Intune Release 2606: macOS-Updates im Autopilot, Android Enterprise wird erwachsen
Mal ehrlich – wer kennt das nicht? Sie spielen neue macOS-App-Versionen ein, und die Nutzer vergessen grundsätzlich, auf „Install“ oder „Reinstall“ in Company Portal zu klicken. Die Release 2606 setzt dem ein Ende. Aber das ist nur die Spitze des Eisbergs. Diese Week ist vollgepackt mit Updates, die vor allem macOS-Admins und Android Enterprise-Spezialisten freuen werden.
Lass mich durchgehen, was sich ändert und wo du handeln musst.
Quick-Überblick: Was ändert sich?
Feature
Plattform
Kategorie
Priorität
macOS PKG Auto-Updates
macOS
App Management
🔴 Hoch
ChatGPT als Protected App
Alle
App Management
🟡 Mittel
EAM für GCC High/DoD
Windows
Enterprise Management
🔴 Hoch
EAM Auto-Update-Feature
Windows
App Management
🟡 Mittel
15+ neue Android Enterprise Settings
Android
Device Config
🟢 Standard
Die Highlights im Detail
🍎 macOS PKG Apps updaten sich jetzt selbst
Das ist echte Arbeitserleichterung: Wenn du eine verfügbare macOS PKG-App mit einer neueren Version hochlädst, deployt Intune das Update automatisch auf Geräte, auf denen die App bereits installiert ist.
Das funktioniert so:
– Du editierst eine bestehende App-Policy
– Lädst eine neuere Version der gleichen App hoch (gleiche Bundle ID)
– Intune erkennt das und rolled den Update automatisch aus
– Der Nutzer klickt nirgendwo auf „Install“ – es passiert einfach
Wichtig – Breaking Change:
Dafür brauchst du Microsoft Intune management agent for macOS Version 2606.013 oder neuer. Wenn Geräte noch älter sind, funktioniert der Auto-Update nicht. Das sollte in deiner Pre-Deployment-Checklist stehen.
Praktisches Beispiel:
Du hast Microsoft Edge 127.0 deployed. Jetzt kommt 127.0.1 raus. Du lädst die neue Version hoch → Intune pusht’s automatisch. Schluss mit Suppor-Tickets „Warum hab ich noch die alte Version?“
🤖 ChatGPT ist jetzt eine Protected App
Microsoft hat ChatGPT zur Liste der Protected Apps hinzugefügt. Das bedeutet, es unterliegt jetzt Intune App Protection Policies (APP) – Conditional Access, Offline-Sperren, Clipboard-Restrictions et cetera.
Das ist ein Signal: KI-Tools werden zunehmend ernst genommen in der Enterprise-Sicherheit. Wenn du sensible Daten schützen musst, kannst du ChatGPT jetzt granular steuern, ohne es zu blocken.
🏛️ Enterprise App Management jetzt auch für GCC High & DoD
Das ist Government-spezifisch wichtig: Microsoft bringt Enterprise App Management (EAM) in die GCC High (GCCH) und DoD Cloud-Umgebungen.
Was heißt das?
Gouvernementale Organisationen können jetzt im EAM-Katalog Microsoft- und Third-Party-Apps entdecken, deployen und updaten – ohne manuelle Repackaging. Ein sichere Cross-Cloud-Integration wahrt Compliance-Grenzen und Auth-Requirements für Government Tenants.
Impact für Government IT-Admins:
– Weniger manuelle App-Packaging-Arbeit
– Native Compliance mit FedRAMP/DoD-Anforderungen
– Schnellere App-Rollouts in sensitiven Umgebungen
⚡ EAM Auto-Update – Supersedence auf Autopilot
Neben GCC-Support kommt auch Auto-Update für EAM-Apps. Wenn du ein EAM-App mit required Assignment deployst und Auto-Update aktivierst:
Intune erkennt eine neue Version im EAM-Katalog
Update wird automatisch auf Zielgeräten installiert
Keine manuellen Packaging-/Supersedence-Workflows mehr
Das spart:
– Zeitaufwand für Update-Management
– Fehleranfälligkeit durch manuelle Versionsersetzung
– Sicherheitslücken durch veraltete Apps
Wichtig: Das gilt nur für required Assignments. „Available“ Apps musst du noch manuell managen (das ist absichtlich, damit Nutzer die Kontrolle behalten).
🤖 Android Enterprise: 15+ neue Settings im Settings Catalog
Das ist die große Erweiterung: Intune 2606 bringt etwa 15 neue Android Enterprise Settings in den Settings Catalog. Hier die wichtigsten Kategorien:
Applications
Block apps from exposing app functions – Verhindert, dass verwaltete Apps Funktionen für andere Apps/KI-Agenten freigeben (COBO, COSU, COPE)
Block widgets from work profile apps – Widgets aus Work-Profile-Apps vom Home Screen blockieren (COPE)
Connectivity (neu in 2606)
Allow selection of a preferential network service – Priorisiert bestimmte Netze (z.B. 5G Enterprise Slice)
Block airplane mode – Flugzeugmodus deaktivieren
Block cellular 2G – Nur auf Android 14+; verhindert 2G-Fallback
Block configuring cell broadcasts – Notfall-Alerts blockieren (⚠️ – das kann problematisch sein!)
