Schlagwort: Intune

Intune Release 2606: macOS Auto-Updates & Android Enterprise

Intune Release 2606: macOS-Updates im Autopilot, Android Enterprise wird erwachsen

Mal ehrlich – wer kennt das nicht? Sie spielen neue macOS-App-Versionen ein, und die Nutzer vergessen grundsätzlich, auf „Install“ oder „Reinstall“ in Company Portal zu klicken. Die Release 2606 setzt dem ein Ende. Aber das ist nur die Spitze des Eisbergs. Diese Week ist vollgepackt mit Updates, die vor allem macOS-Admins und Android Enterprise-Spezialisten freuen werden.

Lass mich durchgehen, was sich ändert und wo du handeln musst.

Quick-Überblick: Was ändert sich?

Feature Plattform Kategorie Priorität
macOS PKG Auto-Updates macOS App Management 🔴 Hoch
ChatGPT als Protected App Alle App Management 🟡 Mittel
EAM für GCC High/DoD Windows Enterprise Management 🔴 Hoch
EAM Auto-Update-Feature Windows App Management 🟡 Mittel
15+ neue Android Enterprise Settings Android Device Config 🟢 Standard

Die Highlights im Detail

🍎 macOS PKG Apps updaten sich jetzt selbst

Das ist echte Arbeitserleichterung: Wenn du eine verfügbare macOS PKG-App mit einer neueren Version hochlädst, deployt Intune das Update automatisch auf Geräte, auf denen die App bereits installiert ist.

Das funktioniert so:
– Du editierst eine bestehende App-Policy
– Lädst eine neuere Version der gleichen App hoch (gleiche Bundle ID)
– Intune erkennt das und rolled den Update automatisch aus
– Der Nutzer klickt nirgendwo auf „Install“ – es passiert einfach

Wichtig – Breaking Change:
Dafür brauchst du Microsoft Intune management agent for macOS Version 2606.013 oder neuer. Wenn Geräte noch älter sind, funktioniert der Auto-Update nicht. Das sollte in deiner Pre-Deployment-Checklist stehen.

Praktisches Beispiel:
Du hast Microsoft Edge 127.0 deployed. Jetzt kommt 127.0.1 raus. Du lädst die neue Version hoch → Intune pusht’s automatisch. Schluss mit Suppor-Tickets „Warum hab ich noch die alte Version?“


🤖 ChatGPT ist jetzt eine Protected App

Microsoft hat ChatGPT zur Liste der Protected Apps hinzugefügt. Das bedeutet, es unterliegt jetzt Intune App Protection Policies (APP) – Conditional Access, Offline-Sperren, Clipboard-Restrictions et cetera.

Das ist ein Signal: KI-Tools werden zunehmend ernst genommen in der Enterprise-Sicherheit. Wenn du sensible Daten schützen musst, kannst du ChatGPT jetzt granular steuern, ohne es zu blocken.


🏛️ Enterprise App Management jetzt auch für GCC High & DoD

Das ist Government-spezifisch wichtig: Microsoft bringt Enterprise App Management (EAM) in die GCC High (GCCH) und DoD Cloud-Umgebungen.

Was heißt das?
Gouvernementale Organisationen können jetzt im EAM-Katalog Microsoft- und Third-Party-Apps entdecken, deployen und updaten – ohne manuelle Repackaging. Ein sichere Cross-Cloud-Integration wahrt Compliance-Grenzen und Auth-Requirements für Government Tenants.

Impact für Government IT-Admins:
– Weniger manuelle App-Packaging-Arbeit
– Native Compliance mit FedRAMP/DoD-Anforderungen
– Schnellere App-Rollouts in sensitiven Umgebungen


⚡ EAM Auto-Update – Supersedence auf Autopilot

Neben GCC-Support kommt auch Auto-Update für EAM-Apps. Wenn du ein EAM-App mit required Assignment deployst und Auto-Update aktivierst:

  1. Intune erkennt eine neue Version im EAM-Katalog
  2. Update wird automatisch auf Zielgeräten installiert
  3. Keine manuellen Packaging-/Supersedence-Workflows mehr

Das spart:
– Zeitaufwand für Update-Management
– Fehleranfälligkeit durch manuelle Versionsersetzung
– Sicherheitslücken durch veraltete Apps

Wichtig: Das gilt nur für required Assignments. „Available“ Apps musst du noch manuell managen (das ist absichtlich, damit Nutzer die Kontrolle behalten).


🤖 Android Enterprise: 15+ neue Settings im Settings Catalog

Das ist die große Erweiterung: Intune 2606 bringt etwa 15 neue Android Enterprise Settings in den Settings Catalog. Hier die wichtigsten Kategorien:

Applications

  • Block apps from exposing app functions – Verhindert, dass verwaltete Apps Funktionen für andere Apps/KI-Agenten freigeben (COBO, COSU, COPE)
  • Block widgets from work profile apps – Widgets aus Work-Profile-Apps vom Home Screen blockieren (COPE)

Connectivity (neu in 2606)

  • Allow selection of a preferential network service – Priorisiert bestimmte Netze (z.B. 5G Enterprise Slice)
  • Block airplane mode – Flugzeugmodus deaktivieren
  • Block cellular 2G – Nur auf Android 14+; verhindert 2G-Fallback
  • Block configuring cell broadcasts – Notfall-Alerts blockieren (⚠️ – das kann problematisch sein!)
  • Block configuring mobile networks – Nutzer darf Netz-Settings nicht ändern
  • Block configuring VPN – VPN-Konfiguration durch Nutzer verhindern
  • Block network reset – Netzwerk-Reset unterbinden
  • Block outgoing calls – Telefonie komplett deaktivieren
  • Block SMS – SMS-Versand/-Empfang blockieren
  • Block ultra wideband – UWB (Android 14+) deaktivieren
  • Select minimum Wi-Fi security level – Erzwingt WPA3-Pers/Enterprise (Android 13+)

