Schlagwort: Intune

Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)

4. Mai 2026 / / Keine Kommentare

Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)

🤔 Was mir an dieser Release auffällt

Ehrlich gesagt, die 2604er Release ist bemerkenswert solide. Keine großen Breaking Changes, aber dafür drei sehr sinnvolle Punkte, die ich täglich in Kundenprojekten höre:

  1. EPM endlich für alle User – bisher war das ein nerving restrictions für Shared Devices (Kiosk, Hotspot-Devices)
  2. Android 14: Credential Manager-Kontrolle – das schreit geradezu nach Zero-Trust-Architektur
  3. Vision Pro & Apple TV management – ok, nichts für den Massenmarkt, aber für Specialized Use Cases ein Game-Changer

Lass mich die Details durchkauen.

📊 Feature-Übersicht: Was sich ändert

Feature Plattform Kategorie Wichtigkeit
EPM: Support-approved Elevation für alle User Windows Security/Privilege Mgmt 🔴 High
Android 14: Credential Manager Permissions Android Enterprise Device Config 🔴 High
Location Services Settings Katalog (neu) Android Enterprise Device Config 🟡 Medium
Apple Access Management (ABM/ASM) iOS/macOS Enrollment/Access 🟡 Medium
visionOS & tvOS ADE Support visionOS/tvOS Enrollment 🟡 Medium
Ubuntu 26.04 LTS Support Linux Device Management 🟡 Medium
Neue Device Page (Public Preview) All UI/UX 🟢 Low (UX)
EPM: Suspend/Restore für Managed Hosting Windows Device Management 🟡 Medium

🔧 Die wichtigsten Features im Detail

1️⃣ Endpoint Privilege Management (EPM): Support-Approved Elevations für ALLE User

Vorher:
– Support-approved file elevation requests funktionieren nur für:
– Den Primary User des Devices
– Den User, der das Device enrolled hat
– Auf Shared Devices (Hotspot, Kiosk, Hoteling): komplettes Blockkade

Nachher (2604):
Alle User auf einem Device können Support-Approved Elevation Requests stellen
– Der Support-Admin muss nicht mehr jonglieren, welcher User gerade logged ist

Szenarios wo das hilft:
– Shared Hotspot-Geräte in Logistik-Hubs
– Kiosk-Modus für Retail/Hospitality
– Hot-Desking in großen Büros

Was ich dir empfehle:

Intune Admin Center → Endpoint Privilege Management →
Policies → [Deine Policy] → Elevation Settings prüfen

Vorsicht: Das ist ein Feature von Intune Suite – nicht im Standard-Intune Plan 1 enthalten. Kosten-Impact checken!

2️⃣ Android 14+: Credential Manager Permissions – Das Security-Highlight

Das Problem:
– Android 14 blockt standardmäßig Third-Party Credential Provider auf Corporate Devices
– Passkey-Adoption scheitert, weil kein Custom Password Manager nutzbar ist
– Microsoft Authenticator kann nicht als Default-Provider fungieren

Die Lösung (2604):
Neue Config im Intune Admin Center:

Apps → Android → Configuration → Managed Devices
→ Android Enterprise → Credential Manager Permissions

Was du hier steuern kannst:
✅ Spezifische Apps als System-Credential-Provider zulassen
✅ Passkey-basierte Sign-in aktivieren
✅ Nur vertraute Credential Sources erlauben
❌ Google Password Manager bleibt blockiert (Known Limitation!)

Unterstützte Device Types:
– Android COBO (Fully Managed)
– Android COSU (Dedicated)
– Android COPE (Corporate-Owned Work Profile)
– Android BYOD mit Work Profile (AM API)

Meine Einschätzung:
Das ist Zero-Trust für Android. Du kannst jetzt explizit definieren: „Nur Microsoft Authenticator + 1Password dürfen Passkeys speichern.“ Game-changer für Finance/Legal-Geräte.

⚠️ Warnung: Google Password Manager funktioniert nicht – musst du in deinen Rollout-Docs erwähnen!