Block configuring mobile networks – Nutzer darf Netz-Settings nicht ändern
Block configuring VPN – VPN-Konfiguration durch Nutzer verhindern
Meine Einschätzung: Das sind Sicherheits-Heavy-Hitter, besonders für:
– Kiosk-Devices (COSU) – Printing, Calls, SMS sperren
– Rugged Devices – 2G-Block, UWB-Control
– BYOD-ähnliche Szenarien (COPE) – Granulare Widget-Kontrolle
That’s it. Microsoft macht aktuell echt viel in Intune und versucht sich einer Omnissa mit großen Schritten zu nähern. Aber alles in allen. Omnissa rennt weiter und ist bis dato für mich immer noch das Top of the Top UEM/MDM.
Intune Release 2605: Multiple Accounts, Apple Intelligence Umbruch & MHS-Power-Up
Die Juni-Release 2605 fällt mir sofort durch zwei Dinge auf: Da kommt endlich Multi-Account-Support für Teams (nur iOS/iPadOS – Android schaut in die Röhre), und Apple dreht bei Intelligence-Einstellungen ordentlich am Rad. Wer noch alte MDM-Restrictions für Apple Intelligence setzt, muss sich umorientieren. Dazu neue MHS-Features, die Kiosk-Szenarien smarter machen. Lass uns durchgehen, was sich ändert.
Quick-Überblick: Was ändert sich?
Feature
Plattform
Kategorie
Priorität
Multiple Managed Accounts
iOS/iPadOS (Teams)
App Management
🟡 Mittel
Custom Top Bar (MHS)
Android Enterprise
Device Config
🟡 Mittel
MHS Lock Task Password Migration
Android Enterprise
Breaking Change
🔴 Hoch
Block Bluetooth Sharing
Android Enterprise
Device Config
🟢 Niedrig
Apple Intelligence Settings Deprecation
iOS/iPadOS, macOS
Breaking Change
🔴 Hoch
App Silencing (MHS)
Android Enterprise
Device Config
🟡 Mittel
Microsoft Edge NTP Feed Settings
Windows
Device Config
🟢 Niedrig
Die Highlights im Detail
Multiple Managed Accounts für Microsoft Teams (iOS/iPadOS)
Das ist endlich praktisch: Nutzer können jetzt mehr als ein verwaltetes Konto in derselben App (konkret: Teams) hinzufügen und managen. Jedes Konto bekommt eigene App Protection Policies – perfekt für:
Berater & Consultants mit Kundenzugängen
M&A-Teams mit mehreren Tenant-Zugehörigkeiten
Multi-Mailbox-Szenarien (Compliance, HR, etc.)
Aktuell nur Teams v8.10.0+ auf iOS/iPadOS. Android und weitere Apps folgen später – das ist ein klassisches „Coming Soon“. Rollout erfolgt graduell, also nicht bei allen Tenants sofort verfügbar.
Custom Top Bar Text in Managed Home Screen
Die MHS bekommt mehr Flexibilität: Statt nur Serial Number, Device Name und Tenant Name kannst du jetzt Custom Text (bis 63 Zeichen) setzen. Bonus: Dynamic Variables werden unterstützt:
Früher konntest du das **Lock Task Mode Password** für MHS über **App Configuration Policy** setzen. Das funktioniert jetzt **nicht mehr**. Du musst auf **Device Configuration Profile** wechseln
Docs: Configure the Microsoft Managed Home Screen app for Android Enterprise (Microsoft Learn)
Block Bluetooth Sharing – Neue Android Settings Catalog Policy
Settings Catalog bekam ein neues Boolean-Setting: Block Bluetooth Sharing
True: Device blockiert Bluetooth-Sharing
False: Keine Änderung (OS-Default bleibt)
OS-Defaults aktuell:
– COBO & COSU: Bluetooth Sharing erlaubt
– COPE: Bluetooth Sharing blockiert
Nutzen: Falls du eine konsistente Sharing-Policy across all AOSP-Devices brauchst.
Applies to: COPE, COBO, COSU
🔴 BREAKING CHANGE: Apple Intelligence Settings werden deprecated
Das ist der große Umbruch: Apple hat in iOS/iPadOS 26.4 viele Intelligence-Settings aus dem MDM Restrictions Payload entfernt. Microsoft folgt jetzt nach und depreciert diese Settings in Intune:
Betroffene Settings in Device Restrictions Template:
– Built-in apps: Siri (alle Varianten), User-Generated Content
– Keyboard & Dictionary: Word Definition, Predictive Keyboards, Auto-Correction, Spell Check, Keyboard Shortcuts, Dictation
Die neue Lösung:DDM Configurations (ab März 2026 released)
Applies to: iOS/iPadOS, macOS
App Silencing in Managed Home Screen (MHS)
Neue Security-Feature für Kiosk-Umgebungen: Wenn MHS den User zur Authentication auffordert (Sign-in, Session PIN), können Apps jetzt silenced werden. Das heißt:
Keine Activity Starts
Keine Notifications
Nicht in Recent Apps sichtbar
Keine Toasts, Dialogs oder Device Ringing
Mit Allowlist: Kritische Apps (z.B. Phone/Calls) können du in der Allowlist behalten, damit Telefonate nicht unterbrochen werden.
Szenario: Checkout-Geräte in Supermärkten – während der PIN-Authentifizierung kann Werbung/Notifications nicht ablenken. Nach Unlock: Normal.