General

  • Block printing – Drucken verhindern
  • Block setting user icon – Profilbild ändern verhindern
  • Block setting wallpaper – Wallpaper-Änderung sperren
  • Block users from adding eSIM profiles – eSIM-Management blockieren

Device Type Support:

  • COBO – Corporate-Owned, Fully Managed
  • COSU – Corporate-Owned, Shared/Dedicated
  • COPE – Corporate-Owned, Personal-Enabled (Work Profile)

Meine Einschätzung: Das sind Sicherheits-Heavy-Hitter, besonders für:
Kiosk-Devices (COSU) – Printing, Calls, SMS sperren
Rugged Devices – 2G-Block, UWB-Control
BYOD-ähnliche Szenarien (COPE) – Granulare Widget-Kontrolle


That’s it. Microsoft macht aktuell echt viel in Intune und versucht sich einer Omnissa mit großen Schritten zu nähern. Aber alles in allen. Omnissa rennt weiter und ist bis dato für mich immer noch das Top of the Top UEM/MDM.


Quellen

Intune 2605: Multiple Accounts, Apple Intelligence & MHS

Intune Release 2605: Multiple Accounts, Apple Intelligence Umbruch & MHS-Power-Up

Die Juni-Release 2605 fällt mir sofort durch zwei Dinge auf: Da kommt endlich Multi-Account-Support für Teams (nur iOS/iPadOS – Android schaut in die Röhre), und Apple dreht bei Intelligence-Einstellungen ordentlich am Rad. Wer noch alte MDM-Restrictions für Apple Intelligence setzt, muss sich umorientieren. Dazu neue MHS-Features, die Kiosk-Szenarien smarter machen. Lass uns durchgehen, was sich ändert.

Quick-Überblick: Was ändert sich?

Feature Plattform Kategorie Priorität
Multiple Managed Accounts iOS/iPadOS (Teams) App Management 🟡 Mittel
Custom Top Bar (MHS) Android Enterprise Device Config 🟡 Mittel
MHS Lock Task Password Migration Android Enterprise Breaking Change 🔴 Hoch
Block Bluetooth Sharing Android Enterprise Device Config 🟢 Niedrig
Apple Intelligence Settings Deprecation iOS/iPadOS, macOS Breaking Change 🔴 Hoch
App Silencing (MHS) Android Enterprise Device Config 🟡 Mittel
Microsoft Edge NTP Feed Settings Windows Device Config 🟢 Niedrig

Die Highlights im Detail

Multiple Managed Accounts für Microsoft Teams (iOS/iPadOS)

Das ist endlich praktisch: Nutzer können jetzt mehr als ein verwaltetes Konto in derselben App (konkret: Teams) hinzufügen und managen. Jedes Konto bekommt eigene App Protection Policies – perfekt für:

  • Berater & Consultants mit Kundenzugängen
  • M&A-Teams mit mehreren Tenant-Zugehörigkeiten
  • Multi-Mailbox-Szenarien (Compliance, HR, etc.)

Aktuell nur Teams v8.10.0+ auf iOS/iPadOS. Android und weitere Apps folgen später – das ist ein klassisches „Coming Soon“. Rollout erfolgt graduell, also nicht bei allen Tenants sofort verfügbar.

 

Custom Top Bar Text in Managed Home Screen

Die MHS bekommt mehr Flexibilität: Statt nur Serial Number, Device Name und Tenant Name kannst du jetzt Custom Text (bis 63 Zeichen) setzen. Bonus: Dynamic Variables werden unterstützt:

  • {{SerialNumber}}
  • {{DeviceName}}
  • {{TenantName}}

Praktische Anwendungen:
– Checkout-Kioske: "Register 03 - {{DeviceName}}"
– Departmental Tagging: "Warehouse - {{SerialNumber}}"
– Konferenzraum-Kioske: "Meeting Room 4B"

Applies to: Android Enterprise COSU (Dedicated) & COBO (Fully Managed)

🔴 BREAKING CHANGE: MHS Lock Task Mode Password migriert

Achtung – das ist eine echte Breaking Change:

Früher konntest du das **Lock Task Mode Password** für MHS über **App Configuration Policy** setzen. Das funktioniert jetzt **nicht mehr**. Du musst auf **Device Configuration Profile** wechseln

Docs: Configure the Microsoft Managed Home Screen app for Android Enterprise (Microsoft Learn)

Block Bluetooth Sharing – Neue Android Settings Catalog Policy

Settings Catalog bekam ein neues Boolean-Setting: Block Bluetooth Sharing

  • True: Device blockiert Bluetooth-Sharing
  • False: Keine Änderung (OS-Default bleibt)

OS-Defaults aktuell:
– COBO & COSU: Bluetooth Sharing erlaubt
– COPE: Bluetooth Sharing blockiert

Nutzen: Falls du eine konsistente Sharing-Policy across all AOSP-Devices brauchst.

Applies to: COPE, COBO, COSU

🔴 BREAKING CHANGE: Apple Intelligence Settings werden deprecated

Das ist der große Umbruch: Apple hat in iOS/iPadOS 26.4 viele Intelligence-Settings aus dem MDM Restrictions Payload entfernt. Microsoft folgt jetzt nach und depreciert diese Settings in Intune:

Betroffene Settings in Settings Catalog (Restrictions):
Allow Apple Intelligence Report
Allow Assistant (und alle Varianten)
Allow Auto Correction
Allow Continuous Path Keyboard
Allow Definition Lookup
Allow Dictation
Allow External Intelligence Workspace IDs / Integrations
Allow Genmoji
Allow Image Playground / Image Wand
Allow Mail Smart Replies / Mail Summary
Allow Notes Transcription / Summary
Allow Predictive Keyboard
Allow Safari Summary
Allow Spell Check
Allow Visual Intelligence Summary
Allow Writing Tools
– Alle Force Varianten