3️⃣ Android Enterprise: Location Settings – Mehr Granularität

Neu (war vorher Binary-Block):
Drei Optionen statt Ja/Nein:

Option Verhalten Use Case
Device default OS-Standard, User kann togglen Flexible Policies
Location enabled Erzwungen an, User kann nicht aus Fleet Tracking, Delivery
Location disabled Erzwungen aus, User kann nicht an High-Security Devices

Gilt für:
– Android 10 und älter (COPE, COBO, COSU)

Warum sag ich dir das?
Der alte „Block location“ Setting war ein Sledgehammer. Jetzt kannst du differenzieren: Fleet-Devices tracken, Admin-Devices privat halten.

4️⃣ Apple Access Management (neu) – For ABM/ASM Admins

Was ist neu:
– Direkt in Apple Business Manager / Apple School Manager konfigurierbar
– Du steuert jetzt aus ABM, welche Devices ein User nutzen darf
Welche Apps & Services verfügbar sind (z.B. App Store blockieren?)

Gilt für:
– iOS/iPadOS
– macOS

Impact für Intune Admins:
Das ist eher ein Apple-seitiges Feature. Aber wenn dein ABM Admin das nutzt, synchronisiert es mit Intune. Wichtig: In deine ABM-Onboarding-Docs aufnehmen!

5️⃣ 🎯 visionOS & tvOS ADE Support – The Future is Here

Brechen wir’s runter:

Zum ersten Mal unterstützt Intune:
Apple Vision Pro Management
Apple TV Management
Ohne User Affinity (userless ADE)

Technische Details:
– Über Apple Business Manager / Apple School Manager
– Intune Plan 2 erforderlich (Teil Microsoft 365 Suite)
– Voraussetzung: tvOS 26+ oder visionOS 26+
– Custom Configuration Uploads möglich
– Enrollment Restrictions & Device Actions funktionieren

Wo erscheinen diese Devices?

Intune Admin Center → Devices → All Devices →
Apple Mobile Devices (Filter: tvOS/visionOS)

Szenarios:
– 🏥 Krankenhaus: Vision Pro für Chirurgie-Planung + MDM-Lockdown
– 🏬 Retail: Apple TV in Stores mit gepinnten Apps
– 🎓 Education: VisionOS für AR-Learning, zentral verwaltet

⚠️ WICHTIG: Keep devices updated! tvOS/visionOS 26+ = Sicherheit. Das ist kein „kann“, das ist Pflicht für deine Governance.

6️⃣ Linux: Ubuntu 26.04 LTS Support + 22.04 EOL-Warnung

Timeline:

Version Status Maßnahme
Ubuntu 22.04 LTS EOL August 2026 ⚠️ Migration planen
Ubuntu 26.04 LTS Neu supported Rollout ready

Praktisch:
Devices auf 22.04 können enrolled bleiben, aber:
1. Du solltest Upgrade-Kampagne starten
2. Im Intune Admin Center kannst du identifizieren:

Devices → All Devices → Filter: Linux → Add Column: OS Version

7️⃣ New Device Page (Public Preview) – UI/UX Facelift

Das ist in Preview – noch nicht produktiv!

Enable:

Intune Admin Center → Devices → All Devices → Toggle: „Preview new device view“

Was ändert sich:
Single unified view für Device-Info statt 5 verschiedene Tabs
– Neue Struktur:
Device action status – Was läuft gerade?
Tools and reports – Compliance, Config Status, Remediations
Properties – Editable Device Infos
Device details – Hardware & Entra-Infos

Wichtig:
– Nur bei Devices → All Devices aktiv
– Wenn du ein Device aus Report-View öffnest → alte UI
Keine Funktionalitäts-Changes, rein UI

Meine Einschätzung:
Langfristig überraschend gut durchdacht. Aber warte bis GA, bevor du es im Training zeigst.