Applies to: Android Enterprise (alle Varianten)
Microsoft Edge 148 Settings im Windows Settings Catalog
Zwei neue NTP (New Tab Page) Policies für Edge 148:
1. ConfigureNTPFeedTabVisibility
– EnableBothWorkDiscover (Default): Beide Tabs sichtbar
– EnableOnlyWork: Nur Work Feed
– EnableOnlyDiscover: Nur Discover Feed
2. Default NTP Feed Tab
– Work (Default)
– Discover
Nutzen: Für Enterprises, die ihren Mitarbeitern nur unternehmensrelevante Inhalte auf der Edge New Tab Page zeigen wollen.
Applies to: Windows 10 and later
Handlungsbedarfe
🔴 KRITISCH – Apple Intelligence Migration (iOS/iPadOS, macOS)
Timeline: Beginn jetzt, Abschluss bis Ende Q3 2026
Action: Migrate alte Intelligence-Restrictions zu DDM Configs
Fallback: Alte Policies funktionieren noch, aber sind deprecated
Testing: Wie funktionieren Custom App Protection Policies mit Multi-Account?
Scope: Android-Support kommt später – nicht sofort erwarten
🟡 OPTIONAL – Custom MHS Top Bar & App Silencing
Timeline: Nächster Kiosk-Deployment
Action: ROI-Check für deine Kiosk-Szenarien
Use Cases: Checkout, Konferenzraum-Displays, Public Kioske
Fazit
Release 2605 ist ein Mixed Bag:
✅ Das Gute:
– Multiple Managed Accounts endlich für Teams = echte Productivity-Gewinne
– MHS-Features (Custom Top Bar, App Silencing) machen Kiosk-Deployment smarter
– Edge & Bluetooth Settings geben mehr Granularität
⚠️ Das Kritische:
– Apple Intelligence Deprecation ist ein echtes Project – du musst zu DDM migrieren
– MHS Lock Task Password erfordert Policy-Rewrite – das ist Arbeit
– Gradueller Rollout bedeutet: Nicht alle Features sind sofort da
Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)
🤔 Was mir an dieser Release auffällt
Ehrlich gesagt, die 2604er Release ist bemerkenswert solide. Keine großen Breaking Changes, aber dafür drei sehr sinnvolle Punkte, die ich täglich in Kundenprojekten höre:
EPM endlich für alle User – bisher war das ein nerving restrictions für Shared Devices (Kiosk, Hotspot-Devices)
Android 14: Credential Manager-Kontrolle – das schreit geradezu nach Zero-Trust-Architektur
Vision Pro & Apple TV management – ok, nichts für den Massenmarkt, aber für Specialized Use Cases ein Game-Changer
Lass mich die Details durchkauen.
📊 Feature-Übersicht: Was sich ändert
Feature
Plattform
Kategorie
Wichtigkeit
EPM: Support-approved Elevation für alle User
Windows
Security/Privilege Mgmt
🔴 High
Android 14: Credential Manager Permissions
Android Enterprise
Device Config
🔴 High
Location Services Settings Katalog (neu)
Android Enterprise
Device Config
🟡 Medium
Apple Access Management (ABM/ASM)
iOS/macOS
Enrollment/Access
🟡 Medium
visionOS & tvOS ADE Support
visionOS/tvOS
Enrollment
🟡 Medium
Ubuntu 26.04 LTS Support
Linux
Device Management
🟡 Medium
Neue Device Page (Public Preview)
All
UI/UX
🟢 Low (UX)
EPM: Suspend/Restore für Managed Hosting
Windows
Device Management
🟡 Medium
🔧 Die wichtigsten Features im Detail
1️⃣ Endpoint Privilege Management (EPM): Support-Approved Elevations für ALLE User
Vorher:
– Support-approved file elevation requests funktionieren nur für:
– Den Primary User des Devices
– Den User, der das Device enrolled hat
– Auf Shared Devices (Hotspot, Kiosk, Hoteling): komplettes Blockkade
Nachher (2604):
– Alle User auf einem Device können Support-Approved Elevation Requests stellen
– Der Support-Admin muss nicht mehr jonglieren, welcher User gerade logged ist
Szenarios wo das hilft:
– Shared Hotspot-Geräte in Logistik-Hubs
– Kiosk-Modus für Retail/Hospitality
– Hot-Desking in großen Büros
Vorsicht: Das ist ein Feature von Intune Suite – nicht im Standard-Intune Plan 1 enthalten. Kosten-Impact checken!
2️⃣ Android 14+: Credential Manager Permissions – Das Security-Highlight
Das Problem:
– Android 14 blockt standardmäßig Third-Party Credential Provider auf Corporate Devices
– Passkey-Adoption scheitert, weil kein Custom Password Manager nutzbar ist
– Microsoft Authenticator kann nicht als Default-Provider fungieren
Die Lösung (2604):
Neue Config im Intune Admin Center:
Was du hier steuern kannst:
✅ Spezifische Apps als System-Credential-Provider zulassen
✅ Passkey-basierte Sign-in aktivieren
✅ Nur vertraute Credential Sources erlauben
❌ Google Password Manager bleibt blockiert (Known Limitation!)
Unterstützte Device Types:
– Android COBO (Fully Managed)
– Android COSU (Dedicated)
– Android COPE (Corporate-Owned Work Profile)
– Android BYOD mit Work Profile (AM API)
Meine Einschätzung:
Das ist Zero-Trust für Android. Du kannst jetzt explizit definieren: „Nur Microsoft Authenticator + 1Password dürfen Passkeys speichern.“ Game-changer für Finance/Legal-Geräte.