Betroffene Settings in Device Restrictions Template:
– Built-in apps: Siri (alle Varianten), User-Generated Content
– Keyboard & Dictionary: Word Definition, Predictive Keyboards, Auto-Correction, Spell Check, Keyboard Shortcuts, Dictation

Die neue Lösung: DDM Configurations (ab März 2026 released)

Applies to: iOS/iPadOS, macOS

App Silencing in Managed Home Screen (MHS)

Neue Security-Feature für Kiosk-Umgebungen: Wenn MHS den User zur Authentication auffordert (Sign-in, Session PIN), können Apps jetzt silenced werden. Das heißt:

  • Keine Activity Starts
  • Keine Notifications
  • Nicht in Recent Apps sichtbar
  • Keine Toasts, Dialogs oder Device Ringing

Mit Allowlist: Kritische Apps (z.B. Phone/Calls) können du in der Allowlist behalten, damit Telefonate nicht unterbrochen werden.

Szenario: Checkout-Geräte in Supermärkten – während der PIN-Authentifizierung kann Werbung/Notifications nicht ablenken. Nach Unlock: Normal.

Applies to: Android Enterprise (alle Varianten)

Microsoft Edge 148 Settings im Windows Settings Catalog

Zwei neue NTP (New Tab Page) Policies für Edge 148:

1. ConfigureNTPFeedTabVisibility
EnableBothWorkDiscover (Default): Beide Tabs sichtbar
EnableOnlyWork: Nur Work Feed
EnableOnlyDiscover: Nur Discover Feed

2. Default NTP Feed Tab
Work (Default)
Discover

Nutzen: Für Enterprises, die ihren Mitarbeitern nur unternehmensrelevante Inhalte auf der Edge New Tab Page zeigen wollen.

Applies to: Windows 10 and later


Handlungsbedarfe

🔴 KRITISCH – Apple Intelligence Migration (iOS/iPadOS, macOS)

  • Timeline: Beginn jetzt, Abschluss bis Ende Q3 2026
  • Action: Migrate alte Intelligence-Restrictions zu DDM Configs
  • Fallback: Alte Policies funktionieren noch, aber sind deprecated
  • Docs: Apple DDM Framework (Microsoft Learn)

🔴 WICHTIG – MHS Lock Task Password (Android Enterprise)

  • Timeline: Nächste Wartungsfenster
  • Action: App Config Policies → Device Configuration Profiles
  • Überwachung: Legacy Policies weiterhin testen, parallele Migration empfohlen
  • Docs: Configure Microsoft Managed Home Screen

🟡 MITTELHOCH – Multiple Managed Accounts (iOS/iPadOS)

  • Timeline: Jetzt QA-testen, später rollout
  • Action: Teams v8.10.0+ in Pilot-Group testen
  • Testing: Wie funktionieren Custom App Protection Policies mit Multi-Account?
  • Scope: Android-Support kommt später – nicht sofort erwarten

🟡 OPTIONAL – Custom MHS Top Bar & App Silencing

  • Timeline: Nächster Kiosk-Deployment
  • Action: ROI-Check für deine Kiosk-Szenarien
  • Use Cases: Checkout, Konferenzraum-Displays, Public Kioske

Fazit

Release 2605 ist ein Mixed Bag:

Das Gute:
– Multiple Managed Accounts endlich für Teams = echte Productivity-Gewinne
– MHS-Features (Custom Top Bar, App Silencing) machen Kiosk-Deployment smarter
– Edge & Bluetooth Settings geben mehr Granularität

⚠️ Das Kritische:
Apple Intelligence Deprecation ist ein echtes Project – du musst zu DDM migrieren
MHS Lock Task Password erfordert Policy-Rewrite – das ist Arbeit
Gradueller Rollout bedeutet: Nicht alle Features sind sofort da


Quellen

Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)

Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)

🤔 Was mir an dieser Release auffällt

Ehrlich gesagt, die 2604er Release ist bemerkenswert solide. Keine großen Breaking Changes, aber dafür drei sehr sinnvolle Punkte, die ich täglich in Kundenprojekten höre:

  1. EPM endlich für alle User – bisher war das ein nerving restrictions für Shared Devices (Kiosk, Hotspot-Devices)
  2. Android 14: Credential Manager-Kontrolle – das schreit geradezu nach Zero-Trust-Architektur
  3. Vision Pro & Apple TV management – ok, nichts für den Massenmarkt, aber für Specialized Use Cases ein Game-Changer

Lass mich die Details durchkauen.


📊 Feature-Übersicht: Was sich ändert

Feature Plattform Kategorie Wichtigkeit
EPM: Support-approved Elevation für alle User Windows Security/Privilege Mgmt 🔴 High
Android 14: Credential Manager Permissions Android Enterprise Device Config 🔴 High
Location Services Settings Katalog (neu) Android Enterprise Device Config 🟡 Medium
Apple Access Management (ABM/ASM) iOS/macOS Enrollment/Access 🟡 Medium
visionOS & tvOS ADE Support visionOS/tvOS Enrollment 🟡 Medium
Ubuntu 26.04 LTS Support Linux Device Management 🟡 Medium
Neue Device Page (Public Preview) All UI/UX 🟢 Low (UX)
EPM: Suspend/Restore für Managed Hosting Windows Device Management 🟡 Medium

🔧 Die wichtigsten Features im Detail

1️⃣ Endpoint Privilege Management (EPM): Support-Approved Elevations für ALLE User

Vorher:
– Support-approved file elevation requests funktionieren nur für:
– Den Primary User des Devices
– Den User, der das Device enrolled hat
– Auf Shared Devices (Hotspot, Kiosk, Hoteling): komplettes Blockkade

Nachher (2604):
Alle User auf einem Device können Support-Approved Elevation Requests stellen
– Der Support-Admin muss nicht mehr jonglieren, welcher User gerade logged ist

Szenarios wo das hilft:
– Shared Hotspot-Geräte in Logistik-Hubs
– Kiosk-Modus für Retail/Hospitality
– Hot-Desking in großen Büros

Was ich dir empfehle:

Intune Admin Center → Endpoint Privilege Management →
Policies → [Deine Policy] → Elevation Settings prüfen

Vorsicht: Das ist ein Feature von Intune Suite – nicht im Standard-Intune Plan 1 enthalten. Kosten-Impact checken!