⚠️ HANDLUNGSBEDARF: Breaking Changes & Deprecations

🔴 CRITICAL: Google Password Manager blocked auf Android Work Profile

Was passiert:

Android COPE / BYOD Work Profile + Android 14
→ Google Password Manager funktioniert NICHT als Credential Provider

Dein Handeln:
1. Audit: Welche User nutzen Google Password Manager?
2. Communication: „Wir wechseln zu [Microsoft Authenticator / 1Password]“
3. Policy: Setze explizit authorized credential providers
4. Timeline: VOR Android 14 Roll-out implementieren!

🟠 WARNING: Ubuntu 22.04 LTS EOL August 2026

Was passiert:
Nach August 2026 keine Security Patches für 22.04

Dein Handeln:
1. Identifiziere alle Ubuntu 22.04 Devices (Filter in Intune)
2. Kommuniziere Migration zu 26.04 LTS
3. Teste 26.04 LTS in Pilot vor August 2026
4. Hardware-Check: Manche ältere Geräte unterstützen 26.04 nicht!

🟡 NOTICE: visionOS/tvOS 26+ Requirement

Was ist neu:
Apple Vision Pro & Apple TV management nur mit tvOS 26+ / visionOS 26+

Dein Handeln:
– Falls du Vision Pro pilotierst: Update-Strategie definieren
– Alte tvOS-Versionen bleiben „unmanaged“
– Monitoring: „Devices with unsupported OS version“ tracken

📚 Microsoft Learn Ressourcen

Alle offizielle Docs:

  1. EPM Support-Approved Elevations

  2. Android Credential Manager Config

  3. Android Settings Catalog

  4. Apple ADE Overview

  5. Linux Device Enrollment

  6. Ubuntu 26.04 Details

Wer MUSS upgraden:

✅ Android Enterprise Admins (Credential Manager Control ist ein Must-Have für Security)
✅ EPM-Nutzer auf Shared Devices (endlich nicht mehr Workarounds!)
✅ Apple-Shops mit tvOS/Vision Pro Piloten

Wer kann warten (bis GA):

⏳ Reine iOS/macOS Orgs (Features sind nett, nicht game-changing)
⏳ Linux-only Shops (Ubuntu 26.04 ist Standard, 22.04 EOL ist erst Aug 2026)
⏳ Wer Device Page neue UI noch nicht braucht (noch in Preview)

Meine persönliche Einschätzung:

Nach 16+ Jahren MDM: Diese Release ist stabil und pragmatisch. Keine Überraschungen, keine großen Deprecated Features, aber echte Mehrwerte bei Android Security + Credential Management.

Das Android Credential Manager Feature verdient eure volle Aufmerksamkeit. Das ist nicht nur ein „nice-to-have“ – das ist Zero-Trust für Mobile Devices.

Rollout-Plan:

Phase 1 (Juni 2026): Pilot mit Android Credential Manager (5% Devices)
Phase 2 (Juli 2026): EPM Policies für Shared Devices updaten
Phase 3 (Aug 2026): Ubuntu 22.04 → 26.04 Migration starten
Phase 4 (Sept 2026): visionOS/tvOS in Pilot (wenn relevant)
„`

🔗 Schnelle Links
Intune What’s New – Service Release 2604
Microsoft Intune Blog
Intune Roadmap
Endpoint Privilege Management Docs

Managed Home Screen: Woher kommt der angezeigte Gerätename?

8. März 2026 / / Keine Kommentare

Managed Home Screen: Woher kommt der angezeigte Gerätename?

Wer den Microsoft Managed Home Screen (MHS) im Shared Device Mode einsetzt, kennt das: In der Top Bar wird ein Gerätename angezeigt – übersichtlich, praktisch, nützlich für Frontline-Worker-Umgebungen. Aber mal ehrlich: Hast du dich schon gefragt, wo dieser Name eigentlich herkommt? Aus dem Android-System? Aus Intune? Und was passiert, wenn du das Gerät in der Konsole umbenennst?