⚠️ Warnung: Google Password Manager funktioniert nicht – musst du in deinen Rollout-Docs erwähnen!
3️⃣ Android Enterprise: Location Settings – Mehr Granularität
Neu (war vorher Binary-Block):
Drei Optionen statt Ja/Nein:
Option
Verhalten
Use Case
Device default
OS-Standard, User kann togglen
Flexible Policies
Location enabled
Erzwungen an, User kann nicht aus
Fleet Tracking, Delivery
Location disabled
Erzwungen aus, User kann nicht an
High-Security Devices
Gilt für:
– Android 10 und älter (COPE, COBO, COSU)
Warum sag ich dir das?
Der alte „Block location“ Setting war ein Sledgehammer. Jetzt kannst du differenzieren: Fleet-Devices tracken, Admin-Devices privat halten.
4️⃣ Apple Access Management (neu) – For ABM/ASM Admins
Was ist neu:
– Direkt in Apple Business Manager / Apple School Manager konfigurierbar
– Du steuert jetzt aus ABM, welche Devices ein User nutzen darf
– Welche Apps & Services verfügbar sind (z.B. App Store blockieren?)
Gilt für:
– iOS/iPadOS
– macOS
Impact für Intune Admins:
Das ist eher ein Apple-seitiges Feature. Aber wenn dein ABM Admin das nutzt, synchronisiert es mit Intune. Wichtig: In deine ABM-Onboarding-Docs aufnehmen!
5️⃣ 🎯 visionOS & tvOS ADE Support – The Future is Here
Brechen wir’s runter:
Zum ersten Mal unterstützt Intune:
– Apple Vision Pro Management
– Apple TV Management
– Ohne User Affinity (userless ADE)
Technische Details:
– Über Apple Business Manager / Apple School Manager
– Intune Plan 2 erforderlich (Teil Microsoft 365 Suite)
– Voraussetzung: tvOS 26+ oder visionOS 26+
– Custom Configuration Uploads möglich
– Enrollment Restrictions & Device Actions funktionieren
Wo erscheinen diese Devices?
Intune Admin Center → Devices → All Devices →
Apple Mobile Devices (Filter: tvOS/visionOS)
Szenarios:
– 🏥 Krankenhaus: Vision Pro für Chirurgie-Planung + MDM-Lockdown
– 🏬 Retail: Apple TV in Stores mit gepinnten Apps
– 🎓 Education: VisionOS für AR-Learning, zentral verwaltet
⚠️ WICHTIG: Keep devices updated! tvOS/visionOS 26+ = Sicherheit. Das ist kein „kann“, das ist Pflicht für deine Governance.
6️⃣ Linux: Ubuntu 26.04 LTS Support + 22.04 EOL-Warnung
Timeline:
Version
Status
Maßnahme
Ubuntu 22.04 LTS
EOL August 2026 ⚠️
Migration planen
Ubuntu 26.04 LTS
Neu supported ✅
Rollout ready
Praktisch:
Devices auf 22.04 können enrolled bleiben, aber:
1. Du solltest Upgrade-Kampagne starten
2. Im Intune Admin Center kannst du identifizieren:
Devices → All Devices → Filter: Linux → Add Column: OS Version
7️⃣ New Device Page (Public Preview) – UI/UX Facelift
Das ist in Preview – noch nicht produktiv!
Enable:
Intune Admin Center → Devices → All Devices → Toggle: „Preview new device view“
Was ändert sich:
– Single unified view für Device-Info statt 5 verschiedene Tabs
– Neue Struktur:
– Device action status – Was läuft gerade?
– Tools and reports – Compliance, Config Status, Remediations
– Properties – Editable Device Infos
– Device details – Hardware & Entra-Infos
Wichtig:
– Nur bei Devices → All Devices aktiv
– Wenn du ein Device aus Report-View öffnest → alte UI
– Keine Funktionalitäts-Changes, rein UI
Meine Einschätzung:
Langfristig überraschend gut durchdacht. Aber warte bis GA, bevor du es im Training zeigst.
🔴 CRITICAL: Google Password Manager blocked auf Android Work Profile
Was passiert:
Android COPE / BYOD Work Profile + Android 14
→ Google Password Manager funktioniert NICHT als Credential Provider
Dein Handeln:
1. Audit: Welche User nutzen Google Password Manager?
2. Communication: „Wir wechseln zu [Microsoft Authenticator / 1Password]“
3. Policy: Setze explizit authorized credential providers
4. Timeline: VOR Android 14 Roll-out implementieren!
🟠 WARNING: Ubuntu 22.04 LTS EOL August 2026
Was passiert:
Nach August 2026 keine Security Patches für 22.04
Dein Handeln:
1. Identifiziere alle Ubuntu 22.04 Devices (Filter in Intune)
2. Kommuniziere Migration zu 26.04 LTS
3. Teste 26.04 LTS in Pilot vor August 2026
4. Hardware-Check: Manche ältere Geräte unterstützen 26.04 nicht!
🟡 NOTICE: visionOS/tvOS 26+ Requirement
Was ist neu:
Apple Vision Pro & Apple TV management nur mit tvOS 26+ / visionOS 26+
Dein Handeln:
– Falls du Vision Pro pilotierst: Update-Strategie definieren
– Alte tvOS-Versionen bleiben „unmanaged“
– Monitoring: „Devices with unsupported OS version“ tracken
✅ Android Enterprise Admins (Credential Manager Control ist ein Must-Have für Security)
✅ EPM-Nutzer auf Shared Devices (endlich nicht mehr Workarounds!)