2️⃣ Android 14+: Credential Manager Permissions – Das Security-Highlight

Das Problem:
– Android 14 blockt standardmäßig Third-Party Credential Provider auf Corporate Devices
– Passkey-Adoption scheitert, weil kein Custom Password Manager nutzbar ist
– Microsoft Authenticator kann nicht als Default-Provider fungieren

Die Lösung (2604):
Neue Config im Intune Admin Center:

Apps → Android → Configuration → Managed Devices
→ Android Enterprise → Credential Manager Permissions

Was du hier steuern kannst:
✅ Spezifische Apps als System-Credential-Provider zulassen
✅ Passkey-basierte Sign-in aktivieren
✅ Nur vertraute Credential Sources erlauben
❌ Google Password Manager bleibt blockiert (Known Limitation!)

Unterstützte Device Types:
– Android COBO (Fully Managed)
– Android COSU (Dedicated)
– Android COPE (Corporate-Owned Work Profile)
– Android BYOD mit Work Profile (AM API)

Meine Einschätzung:
Das ist Zero-Trust für Android. Du kannst jetzt explizit definieren: „Nur Microsoft Authenticator + 1Password dürfen Passkeys speichern.“ Game-changer für Finance/Legal-Geräte.

⚠️ Warnung: Google Password Manager funktioniert nicht – musst du in deinen Rollout-Docs erwähnen!


3️⃣ Android Enterprise: Location Settings – Mehr Granularität

Neu (war vorher Binary-Block):
Drei Optionen statt Ja/Nein:

Option Verhalten Use Case
Device default OS-Standard, User kann togglen Flexible Policies
Location enabled Erzwungen an, User kann nicht aus Fleet Tracking, Delivery
Location disabled Erzwungen aus, User kann nicht an High-Security Devices

Gilt für:
– Android 10 und älter (COPE, COBO, COSU)

Warum sag ich dir das?
Der alte „Block location“ Setting war ein Sledgehammer. Jetzt kannst du differenzieren: Fleet-Devices tracken, Admin-Devices privat halten.


4️⃣ Apple Access Management (neu) – For ABM/ASM Admins

Was ist neu:
– Direkt in Apple Business Manager / Apple School Manager konfigurierbar
– Du steuert jetzt aus ABM, welche Devices ein User nutzen darf
Welche Apps & Services verfügbar sind (z.B. App Store blockieren?)

Gilt für:
– iOS/iPadOS
– macOS

Impact für Intune Admins:
Das ist eher ein Apple-seitiges Feature. Aber wenn dein ABM Admin das nutzt, synchronisiert es mit Intune. Wichtig: In deine ABM-Onboarding-Docs aufnehmen!


5️⃣ 🎯 visionOS & tvOS ADE Support – The Future is Here

Brechen wir’s runter:

Zum ersten Mal unterstützt Intune:
Apple Vision Pro Management
Apple TV Management
Ohne User Affinity (userless ADE)

Technische Details:
– Über Apple Business Manager / Apple School Manager
– Intune Plan 2 erforderlich (Teil Microsoft 365 Suite)
– Voraussetzung: tvOS 26+ oder visionOS 26+
– Custom Configuration Uploads möglich
– Enrollment Restrictions & Device Actions funktionieren

Wo erscheinen diese Devices?

Intune Admin Center → Devices → All Devices →
Apple Mobile Devices (Filter: tvOS/visionOS)

Szenarios:
– 🏥 Krankenhaus: Vision Pro für Chirurgie-Planung + MDM-Lockdown
– 🏬 Retail: Apple TV in Stores mit gepinnten Apps
– 🎓 Education: VisionOS für AR-Learning, zentral verwaltet

⚠️ WICHTIG: Keep devices updated! tvOS/visionOS 26+ = Sicherheit. Das ist kein „kann“, das ist Pflicht für deine Governance.


6️⃣ Linux: Ubuntu 26.04 LTS Support + 22.04 EOL-Warnung

Timeline:

Version Status Maßnahme
Ubuntu 22.04 LTS EOL August 2026 ⚠️ Migration planen
Ubuntu 26.04 LTS Neu supported Rollout ready

Praktisch:
Devices auf 22.04 können enrolled bleiben, aber:
1. Du solltest Upgrade-Kampagne starten
2. Im Intune Admin Center kannst du identifizieren:

Devices → All Devices → Filter: Linux → Add Column: OS Version


7️⃣ New Device Page (Public Preview) – UI/UX Facelift

Das ist in Preview – noch nicht produktiv!

Enable:

Intune Admin Center → Devices → All Devices → Toggle: „Preview new device view“

Was ändert sich:
Single unified view für Device-Info statt 5 verschiedene Tabs
– Neue Struktur:
Device action status – Was läuft gerade?
Tools and reports – Compliance, Config Status, Remediations
Properties – Editable Device Infos
Device details – Hardware & Entra-Infos

Wichtig:
– Nur bei Devices → All Devices aktiv
– Wenn du ein Device aus Report-View öffnest → alte UI
Keine Funktionalitäts-Changes, rein UI

Meine Einschätzung:
Langfristig überraschend gut durchdacht. Aber warte bis GA, bevor du es im Training zeigst.


⚠️ HANDLUNGSBEDARF: Breaking Changes & Deprecations

🔴 CRITICAL: Google Password Manager blocked auf Android Work Profile

Was passiert:

Android COPE / BYOD Work Profile + Android 14
→ Google Password Manager funktioniert NICHT als Credential Provider

Dein Handeln:
1. Audit: Welche User nutzen Google Password Manager?
2. Communication: „Wir wechseln zu [Microsoft Authenticator / 1Password]“
3. Policy: Setze explizit authorized credential providers
4. Timeline: VOR Android 14 Roll-out implementieren!