Genau diese Frage hatte ich letztens im Office und habe mich rangesetzt, um ihr auf den Grund zu gehen. Spoiler: Ich wusste schon intuitiv woher die Info kommt – aber ich wollte es dann doch etwas technischer beleuchten. 😄

1. Die Quelle: Nicht Android – sondern Intune

Kurze Antwort zuerst: Der angezeigte Gerätename kommt nicht vom Android-Betriebssystem selbst. Es ist nicht das, was unter Einstellungen → Gerät → Gerätename steht. Sondern es ist der Device Name-Eintrag aus dem Microsoft Intune Admin Center – also der Anzeigename, den du in der Verwaltungskonsole vergeben hast.

⚠️ Wichtig: Das Umbenennen eines Geräts in Intune ändert nur den Anzeigenamen in der Konsole – nicht den lokalen Gerätenamen auf dem Android-Betriebssystem selbst! MHS zeigt immer den Intune-seitigen Namen an.

2. Der Übertragungsweg: App Configuration Policy mit {{DeviceName}}

Der Name gelangt über eine App Configuration Policy an das Gerät. Microsoft stellt dafür die dynamische Variable {{DeviceName}} bereit – Intune löst diese Variable serverseitig auf und bettet den echten Gerätenamen in die Policy ein, bevor sie ans Gerät gepusht wird.

Die drei relevanten Konfigurationsschlüssel in der App Configuration Policy:

Konfigurationsschlüssel Wert Funktion
Top Bar Primary Element Device Name Gerätename als primäres Element (nur ohne Sign-In)
Top Bar Secondary Element Device Name Gerätename als sekundäres Element
Show device name for all supported OS versions on MHS {{DeviceName}} Pflichtfeld – Intune befüllt automatisch den korrekten Wert

ℹ️ Shared Device Mode – Sonderregel: Wenn Sign-In aktiviert ist, wird das primäre Top-Bar-Element automatisch durch den Namen des angemeldeten Benutzers ersetzt. Der Gerätename kann dann nur noch als sekundäres Element konfiguriert werden.

3. Wird der Name lokal gespeichert? Ja – aber nicht wo du denkst

Hier wird es technisch interessant. Der Gerätename wird lokal auf dem Gerät gespeichert – allerdings nicht in einer einfachen Datei oder Datenbank, die ein Nutzer einsehen könnte. Stattdessen nutzt Android dafür den sogenannten Managed Configuration Mechanismus, auch bekannt als App Restrictions oder RestrictionsManager.

Der vollständige Datenpfad

Schritt              Was passiert?
1 Intune löst {{DeviceName}} serverseitig auf → z.B. „DEV-WARD-01“
2 App Configuration Policy mit aufgelöstem Wert wird an das Gerät gepusht
3 Device Policy Controller (Intune / Company Portal) schreibt Wert ins Android Managed Config Bundle
4 Android RestrictionsManager speichert Bundle im geschützten Systembereich
5 MHS App liest Wert beim Start via RestrictionsManager.getApplicationRestrictions()
6 Anzeige des Namens in der Top Bar

Eigenschaften des lokalen Caches

Eigenschaft Detail
Speicherort Systembereich des Android OS – nicht im App-eigenen Storage
Format Android Bundle (Key-Value-Pairs, binär)
Zugriffsrechte Nur der DPC (Intune Company Portal) darf schreiben; MHS darf nur lesen
Persistenz Bleibt über App-Neustarts erhalten; wird bei Policy-Sync oder Factory Reset aktualisiert
Offline-Verhalten Gerätename wird auch ohne Netzwerkverbindung angezeigt (gecacht)
Update-Zyklus Wird beim nächsten Policy-Sync aktualisiert (~alle 8 Stunden oder manuell)

4. Wo wird der Name nicht gespeichert?

Zur Klarheit – diese Speicherorte werden explizit nicht verwendet:

  • ❌ Nicht im lokalen Android-Gerätenamen (Settings.Global.DEVICE_NAME)
  • ❌ Nicht in einer Datei im MHS-App-Verzeichnis (/data/data/com.microsoft.launcher.enterprise/)
  • ❌ Nicht in einer für den Nutzer zugänglichen Datenbank
  • ✅ Ausschließlich im geschützten Android Managed Configuration Bundle – weder einsehbar noch manipulierbar durch den Endnutzer

Fazit

Der im Managed Home Screen angezeigte Gerätename kommt direkt aus dem Intune Admin Center – übermittelt via App Configuration Policy mit der Variable {{DeviceName}}. Lokal wird er im Android RestrictionsManager-Bundle gecacht: sicher, persistent, offline-fähig und für den Endnutzer weder einsehbar noch veränderbar.