✅ Apple-Shops mit tvOS/Vision Pro Piloten
Wer kann warten (bis GA):
⏳ Reine iOS/macOS Orgs (Features sind nett, nicht game-changing)
⏳ Linux-only Shops (Ubuntu 26.04 ist Standard, 22.04 EOL ist erst Aug 2026)
⏳ Wer Device Page neue UI noch nicht braucht (noch in Preview)
Meine persönliche Einschätzung:
Nach 16+ Jahren MDM: Diese Release ist stabil und pragmatisch. Keine Überraschungen, keine großen Deprecated Features, aber echte Mehrwerte bei Android Security + Credential Management.
Das Android Credential Manager Feature verdient eure volle Aufmerksamkeit. Das ist nicht nur ein „nice-to-have“ – das ist Zero-Trust für Mobile Devices.
Rollout-Plan:
Phase 1 (Juni 2026): Pilot mit Android Credential Manager (5% Devices)
Phase 2 (Juli 2026): EPM Policies für Shared Devices updaten
Phase 3 (Aug 2026): Ubuntu 22.04 → 26.04 Migration starten
Phase 4 (Sept 2026): visionOS/tvOS in Pilot (wenn relevant)
„`
Managed Home Screen: Woher kommt der angezeigte Gerätename?
Wer den Microsoft Managed Home Screen (MHS) im Shared Device Mode einsetzt, kennt das: In der Top Bar wird ein Gerätename angezeigt – übersichtlich, praktisch, nützlich für Frontline-Worker-Umgebungen. Aber mal ehrlich: Hast du dich schon gefragt, wo dieser Name eigentlich herkommt? Aus dem Android-System? Aus Intune? Und was passiert, wenn du das Gerät in der Konsole umbenennst?
Genau diese Frage hatte ich letztens im Office und habe mich rangesetzt, um ihr auf den Grund zu gehen. Spoiler: Ich wusste schon intuitiv woher die Info kommt – aber ich wollte es dann doch etwas technischer beleuchten. 😄
1. Die Quelle: Nicht Android – sondern Intune
Kurze Antwort zuerst: Der angezeigte Gerätename kommt nicht vom Android-Betriebssystem selbst. Es ist nicht das, was unter Einstellungen → Gerät → Gerätename steht. Sondern es ist der Device Name-Eintrag aus dem Microsoft Intune Admin Center – also der Anzeigename, den du in der Verwaltungskonsole vergeben hast.
⚠️ Wichtig: Das Umbenennen eines Geräts in Intune ändert nur den Anzeigenamen in der Konsole – nicht den lokalen Gerätenamen auf dem Android-Betriebssystem selbst! MHS zeigt immer den Intune-seitigen Namen an.
2. Der Übertragungsweg: App Configuration Policy mit {{DeviceName}}
Der Name gelangt über eine App Configuration Policy an das Gerät. Microsoft stellt dafür die dynamische Variable {{DeviceName}} bereit – Intune löst diese Variable serverseitig auf und bettet den echten Gerätenamen in die Policy ein, bevor sie ans Gerät gepusht wird.
Die drei relevanten Konfigurationsschlüssel in der App Configuration Policy:
Konfigurationsschlüssel
Wert
Funktion
Top Bar Primary Element
Device Name
Gerätename als primäres Element (nur ohne Sign-In)
Top Bar Secondary Element
Device Name
Gerätename als sekundäres Element
Show device name for all supported OS versions on MHS
{{DeviceName}}
Pflichtfeld – Intune befüllt automatisch den korrekten Wert
ℹ️ Shared Device Mode – Sonderregel: Wenn Sign-In aktiviert ist, wird das primäre Top-Bar-Element automatisch durch den Namen des angemeldeten Benutzers ersetzt. Der Gerätename kann dann nur noch als sekundäres Element konfiguriert werden.
3. Wird der Name lokal gespeichert? Ja – aber nicht wo du denkst
Hier wird es technisch interessant. Der Gerätename wird lokal auf dem Gerät gespeichert – allerdings nicht in einer einfachen Datei oder Datenbank, die ein Nutzer einsehen könnte. Stattdessen nutzt Android dafür den sogenannten Managed Configuration Mechanismus, auch bekannt als App Restrictions oder RestrictionsManager.
Der vollständige Datenpfad
Schritt
Was passiert?