🟠 WARNING: Ubuntu 22.04 LTS EOL August 2026

Was passiert:
Nach August 2026 keine Security Patches für 22.04

Dein Handeln:
1. Identifiziere alle Ubuntu 22.04 Devices (Filter in Intune)
2. Kommuniziere Migration zu 26.04 LTS
3. Teste 26.04 LTS in Pilot vor August 2026
4. Hardware-Check: Manche ältere Geräte unterstützen 26.04 nicht!


🟡 NOTICE: visionOS/tvOS 26+ Requirement

Was ist neu:
Apple Vision Pro & Apple TV management nur mit tvOS 26+ / visionOS 26+

Dein Handeln:
– Falls du Vision Pro pilotierst: Update-Strategie definieren
– Alte tvOS-Versionen bleiben „unmanaged“
– Monitoring: „Devices with unsupported OS version“ tracken


📚 Microsoft Learn Ressourcen

Alle offizielle Docs:

  1. EPM Support-Approved Elevations

  2. Android Credential Manager Config

  3. Android Settings Catalog

  4. Apple ADE Overview

  5. Linux Device Enrollment

  6. Ubuntu 26.04 Details


Wer MUSS upgraden:

✅ Android Enterprise Admins (Credential Manager Control ist ein Must-Have für Security)
✅ EPM-Nutzer auf Shared Devices (endlich nicht mehr Workarounds!)
✅ Apple-Shops mit tvOS/Vision Pro Piloten

Wer kann warten (bis GA):

⏳ Reine iOS/macOS Orgs (Features sind nett, nicht game-changing)
⏳ Linux-only Shops (Ubuntu 26.04 ist Standard, 22.04 EOL ist erst Aug 2026)
⏳ Wer Device Page neue UI noch nicht braucht (noch in Preview)

Meine persönliche Einschätzung:

Nach 16+ Jahren MDM: Diese Release ist stabil und pragmatisch. Keine Überraschungen, keine großen Deprecated Features, aber echte Mehrwerte bei Android Security + Credential Management.

Das Android Credential Manager Feature verdient eure volle Aufmerksamkeit. Das ist nicht nur ein „nice-to-have“ – das ist Zero-Trust für Mobile Devices.

Rollout-Plan:

Phase 1 (Juni 2026): Pilot mit Android Credential Manager (5% Devices)
Phase 2 (Juli 2026): EPM Policies für Shared Devices updaten
Phase 3 (Aug 2026): Ubuntu 22.04 → 26.04 Migration starten
Phase 4 (Sept 2026): visionOS/tvOS in Pilot (wenn relevant)
„`

🔗 Schnelle Links
Intune What’s New – Service Release 2604
Microsoft Intune Blog
Intune Roadmap
Endpoint Privilege Management Docs

Managed Home Screen: Woher kommt der angezeigte Gerätename?

Managed Home Screen: Woher kommt der angezeigte Gerätename?

Wer den Microsoft Managed Home Screen (MHS) im Shared Device Mode einsetzt, kennt das: In der Top Bar wird ein Gerätename angezeigt – übersichtlich, praktisch, nützlich für Frontline-Worker-Umgebungen. Aber mal ehrlich: Hast du dich schon gefragt, wo dieser Name eigentlich herkommt? Aus dem Android-System? Aus Intune? Und was passiert, wenn du das Gerät in der Konsole umbenennst?

Genau diese Frage hatte ich letztens im Office und habe mich rangesetzt, um ihr auf den Grund zu gehen. Spoiler: Ich wusste schon intuitiv woher die Info kommt – aber ich wollte es dann doch etwas technischer beleuchten. 😄

1. Die Quelle: Nicht Android – sondern Intune

Kurze Antwort zuerst: Der angezeigte Gerätename kommt nicht vom Android-Betriebssystem selbst. Es ist nicht das, was unter Einstellungen → Gerät → Gerätename steht. Sondern es ist der Device Name-Eintrag aus dem Microsoft Intune Admin Center – also der Anzeigename, den du in der Verwaltungskonsole vergeben hast.

⚠️ Wichtig: Das Umbenennen eines Geräts in Intune ändert nur den Anzeigenamen in der Konsole – nicht den lokalen Gerätenamen auf dem Android-Betriebssystem selbst! MHS zeigt immer den Intune-seitigen Namen an.

2. Der Übertragungsweg: App Configuration Policy mit {{DeviceName}}

Der Name gelangt über eine App Configuration Policy an das Gerät. Microsoft stellt dafür die dynamische Variable {{DeviceName}} bereit – Intune löst diese Variable serverseitig auf und bettet den echten Gerätenamen in die Policy ein, bevor sie ans Gerät gepusht wird.

Die drei relevanten Konfigurationsschlüssel in der App Configuration Policy:

Konfigurationsschlüssel Wert Funktion
Top Bar Primary Element Device Name Gerätename als primäres Element (nur ohne Sign-In)
Top Bar Secondary Element Device Name Gerätename als sekundäres Element
Show device name for all supported OS versions on MHS {{DeviceName}} Pflichtfeld – Intune befüllt automatisch den korrekten Wert

ℹ️ Shared Device Mode – Sonderregel: Wenn Sign-In aktiviert ist, wird das primäre Top-Bar-Element automatisch durch den Namen des angemeldeten Benutzers ersetzt. Der Gerätename kann dann nur noch als sekundäres Element konfiguriert werden.

3. Wird der Name lokal gespeichert? Ja – aber nicht wo du denkst

Hier wird es technisch interessant. Der Gerätename wird lokal auf dem Gerät gespeichert – allerdings nicht in einer einfachen Datei oder Datenbank, die ein Nutzer einsehen könnte. Stattdessen nutzt Android dafür den sogenannten Managed Configuration Mechanismus, auch bekannt als App Restrictions oder RestrictionsManager.