Das macht die Sache für Frontline-Worker-Szenarien besonders praktisch. Egal ob das Gerät gerade online ist oder nicht – der Gerätename wird immer korrekt angezeigt.

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

5. März 2026 / / Keine Kommentare

Intune Releases 2601 & 2602: Die wichtigsten MDM-Neuerungen – was Admins jetzt wissen müssen

Kurze Info vorab: Ich versuche diese Serie nun hier zu etablieren und will die jeweiligen Erneuerungen welche Microsoft in Ihren Monatlichen Releases für Intune packt, hier klar zusammenzufassen. 

Microsoft Intune liefert monatlich neue Features – und manchmal passiert das so schnell, dass man kaum hinterherkommt. Heute schaue ich mir die Neuerungen aus den Service Releases 2601 (Februar 2026) und 2602 (März 2026) an und filtere raus, was für MDM-Admins wirklich relevant ist.

Kleiner Hinweis vorweg: Das 2602-Release ist heute, am 3. März 2026, gerade frisch deployed worden. Die detaillierten Release Notes auf Microsoft Learn wurden zum Zeitpunkt dieses Posts noch nicht vollständig publiziert – das ist bei neuen Releases normal, da die Doku immer etwas hinterherläuft. Was ich an 2602-Inhalten habe, kommt aus der offiziellen Microsoft-Ankündigung. Der Großteil dieses Posts deckt die gut dokumentierten 2601-Features ab – und da ist einiges dabei das sich lohnt genauer anzuschauen.

ℹ️ Wichtige Info zur Verfügbarkeit: Intune-Updates werden schrittweise ausgerollt – Tag 1: APAC, Tag 2: EMEA, Tag 3: Nordamerika, Tag 4+: Government. Manche Features brauchen mehrere Wochen bis zur vollständigen Verfügbarkeit. Wer etwas noch nicht sieht: einfach abwarten, es kommt automatisch.

Übersicht: Was ist neu in 2601 & 2602?

Feature Plattform Release Kategorie
Neue MHS RBAC-Permissions (Suspend/Restore) Android 2602 🔐 RBAC / Kiosk
EPM-Support für Azure Virtual Desktop Windows 2601 🔐 Security
Lenovo Device Orchestration Link im Admin Center Windows 2601 🛠️ Management
Neue Windows Settings Catalog Policies (Edge, AI, Chrome) Windows 2601 ⚙️ Konfiguration
Neue OEMConfig Apps (FCNT, Sonim) Android 2601 📱 Android OEM
Android Management Mode Filter im Settings Catalog Android 2601 ⚙️ Konfiguration
iOS/iPadOS Rating Apps Exempted Bundle IDs iOS/iPadOS 2601 ⚙️ Konfiguration
Erweiterte Assignment Filter für Managed Apps Android/iOS 2601 ⚙️ Policy
Zimperium MTD: Certificate Inventory Sync (iOS) iOS/iPadOS 2601 🔐 Security
Azure Front Door IPs – Firewall-Anpassung nötig! Alle 2601 ⚠️ Aktion erforderlich
Win11 25H2 in Feature Update Reports Windows 2601 📊 Reporting
Admin Tasks jetzt Generally Available Alle 2601 🛠️ Management
PowerShell-Installer für Win32 Apps Windows 2601 📦 App Management

🆕 Release 2602 – Was bisher bekannt ist

Neue RBAC-Permissions für den Managed Home Screen: TemporarilySuspendManagedHomeScreen & RestoreManagedHomeScreen

Das ist das Feature aus 2602, über das ich heute einen eigenen Post geschrieben habe – also kurz die Zusammenfassung: Mit diesem Release kommen zwei neue RBAC-Permissions für den Managed Home Screen, die automatisch den Built-in-Rollen School Administrator und Help Desk Operator hinzugefügt werden.