1
Intune löst {{DeviceName}} serverseitig auf → z.B. „DEV-WARD-01“
2
App Configuration Policy mit aufgelöstem Wert wird an das Gerät gepusht
3
Device Policy Controller (Intune / Company Portal) schreibt Wert ins Android Managed Config Bundle
4
Android RestrictionsManager speichert Bundle im geschützten Systembereich
5
MHS App liest Wert beim Start via RestrictionsManager.getApplicationRestrictions()
6
Anzeige des Namens in der Top Bar
Eigenschaften des lokalen Caches
Eigenschaft
Detail
Speicherort
Systembereich des Android OS – nicht im App-eigenen Storage
Format
Android Bundle (Key-Value-Pairs, binär)
Zugriffsrechte
Nur der DPC (Intune Company Portal) darf schreiben; MHS darf nur lesen
Persistenz
Bleibt über App-Neustarts erhalten; wird bei Policy-Sync oder Factory Reset aktualisiert
Offline-Verhalten
Gerätename wird auch ohne Netzwerkverbindung angezeigt (gecacht)
Update-Zyklus
Wird beim nächsten Policy-Sync aktualisiert (~alle 8 Stunden oder manuell)
4. Wo wird der Name nicht gespeichert?
Zur Klarheit – diese Speicherorte werden explizit nicht verwendet:
❌ Nicht im lokalen Android-Gerätenamen (Settings.Global.DEVICE_NAME)
❌ Nicht in einer Datei im MHS-App-Verzeichnis (/data/data/com.microsoft.launcher.enterprise/)
❌ Nicht in einer für den Nutzer zugänglichen Datenbank
✅ Ausschließlich im geschützten Android Managed Configuration Bundle – weder einsehbar noch manipulierbar durch den Endnutzer
Fazit
Der im Managed Home Screen angezeigte Gerätename kommt direkt aus dem Intune Admin Center – übermittelt via App Configuration Policy mit der Variable {{DeviceName}}. Lokal wird er im Android RestrictionsManager-Bundle gecacht: sicher, persistent, offline-fähig und für den Endnutzer weder einsehbar noch veränderbar.
Das macht die Sache für Frontline-Worker-Szenarien besonders praktisch. Egal ob das Gerät gerade online ist oder nicht – der Gerätename wird immer korrekt angezeigt.
Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen
Kurze Info vorab: Ich versuche diese Serie nun hier zu etablieren und will die jeweiligen Erneuerungen welche Microsoft in Ihren Monatlichen Releases für Intune packt, hier klar zusammenzufassen.
Microsoft Intune liefert monatlich neue Features – und manchmal passiert das so schnell, dass man kaum hinterherkommt. Heute schaue ich mir die Neuerungen aus den Service Releases 2601 (Februar 2026) und 2602 (März 2026) an und filtere raus, was für MDM-Admins wirklich relevant ist.
Kleiner Hinweis vorweg: Das 2602-Release ist heute, am 3. März 2026, gerade frisch deployed worden. Die detaillierten Release Notes auf Microsoft Learn wurden zum Zeitpunkt dieses Posts noch nicht vollständig publiziert – das ist bei neuen Releases normal, da die Doku immer etwas hinterherläuft. Was ich an 2602-Inhalten habe, kommt aus der offiziellen Microsoft-Ankündigung. Der Großteil dieses Posts deckt die gut dokumentierten 2601-Features ab – und da ist einiges dabei das sich lohnt genauer anzuschauen.
ℹ️ Wichtige Info zur Verfügbarkeit: Intune-Updates werden schrittweise ausgerollt – Tag 1: APAC, Tag 2: EMEA, Tag 3: Nordamerika, Tag 4+: Government. Manche Features brauchen mehrere Wochen bis zur vollständigen Verfügbarkeit. Wer etwas noch nicht sieht: einfach abwarten, es kommt automatisch.
Übersicht: Was ist neu in 2601 & 2602?
Feature
Plattform
Release
Kategorie
Neue MHS RBAC-Permissions (Suspend/Restore)
Android
2602
🔐 RBAC / Kiosk
EPM-Support für Azure Virtual Desktop
Windows
2601
🔐 Security
Lenovo Device Orchestration Link im Admin Center
Windows
2601
🛠️ Management
Neue Windows Settings Catalog Policies (Edge, AI, Chrome)
Windows
2601
⚙️ Konfiguration
Neue OEMConfig Apps (FCNT, Sonim)
Android
2601
📱 Android OEM
Android Management Mode Filter im Settings Catalog
Android
2601
⚙️ Konfiguration
iOS/iPadOS Rating Apps Exempted Bundle IDs
iOS/iPadOS
2601
⚙️ Konfiguration
Erweiterte Assignment Filter für Managed Apps
Android/iOS
2601
⚙️ Policy
Zimperium MTD: Certificate Inventory Sync (iOS)
iOS/iPadOS
2601
🔐 Security
Azure Front Door IPs – Firewall-Anpassung nötig!
Alle
2601
⚠️ Aktion erforderlich
Win11 25H2 in Feature Update Reports
Windows
2601
📊 Reporting
Admin Tasks jetzt Generally Available
Alle
2601
🛠️ Management
PowerShell-Installer für Win32 Apps
Windows
2601
📦 App Management
🆕 Release 2602 – Was bisher bekannt ist
Neue RBAC-Permissions für den Managed Home Screen: TemporarilySuspendManagedHomeScreen & RestoreManagedHomeScreen
Das ist das Feature aus 2602, über das ich heute einen eigenen Post geschrieben habe – also kurz die Zusammenfassung: Mit diesem Release kommen zwei neue RBAC-Permissions für den Managed Home Screen, die automatisch den Built-in-Rollen School Administrator und Help Desk Operator hinzugefügt werden.
Was das bedeutet: Help Desk Operators und Schuladmins können jetzt einen Android-Kiosk temporär aus dem MHS-Modus herausnehmen, das Problem lösen, und ihn danach wieder zurücksetzen – alles ohne einen Global Admin einschalten zu müssen. Für alle die MHS in Schulen, im Retail oder bei Frontline Workern einsetzen: Das ist ein echter Alltagshelfer.