Der vollständige Datenpfad

Schritt              Was passiert?
1 Intune löst {{DeviceName}} serverseitig auf → z.B. „DEV-WARD-01“
2 App Configuration Policy mit aufgelöstem Wert wird an das Gerät gepusht
3 Device Policy Controller (Intune / Company Portal) schreibt Wert ins Android Managed Config Bundle
4 Android RestrictionsManager speichert Bundle im geschützten Systembereich
5 MHS App liest Wert beim Start via RestrictionsManager.getApplicationRestrictions()
6 Anzeige des Namens in der Top Bar

Eigenschaften des lokalen Caches

Eigenschaft Detail
Speicherort Systembereich des Android OS – nicht im App-eigenen Storage
Format Android Bundle (Key-Value-Pairs, binär)
Zugriffsrechte Nur der DPC (Intune Company Portal) darf schreiben; MHS darf nur lesen
Persistenz Bleibt über App-Neustarts erhalten; wird bei Policy-Sync oder Factory Reset aktualisiert
Offline-Verhalten Gerätename wird auch ohne Netzwerkverbindung angezeigt (gecacht)
Update-Zyklus Wird beim nächsten Policy-Sync aktualisiert (~alle 8 Stunden oder manuell)

4. Wo wird der Name nicht gespeichert?

Zur Klarheit – diese Speicherorte werden explizit nicht verwendet:

  • ❌ Nicht im lokalen Android-Gerätenamen (Settings.Global.DEVICE_NAME)
  • ❌ Nicht in einer Datei im MHS-App-Verzeichnis (/data/data/com.microsoft.launcher.enterprise/)
  • ❌ Nicht in einer für den Nutzer zugänglichen Datenbank
  • ✅ Ausschließlich im geschützten Android Managed Configuration Bundle – weder einsehbar noch manipulierbar durch den Endnutzer

Fazit

Der im Managed Home Screen angezeigte Gerätename kommt direkt aus dem Intune Admin Center – übermittelt via App Configuration Policy mit der Variable {{DeviceName}}. Lokal wird er im Android RestrictionsManager-Bundle gecacht: sicher, persistent, offline-fähig und für den Endnutzer weder einsehbar noch veränderbar.

Das macht die Sache für Frontline-Worker-Szenarien besonders praktisch. Egal ob das Gerät gerade online ist oder nicht – der Gerätename wird immer korrekt angezeigt.

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

Kurze Info vorab: Ich versuche diese Serie nun hier zu etablieren und will die jeweiligen Erneuerungen welche Microsoft in Ihren Monatlichen Releases für Intune packt, hier klar zusammenzufassen. 

Microsoft Intune liefert monatlich neue Features – und manchmal passiert das so schnell, dass man kaum hinterherkommt. Heute schaue ich mir die Neuerungen aus den Service Releases 2601 (Februar 2026) und 2602 (März 2026) an und filtere raus, was für MDM-Admins wirklich relevant ist.

Kleiner Hinweis vorweg: Das 2602-Release ist heute, am 3. März 2026, gerade frisch deployed worden. Die detaillierten Release Notes auf Microsoft Learn wurden zum Zeitpunkt dieses Posts noch nicht vollständig publiziert – das ist bei neuen Releases normal, da die Doku immer etwas hinterherläuft. Was ich an 2602-Inhalten habe, kommt aus der offiziellen Microsoft-Ankündigung. Der Großteil dieses Posts deckt die gut dokumentierten 2601-Features ab – und da ist einiges dabei das sich lohnt genauer anzuschauen.

ℹ️ Wichtige Info zur Verfügbarkeit: Intune-Updates werden schrittweise ausgerollt – Tag 1: APAC, Tag 2: EMEA, Tag 3: Nordamerika, Tag 4+: Government. Manche Features brauchen mehrere Wochen bis zur vollständigen Verfügbarkeit. Wer etwas noch nicht sieht: einfach abwarten, es kommt automatisch.

Übersicht: Was ist neu in 2601 & 2602?

Feature Plattform Release Kategorie
Neue MHS RBAC-Permissions (Suspend/Restore) Android 2602 🔐 RBAC / Kiosk
EPM-Support für Azure Virtual Desktop Windows 2601 🔐 Security
Lenovo Device Orchestration Link im Admin Center Windows 2601 🛠️ Management
Neue Windows Settings Catalog Policies (Edge, AI, Chrome) Windows 2601 ⚙️ Konfiguration
Neue OEMConfig Apps (FCNT, Sonim) Android 2601 📱 Android OEM
Android Management Mode Filter im Settings Catalog Android 2601 ⚙️ Konfiguration
iOS/iPadOS Rating Apps Exempted Bundle IDs iOS/iPadOS 2601 ⚙️ Konfiguration
Erweiterte Assignment Filter für Managed Apps Android/iOS 2601 ⚙️ Policy
Zimperium MTD: Certificate Inventory Sync (iOS) iOS/iPadOS 2601 🔐 Security
Azure Front Door IPs – Firewall-Anpassung nötig! Alle 2601 ⚠️ Aktion erforderlich
Win11 25H2 in Feature Update Reports Windows 2601 📊 Reporting
Admin Tasks jetzt Generally Available Alle 2601 🛠️ Management
PowerShell-Installer für Win32 Apps Windows 2601 📦 App Management

🆕 Release 2602 – Was bisher bekannt ist

Neue RBAC-Permissions für den Managed Home Screen: TemporarilySuspendManagedHomeScreen & RestoreManagedHomeScreen

Das ist das Feature aus 2602, über das ich heute einen eigenen Post geschrieben habe – also kurz die Zusammenfassung: Mit diesem Release kommen zwei neue RBAC-Permissions für den Managed Home Screen, die automatisch den Built-in-Rollen School Administrator und Help Desk Operator hinzugefügt werden.