Was das bedeutet: Help Desk Operators und Schuladmins können jetzt einen Android-Kiosk temporär aus dem MHS-Modus herausnehmen, das Problem lösen, und ihn danach wieder zurücksetzen – alles ohne einen Global Admin einschalten zu müssen. Für alle die MHS in Schulen, im Retail oder bei Frontline Workern einsetzen: Das ist ein echter Alltagshelfer.

Mehr Details dazu gibt es in meinem ausführlichen Post: Intune MHS RBAC – Neue Permissions im Detail

📦 Release 2601 – Die wichtigsten Features im Detail

Android Enterprise: Neue OEMConfig Apps und bessere Filteroptionen

Zwei Themen die für Android-Enterprise-Admins interessant sind:

Erstens: Neue OEMConfig Apps. Microsoft hat drei neue OEMConfig-Apps in Intune verfügbar gemacht – FCNT Senior Care, FCNT Schema und Sonim. FCNT ist ein japanischer OEM mit Fokus auf robuste und barrierefreie Geräte (Senior Care ist selbst erklärend), Sonim ist für ultra-ruggedized Devices bekannt. Wer Geräte dieser Hersteller im Einsatz hat oder plant: die OEMConfig-Integration ermöglicht herstellerspezifische Konfigurationen direkt über Intune, ohne App-Wrapper oder Sonderlösungen.

Zweitens: Android Management Mode Filter im Settings Catalog. Beim Erstellen von Android-Policy-Profiles im Settings Catalog gibt es jetzt einen Filter nach dem Enrollment-Typ: Fully Managed, Corporate-owned Work Profile oder Dedicated. Das klingt nach einem kleinen QoL-Feature – ist aber in der Praxis ein echter Zeitgewinn. Wer heterogene Android-Flotten mit verschiedenen Enrollment-Typen verwaltet, findet die relevanten Settings jetzt schneller, ohne durch hunderte Optionen zu scrollen.

Android & iOS: Granularere Assignment Filter für Managed Apps

Das ist ein Feature das unter dem Radar läuft, aber operativ relevant ist. Assignment Filter erlauben es in Intune, Policy-Zuweisungen nicht nur nach Gruppe, sondern nach spezifischen Device-Properties zu steuern. Mit 2601 kommen deutlich mehr Optionen für den Device Management Type bei Managed Apps:

  • Android neu: Corporate-owned with work profile, Corporate-owned fully managed, Corporate-owned dedicated devices without Entra ID Shared mode
  • iOS/iPadOS neu: Automated Device Enrollment user-associated, Automated Device Enrollment userless, Account Driven User Enrollment, Device Enrollment with Company Portal and Web Enrollment

Warum ist das wichtig? In komplexen Umgebungen mit gemischten Enrollment-Typen – z.B. BYOD mit Work Profile neben Corporate-owned Fully Managed Devices – können Admins jetzt granular steuern welche App Protection Policies und App Config Policies für welchen Device-Typ gelten. Das reduziert Policy-Wildwuchs und ermöglicht sauberere Segmentierung. Das Feature rollt laut Microsoft bis Ende März 2026 vollständig aus.

iOS/iPadOS: Neues im Settings Catalog

Zwei Änderungen für iOS-Admins:

Erstens das neue Setting Rating Apps Exempted Bundle IDs. Wer auf Schulgeräten Altersrestriktionen konfiguriert hat (z.B. nur Apps bis 9 Jahre), konnte bisher keine Ausnahmen für bestimmte Apps definieren. Mit diesem Setting können Admins spezifische Apps vom Altersfilter ausnehmen – z.B. eine Lern-App die technisch ein 17+-Rating hat, aber inhaltlich für Schüler vollkommen unbedenklich ist.