📦 Release 2601 – Die wichtigsten Features im Detail
Android Enterprise: Neue OEMConfig Apps und bessere Filteroptionen
Zwei Themen die für Android-Enterprise-Admins interessant sind:
Erstens: Neue OEMConfig Apps. Microsoft hat drei neue OEMConfig-Apps in Intune verfügbar gemacht – FCNT Senior Care, FCNT Schema und Sonim. FCNT ist ein japanischer OEM mit Fokus auf robuste und barrierefreie Geräte (Senior Care ist selbst erklärend), Sonim ist für ultra-ruggedized Devices bekannt. Wer Geräte dieser Hersteller im Einsatz hat oder plant: die OEMConfig-Integration ermöglicht herstellerspezifische Konfigurationen direkt über Intune, ohne App-Wrapper oder Sonderlösungen.
Zweitens: Android Management Mode Filter im Settings Catalog. Beim Erstellen von Android-Policy-Profiles im Settings Catalog gibt es jetzt einen Filter nach dem Enrollment-Typ: Fully Managed, Corporate-owned Work Profile oder Dedicated. Das klingt nach einem kleinen QoL-Feature – ist aber in der Praxis ein echter Zeitgewinn. Wer heterogene Android-Flotten mit verschiedenen Enrollment-Typen verwaltet, findet die relevanten Settings jetzt schneller, ohne durch hunderte Optionen zu scrollen.
Android & iOS: Granularere Assignment Filter für Managed Apps
Das ist ein Feature das unter dem Radar läuft, aber operativ relevant ist. Assignment Filter erlauben es in Intune, Policy-Zuweisungen nicht nur nach Gruppe, sondern nach spezifischen Device-Properties zu steuern. Mit 2601 kommen deutlich mehr Optionen für den Device Management Type bei Managed Apps:
Android neu: Corporate-owned with work profile, Corporate-owned fully managed, Corporate-owned dedicated devices without Entra ID Shared mode
iOS/iPadOS neu: Automated Device Enrollment user-associated, Automated Device Enrollment userless, Account Driven User Enrollment, Device Enrollment with Company Portal and Web Enrollment
Warum ist das wichtig? In komplexen Umgebungen mit gemischten Enrollment-Typen – z.B. BYOD mit Work Profile neben Corporate-owned Fully Managed Devices – können Admins jetzt granular steuern welche App Protection Policies und App Config Policies für welchen Device-Typ gelten. Das reduziert Policy-Wildwuchs und ermöglicht sauberere Segmentierung. Das Feature rollt laut Microsoft bis Ende März 2026 vollständig aus.
iOS/iPadOS: Neues im Settings Catalog
Zwei Änderungen für iOS-Admins:
Erstens das neue Setting Rating Apps Exempted Bundle IDs. Wer auf Schulgeräten Altersrestriktionen konfiguriert hat (z.B. nur Apps bis 9 Jahre), konnte bisher keine Ausnahmen für bestimmte Apps definieren. Mit diesem Setting können Admins spezifische Apps vom Altersfilter ausnehmen – z.B. eine Lern-App die technisch ein 17+-Rating hat, aber inhaltlich für Schüler vollkommen unbedenklich ist.
Zweitens ein Umbenennung: Apple hat Rapid Security Responses in Background Security Improvements umbenannt. Intune hat das im Settings Catalog entsprechend nachgezogen. Kein funktionaler Unterschied – aber wer nach dem alten Namen gesucht hat, findet es jetzt unter dem neuen.
Windows: Neue Settings Catalog Policies
Microsoft hat wieder eine Reihe neuer Policies in den Windows Settings Catalog aufgenommen. Hier die MDM-relevanten Highlights:
Microsoft Edge bis v143 – inklusive neuer Policy zum Teilen von browsing history mit Microsoft 365 Copilot Search (ja, genau das was viele Admins kontrollieren wollen), RAM-Ressourcensteuerung und Local Network Access Restrictions
Windows AI Controls – neue Settings für Agent Workspaces, Agent Connectors und Remote Agent Connectors (aktuell noch Windows Insiders, aber gut zu kennen für die Zukunft)
Disable Share App Promotions – endlich: Admins können verhindern dass Windows im Share Sheet Werbung für Apps macht. Klingt trivial, war aber ein echtes Ärgernis in managed Umgebungen
Firewall Audit Mode – neues Setting um den Audit Mode für die Windows Firewall zu aktivieren (nützlich für Security-Reviews und Compliance-Audits)
Google Chrome ADMX bis v141 – immer schön wenn der Settings Catalog aktuell bleibt
Windows: PowerShell-Installer für Win32 Apps
Das ist ein Feature aus dem Januar-Update (Week of January 12) das ich kurz erwähnen möchte, weil es für viele App-Deployments relevant ist: Win32 Apps können jetzt mit einem PowerShell-Script als Installer deployt werden – statt mit einer klassischen Command Line. Das bedeutet: Prerequisite-Checks, Config-Änderungen, Post-Install-Aktionen – alles direkt im Installer-Script. Das ist besonders nützlich für komplexe App-Deployments die mehr als nur ein simples Setup.exe /S brauchen.