Was das bedeutet: Help Desk Operators und Schuladmins können jetzt einen Android-Kiosk temporär aus dem MHS-Modus herausnehmen, das Problem lösen, und ihn danach wieder zurücksetzen – alles ohne einen Global Admin einschalten zu müssen. Für alle die MHS in Schulen, im Retail oder bei Frontline Workern einsetzen: Das ist ein echter Alltagshelfer.

Mehr Details dazu gibt es in meinem ausführlichen Post: Intune MHS RBAC – Neue Permissions im Detail

📦 Release 2601 – Die wichtigsten Features im Detail

Android Enterprise: Neue OEMConfig Apps und bessere Filteroptionen

Zwei Themen die für Android-Enterprise-Admins interessant sind:

Erstens: Neue OEMConfig Apps. Microsoft hat drei neue OEMConfig-Apps in Intune verfügbar gemacht – FCNT Senior Care, FCNT Schema und Sonim. FCNT ist ein japanischer OEM mit Fokus auf robuste und barrierefreie Geräte (Senior Care ist selbst erklärend), Sonim ist für ultra-ruggedized Devices bekannt. Wer Geräte dieser Hersteller im Einsatz hat oder plant: die OEMConfig-Integration ermöglicht herstellerspezifische Konfigurationen direkt über Intune, ohne App-Wrapper oder Sonderlösungen.

Zweitens: Android Management Mode Filter im Settings Catalog. Beim Erstellen von Android-Policy-Profiles im Settings Catalog gibt es jetzt einen Filter nach dem Enrollment-Typ: Fully Managed, Corporate-owned Work Profile oder Dedicated. Das klingt nach einem kleinen QoL-Feature – ist aber in der Praxis ein echter Zeitgewinn. Wer heterogene Android-Flotten mit verschiedenen Enrollment-Typen verwaltet, findet die relevanten Settings jetzt schneller, ohne durch hunderte Optionen zu scrollen.

Android & iOS: Granularere Assignment Filter für Managed Apps

Das ist ein Feature das unter dem Radar läuft, aber operativ relevant ist. Assignment Filter erlauben es in Intune, Policy-Zuweisungen nicht nur nach Gruppe, sondern nach spezifischen Device-Properties zu steuern. Mit 2601 kommen deutlich mehr Optionen für den Device Management Type bei Managed Apps:

  • Android neu: Corporate-owned with work profile, Corporate-owned fully managed, Corporate-owned dedicated devices without Entra ID Shared mode
  • iOS/iPadOS neu: Automated Device Enrollment user-associated, Automated Device Enrollment userless, Account Driven User Enrollment, Device Enrollment with Company Portal and Web Enrollment

Warum ist das wichtig? In komplexen Umgebungen mit gemischten Enrollment-Typen – z.B. BYOD mit Work Profile neben Corporate-owned Fully Managed Devices – können Admins jetzt granular steuern welche App Protection Policies und App Config Policies für welchen Device-Typ gelten. Das reduziert Policy-Wildwuchs und ermöglicht sauberere Segmentierung. Das Feature rollt laut Microsoft bis Ende März 2026 vollständig aus.

iOS/iPadOS: Neues im Settings Catalog

Zwei Änderungen für iOS-Admins:

Erstens das neue Setting Rating Apps Exempted Bundle IDs. Wer auf Schulgeräten Altersrestriktionen konfiguriert hat (z.B. nur Apps bis 9 Jahre), konnte bisher keine Ausnahmen für bestimmte Apps definieren. Mit diesem Setting können Admins spezifische Apps vom Altersfilter ausnehmen – z.B. eine Lern-App die technisch ein 17+-Rating hat, aber inhaltlich für Schüler vollkommen unbedenklich ist.

Zweitens ein Umbenennung: Apple hat Rapid Security Responses in Background Security Improvements umbenannt. Intune hat das im Settings Catalog entsprechend nachgezogen. Kein funktionaler Unterschied – aber wer nach dem alten Namen gesucht hat, findet es jetzt unter dem neuen.

Windows: Neue Settings Catalog Policies

Microsoft hat wieder eine Reihe neuer Policies in den Windows Settings Catalog aufgenommen. Hier die MDM-relevanten Highlights:

  • Microsoft Edge bis v143 – inklusive neuer Policy zum Teilen von browsing history mit Microsoft 365 Copilot Search (ja, genau das was viele Admins kontrollieren wollen), RAM-Ressourcensteuerung und Local Network Access Restrictions
  • Windows AI Controls – neue Settings für Agent Workspaces, Agent Connectors und Remote Agent Connectors (aktuell noch Windows Insiders, aber gut zu kennen für die Zukunft)
  • Disable Share App Promotions – endlich: Admins können verhindern dass Windows im Share Sheet Werbung für Apps macht. Klingt trivial, war aber ein echtes Ärgernis in managed Umgebungen
  • Firewall Audit Mode – neues Setting um den Audit Mode für die Windows Firewall zu aktivieren (nützlich für Security-Reviews und Compliance-Audits)
  • Google Chrome ADMX bis v141 – immer schön wenn der Settings Catalog aktuell bleibt

Windows: PowerShell-Installer für Win32 Apps

Das ist ein Feature aus dem Januar-Update (Week of January 12) das ich kurz erwähnen möchte, weil es für viele App-Deployments relevant ist: Win32 Apps können jetzt mit einem PowerShell-Script als Installer deployt werden – statt mit einer klassischen Command Line. Das bedeutet: Prerequisite-Checks, Config-Änderungen, Post-Install-Aktionen – alles direkt im Installer-Script. Das ist besonders nützlich für komplexe App-Deployments die mehr als nur ein simples Setup.exe /S brauchen.