Zweitens ein Umbenennung: Apple hat Rapid Security Responses in Background Security Improvements umbenannt. Intune hat das im Settings Catalog entsprechend nachgezogen. Kein funktionaler Unterschied – aber wer nach dem alten Namen gesucht hat, findet es jetzt unter dem neuen.

Windows: Neue Settings Catalog Policies

Microsoft hat wieder eine Reihe neuer Policies in den Windows Settings Catalog aufgenommen. Hier die MDM-relevanten Highlights:

  • Microsoft Edge bis v143 – inklusive neuer Policy zum Teilen von browsing history mit Microsoft 365 Copilot Search (ja, genau das was viele Admins kontrollieren wollen), RAM-Ressourcensteuerung und Local Network Access Restrictions
  • Windows AI Controls – neue Settings für Agent Workspaces, Agent Connectors und Remote Agent Connectors (aktuell noch Windows Insiders, aber gut zu kennen für die Zukunft)
  • Disable Share App Promotions – endlich: Admins können verhindern dass Windows im Share Sheet Werbung für Apps macht. Klingt trivial, war aber ein echtes Ärgernis in managed Umgebungen
  • Firewall Audit Mode – neues Setting um den Audit Mode für die Windows Firewall zu aktivieren (nützlich für Security-Reviews und Compliance-Audits)
  • Google Chrome ADMX bis v141 – immer schön wenn der Settings Catalog aktuell bleibt

Windows: PowerShell-Installer für Win32 Apps

Das ist ein Feature aus dem Januar-Update (Week of January 12) das ich kurz erwähnen möchte, weil es für viele App-Deployments relevant ist: Win32 Apps können jetzt mit einem PowerShell-Script als Installer deployt werden – statt mit einer klassischen Command Line. Das bedeutet: Prerequisite-Checks, Config-Änderungen, Post-Install-Aktionen – alles direkt im Installer-Script. Das ist besonders nützlich für komplexe App-Deployments die mehr als nur ein simples Setup.exe /S brauchen.

EPM: Support für Azure Virtual Desktop

Endpoint Privilege Management (EPM) – das Feature für granulare Elevation-Policies ohne lokale Admin-Rechte – unterstützt jetzt auch Azure Virtual Desktop (AVD) Single-Session VMs. Für alle die AVD in ihrem Modern Workplace Stack haben: EPM-Elevation-Policies können jetzt auch auf diese VMs deployed werden. EPM ist Teil des Intune Suite Add-ons.

Lenovo Device Orchestration: Direktlink im Admin Center

Kleines aber praktisches Feature für alle mit Lenovo-Flotten: Das Intune Admin Center hat jetzt einen direkten Link zur Lenovo Device Orchestration (LDO) Plattform unter Partner Portals. Das schafft einen single entry point für Lenovo-spezifische Device-Management-Funktionen – ohne extra Login oder Tab-Hopping.

⚠️ Wichtig & Handlungsbedarf: Azure Front Door IP-Adressen

⚠️ AKTION ERFORDERLICH wenn ihr IP-basierte Allowlists nutzt: Microsoft Intune verwendet seit Dezember 2025 Azure Front Door (AFD) IP-Adressen zusätzlich zu den bisherigen Intune Service IPs. Wer IP-basierte Firewall-Regeln, VPN-Policies oder Proxy-Allowlists betreibt, MUSS diese anpassen – sonst kann die Intune-Kommunikation der verwalteten Geräte eingeschränkt oder unterbrochen werden.

Microsoft hat das im Rahmen der Secure Future Initiative (SFI) kommuniziert – und es ist eines der Features das im Alltag leicht übersehen wird, aber operative Konsequenzen hat. Hier die Details:

Wenn ihr FQDN-basierte Regeln nutzt (empfohlen): Stellt sicher dass *.manage.microsoft.com als Wildcard-Regel konfiguriert ist. Typischerweise kein weiterer Handlungsbedarf.

