13.107.227.0/24
  • 13.107.228.0/23
  • 150.171.97.0/24
  • 2620:1ec:40::/48 (IPv6)
  • 2620:1ec:49::/48 (IPv6)
  • 2620:1ec:4a::/47 (IPv6)

Alternativ kann der Azure Service Tag AzureFrontDoor.MicrosoftSecurity genutzt werden. Für US Government Endpoints gelten separate IPs – die aktuellen Ranges findet ihr direkt in den offiziellen Intune Network Endpoints Dokumenten.

💡 Empfehlung: Wenn ihr es noch nicht getan habt – wechselt auf FQDN-basierte Regeln. Ihr reduziert damit dauerhaft den Wartungsaufwand, weil IP-Änderungen nicht mehr manuell nachgepflegt werden müssen. Microsoft empfiehlt das ausdrücklich.

Reporting & Administration: Was sich verbessert hat

Admin Tasks jetzt Generally Available

Der Admin Tasks Node unter Tenant Administration ist aus der Public Preview raus und jetzt Generally Available. Was ist das? Eine zentrale Ansicht im Intune Admin Center die alle offenen Aufgaben bündelt – EPM-Elevation-Requests, Microsoft Defender Security Tasks und Multi-Admin-Approval-Requests. Alles auf einer Seite, mit Such- und Filterfunktion. Wer bisher durch verschiedene Admin-Center-Bereiche navigieren musste um den Überblick zu behalten – das ist jetzt deutlich angenehmer.

Windows 11 25H2 in Feature Update Reports

Die Windows Feature Update Readiness- und Compatibility Risks-Reports unterstützen jetzt Windows 11 25H2 als Ziel-OS. Das ist relevant für alle die gerade planen, wann und wie sie auf 25H2 upgraden wollen – die Reports zeigen jetzt Readiness-Status und potenzielle Compatibility-Risiken für diese Version, bevor man das Update ausrollt.

Zimperium MTD: Certificate Inventory Sync für iOS

Wer Zimperium als Mobile Threat Defense Partner nutzt: Es gibt eine neue Integration. Der Zimperium MTD Connector kann jetzt das Certificate Inventory von iOS-Geräten synchronisieren – also eine Liste der installierten Zertifikate. Das erlaubt Zimperium zu erkennen, wenn ein Device durch ein potenziell schädliches Zertifikat kompromittiert wurde. Konfigurierbar über den MTD Connector mit zwei neuen Settings: Enable Certificate Sync und Send full certificate inventory data for personally-owned devices.

Fazit: Zwei Releases – viel Substanz

2601 und 2602 sind keine „Mega-Releases“ mit einem einzelnen Killer-Feature – aber sie zeigen schön wie Microsoft Intune in der Breite reift: Granularere Policies, bessere Filter, mehr OEM-Support, sicherere Infrastruktur und mit den neuen MHS RBAC-Permissions ein echtes Alltagsproblem gelöst.

Was sollten Admins jetzt konkret tun? Erstens die Azure Front Door IP-Situation prüfen – das ist der einzige Punkt mit echtem Handlungsbedarf. Zweitens die neuen Assignment Filter für Managed Apps im Auge behalten (Rollout bis Ende März). Und drittens – wenn MHS im Einsatz ist – die neuen RBAC-Permissions reviewen und den Support-Workflow anpassen.

Ich bin gespannt was 2602 noch alles bringt wenn die vollständige Dokumentation online ist. Bis dahin – ran an die Kommentare, welches Feature freut euch am meisten? 😄

🔗 Quellen & weiterführende Links:

• Microsoft Learn – Intune What’s New (2601/2602): learn.microsoft.com/intune/fundamentals/whats-new

• M365 Admin – Service Update February 2026 (2602): m365admin.handsontek.net

• Microsoft Support Tip – Upcoming Intune Network Changes: techcommunity.microsoft.com

• Microsoft Learn – Intune Network Endpoints: learn.microsoft.com/intune/fundamentals/intune-endpoints