EPM: Support für Azure Virtual Desktop

Endpoint Privilege Management (EPM) – das Feature für granulare Elevation-Policies ohne lokale Admin-Rechte – unterstützt jetzt auch Azure Virtual Desktop (AVD) Single-Session VMs. Für alle die AVD in ihrem Modern Workplace Stack haben: EPM-Elevation-Policies können jetzt auch auf diese VMs deployed werden. EPM ist Teil des Intune Suite Add-ons.

Lenovo Device Orchestration: Direktlink im Admin Center

Kleines aber praktisches Feature für alle mit Lenovo-Flotten: Das Intune Admin Center hat jetzt einen direkten Link zur Lenovo Device Orchestration (LDO) Plattform unter Partner Portals. Das schafft einen single entry point für Lenovo-spezifische Device-Management-Funktionen – ohne extra Login oder Tab-Hopping.

⚠️ Wichtig & Handlungsbedarf: Azure Front Door IP-Adressen

⚠️ AKTION ERFORDERLICH wenn ihr IP-basierte Allowlists nutzt: Microsoft Intune verwendet seit Dezember 2025 Azure Front Door (AFD) IP-Adressen zusätzlich zu den bisherigen Intune Service IPs. Wer IP-basierte Firewall-Regeln, VPN-Policies oder Proxy-Allowlists betreibt, MUSS diese anpassen – sonst kann die Intune-Kommunikation der verwalteten Geräte eingeschränkt oder unterbrochen werden.

Microsoft hat das im Rahmen der Secure Future Initiative (SFI) kommuniziert – und es ist eines der Features das im Alltag leicht übersehen wird, aber operative Konsequenzen hat. Hier die Details:

Wenn ihr FQDN-basierte Regeln nutzt (empfohlen): Stellt sicher dass *.manage.microsoft.com als Wildcard-Regel konfiguriert ist. Typischerweise kein weiterer Handlungsbedarf.

Wenn ihr IP-basierte Allowlists nutzt: Folgende IP-Ranges müssen hinzugefügt werden (Commercial Endpoints):

  • 13.107.219.0/24
  • 13.107.227.0/24
  • 13.107.228.0/23
  • 150.171.97.0/24
  • 2620:1ec:40::/48 (IPv6)
  • 2620:1ec:49::/48 (IPv6)
  • 2620:1ec:4a::/47 (IPv6)

Alternativ kann der Azure Service Tag AzureFrontDoor.MicrosoftSecurity genutzt werden. Für US Government Endpoints gelten separate IPs – die aktuellen Ranges findet ihr direkt in den offiziellen Intune Network Endpoints Dokumenten.

💡 Empfehlung: Wenn ihr es noch nicht getan habt – wechselt auf FQDN-basierte Regeln. Ihr reduziert damit dauerhaft den Wartungsaufwand, weil IP-Änderungen nicht mehr manuell nachgepflegt werden müssen. Microsoft empfiehlt das ausdrücklich.

Reporting & Administration: Was sich verbessert hat

Admin Tasks jetzt Generally Available

Der Admin Tasks Node unter Tenant Administration ist aus der Public Preview raus und jetzt Generally Available. Was ist das? Eine zentrale Ansicht im Intune Admin Center die alle offenen Aufgaben bündelt – EPM-Elevation-Requests, Microsoft Defender Security Tasks und Multi-Admin-Approval-Requests. Alles auf einer Seite, mit Such- und Filterfunktion. Wer bisher durch verschiedene Admin-Center-Bereiche navigieren musste um den Überblick zu behalten – das ist jetzt deutlich angenehmer.

Windows 11 25H2 in Feature Update Reports

Die Windows Feature Update Readiness- und Compatibility Risks-Reports unterstützen jetzt Windows 11 25H2 als Ziel-OS. Das ist relevant für alle die gerade planen, wann und wie sie auf 25H2 upgraden wollen – die Reports zeigen jetzt Readiness-Status und potenzielle Compatibility-Risiken für diese Version, bevor man das Update ausrollt.

Zimperium MTD: Certificate Inventory Sync für iOS

Wer Zimperium als Mobile Threat Defense Partner nutzt: Es gibt eine neue Integration. Der Zimperium MTD Connector kann jetzt das Certificate Inventory von iOS-Geräten synchronisieren – also eine Liste der installierten Zertifikate. Das erlaubt Zimperium zu erkennen, wenn ein Device durch ein potenziell schädliches Zertifikat kompromittiert wurde. Konfigurierbar über den MTD Connector mit zwei neuen Settings: Enable Certificate Sync und Send full certificate inventory data for personally-owned devices.

Fazit: Zwei Releases – viel Substanz

2601 und 2602 sind keine „Mega-Releases“ mit einem einzelnen Killer-Feature – aber sie zeigen schön wie Microsoft Intune in der Breite reift: Granularere Policies, bessere Filter, mehr OEM-Support, sicherere Infrastruktur und mit den neuen MHS RBAC-Permissions ein echtes Alltagsproblem gelöst.

Was sollten Admins jetzt konkret tun? Erstens die Azure Front Door IP-Situation prüfen – das ist der einzige Punkt mit echtem Handlungsbedarf. Zweitens die neuen Assignment Filter für Managed Apps im Auge behalten (Rollout bis Ende März). Und drittens – wenn MHS im Einsatz ist – die neuen RBAC-Permissions reviewen und den Support-Workflow anpassen.

Ich bin gespannt was 2602 noch alles bringt wenn die vollständige Dokumentation online ist. Bis dahin – ran an die Kommentare, welches Feature freut euch am meisten? 😄

🔗 Quellen & weiterführende Links:

• Microsoft Learn – Intune What’s New (2601/2602): learn.microsoft.com/intune/fundamentals/whats-new

• M365 Admin – Service Update February 2026 (2602): m365admin.handsontek.net

• Microsoft Support Tip – Upcoming Intune Network Changes: techcommunity.microsoft.com

• Microsoft Learn – Intune Network Endpoints: learn.microsoft.com/intune/fundamentals/intune-endpoints