EPM: Support für Azure Virtual Desktop
Endpoint Privilege Management (EPM) – das Feature für granulare Elevation-Policies ohne lokale Admin-Rechte – unterstützt jetzt auch Azure Virtual Desktop (AVD) Single-Session VMs. Für alle die AVD in ihrem Modern Workplace Stack haben: EPM-Elevation-Policies können jetzt auch auf diese VMs deployed werden. EPM ist Teil des Intune Suite Add-ons.
Lenovo Device Orchestration: Direktlink im Admin Center
Kleines aber praktisches Feature für alle mit Lenovo-Flotten: Das Intune Admin Center hat jetzt einen direkten Link zur Lenovo Device Orchestration (LDO) Plattform unter Partner Portals. Das schafft einen single entry point für Lenovo-spezifische Device-Management-Funktionen – ohne extra Login oder Tab-Hopping.
⚠️ Wichtig & Handlungsbedarf: Azure Front Door IP-Adressen
⚠️ AKTION ERFORDERLICH wenn ihr IP-basierte Allowlists nutzt: Microsoft Intune verwendet seit Dezember 2025 Azure Front Door (AFD) IP-Adressen zusätzlich zu den bisherigen Intune Service IPs. Wer IP-basierte Firewall-Regeln, VPN-Policies oder Proxy-Allowlists betreibt, MUSS diese anpassen – sonst kann die Intune-Kommunikation der verwalteten Geräte eingeschränkt oder unterbrochen werden.
Microsoft hat das im Rahmen der Secure Future Initiative (SFI) kommuniziert – und es ist eines der Features das im Alltag leicht übersehen wird, aber operative Konsequenzen hat. Hier die Details:
Wenn ihr FQDN-basierte Regeln nutzt (empfohlen): Stellt sicher dass *.manage.microsoft.com als Wildcard-Regel konfiguriert ist. Typischerweise kein weiterer Handlungsbedarf.
Wenn ihr IP-basierte Allowlists nutzt: Folgende IP-Ranges müssen hinzugefügt werden (Commercial Endpoints):
13.107.219.0/24
13.107.227.0/24
13.107.228.0/23
150.171.97.0/24
2620:1ec:40::/48 (IPv6)
2620:1ec:49::/48 (IPv6)
2620:1ec:4a::/47 (IPv6)
Alternativ kann der Azure Service Tag AzureFrontDoor.MicrosoftSecurity genutzt werden. Für US Government Endpoints gelten separate IPs – die aktuellen Ranges findet ihr direkt in den offiziellen Intune Network Endpoints Dokumenten.
💡 Empfehlung: Wenn ihr es noch nicht getan habt – wechselt auf FQDN-basierte Regeln. Ihr reduziert damit dauerhaft den Wartungsaufwand, weil IP-Änderungen nicht mehr manuell nachgepflegt werden müssen. Microsoft empfiehlt das ausdrücklich.
Reporting & Administration: Was sich verbessert hat
Admin Tasks jetzt Generally Available
Der Admin Tasks Node unter Tenant Administration ist aus der Public Preview raus und jetzt Generally Available. Was ist das? Eine zentrale Ansicht im Intune Admin Center die alle offenen Aufgaben bündelt – EPM-Elevation-Requests, Microsoft Defender Security Tasks und Multi-Admin-Approval-Requests. Alles auf einer Seite, mit Such- und Filterfunktion. Wer bisher durch verschiedene Admin-Center-Bereiche navigieren musste um den Überblick zu behalten – das ist jetzt deutlich angenehmer.
Windows 11 25H2 in Feature Update Reports
Die Windows Feature Update Readiness- und Compatibility Risks-Reports unterstützen jetzt Windows 11 25H2 als Ziel-OS. Das ist relevant für alle die gerade planen, wann und wie sie auf 25H2 upgraden wollen – die Reports zeigen jetzt Readiness-Status und potenzielle Compatibility-Risiken für diese Version, bevor man das Update ausrollt.
Zimperium MTD: Certificate Inventory Sync für iOS
Wer Zimperium als Mobile Threat Defense Partner nutzt: Es gibt eine neue Integration. Der Zimperium MTD Connector kann jetzt das Certificate Inventory von iOS-Geräten synchronisieren – also eine Liste der installierten Zertifikate. Das erlaubt Zimperium zu erkennen, wenn ein Device durch ein potenziell schädliches Zertifikat kompromittiert wurde. Konfigurierbar über den MTD Connector mit zwei neuen Settings: Enable Certificate Sync und Send full certificate inventory data for personally-owned devices.
Fazit: Zwei Releases – viel Substanz
2601 und 2602 sind keine „Mega-Releases“ mit einem einzelnen Killer-Feature – aber sie zeigen schön wie Microsoft Intune in der Breite reift: Granularere Policies, bessere Filter, mehr OEM-Support, sicherere Infrastruktur und mit den neuen MHS RBAC-Permissions ein echtes Alltagsproblem gelöst.
Was sollten Admins jetzt konkret tun? Erstens die Azure Front Door IP-Situation prüfen – das ist der einzige Punkt mit echtem Handlungsbedarf. Zweitens die neuen Assignment Filter für Managed Apps im Auge behalten (Rollout bis Ende März). Und drittens – wenn MHS im Einsatz ist – die neuen RBAC-Permissions reviewen und den Support-Workflow anpassen.
Ich bin gespannt was 2602 noch alles bringt wenn die vollständige Dokumentation online ist. Bis dahin – ran an die Kommentare, welches Feature freut euch am meisten? 😄