Wenn ihr IP-basierte Allowlists nutzt: Folgende IP-Ranges müssen hinzugefügt werden (Commercial Endpoints):

  • 13.107.219.0/24
  • 13.107.227.0/24
  • 13.107.228.0/23
  • 150.171.97.0/24
  • 2620:1ec:40::/48 (IPv6)
  • 2620:1ec:49::/48 (IPv6)
  • 2620:1ec:4a::/47 (IPv6)

Alternativ kann der Azure Service Tag AzureFrontDoor.MicrosoftSecurity genutzt werden. Für US Government Endpoints gelten separate IPs – die aktuellen Ranges findet ihr direkt in den offiziellen Intune Network Endpoints Dokumenten.

💡 Empfehlung: Wenn ihr es noch nicht getan habt – wechselt auf FQDN-basierte Regeln. Ihr reduziert damit dauerhaft den Wartungsaufwand, weil IP-Änderungen nicht mehr manuell nachgepflegt werden müssen. Microsoft empfiehlt das ausdrücklich.

Reporting & Administration: Was sich verbessert hat

Admin Tasks jetzt Generally Available

Der Admin Tasks Node unter Tenant Administration ist aus der Public Preview raus und jetzt Generally Available. Was ist das? Eine zentrale Ansicht im Intune Admin Center die alle offenen Aufgaben bündelt – EPM-Elevation-Requests, Microsoft Defender Security Tasks und Multi-Admin-Approval-Requests. Alles auf einer Seite, mit Such- und Filterfunktion. Wer bisher durch verschiedene Admin-Center-Bereiche navigieren musste um den Überblick zu behalten – das ist jetzt deutlich angenehmer.

Windows 11 25H2 in Feature Update Reports

Die Windows Feature Update Readiness- und Compatibility Risks-Reports unterstützen jetzt Windows 11 25H2 als Ziel-OS. Das ist relevant für alle die gerade planen, wann und wie sie auf 25H2 upgraden wollen – die Reports zeigen jetzt Readiness-Status und potenzielle Compatibility-Risiken für diese Version, bevor man das Update ausrollt.

Zimperium MTD: Certificate Inventory Sync für iOS

Wer Zimperium als Mobile Threat Defense Partner nutzt: Es gibt eine neue Integration. Der Zimperium MTD Connector kann jetzt das Certificate Inventory von iOS-Geräten synchronisieren – also eine Liste der installierten Zertifikate. Das erlaubt Zimperium zu erkennen, wenn ein Device durch ein potenziell schädliches Zertifikat kompromittiert wurde. Konfigurierbar über den MTD Connector mit zwei neuen Settings: Enable Certificate Sync und Send full certificate inventory data for personally-owned devices.

Fazit: Zwei Releases – viel Substanz

2601 und 2602 sind keine „Mega-Releases“ mit einem einzelnen Killer-Feature – aber sie zeigen schön wie Microsoft Intune in der Breite reift: Granularere Policies, bessere Filter, mehr OEM-Support, sicherere Infrastruktur und mit den neuen MHS RBAC-Permissions ein echtes Alltagsproblem gelöst.

Was sollten Admins jetzt konkret tun? Erstens die Azure Front Door IP-Situation prüfen – das ist der einzige Punkt mit echtem Handlungsbedarf. Zweitens die neuen Assignment Filter für Managed Apps im Auge behalten (Rollout bis Ende März). Und drittens – wenn MHS im Einsatz ist – die neuen RBAC-Permissions reviewen und den Support-Workflow anpassen.

Ich bin gespannt was 2602 noch alles bringt wenn die vollständige Dokumentation online ist. Bis dahin – ran an die Kommentare, welches Feature freut euch am meisten? 😄

🔗 Quellen & weiterführende Links:

• Microsoft Learn – Intune What’s New (2601/2602): learn.microsoft.com/intune/fundamentals/whats-new

• M365 Admin – Service Update February 2026 (2602): m365admin.handsontek.net

• Microsoft Support Tip – Upcoming Intune Network Changes: techcommunity.microsoft.com

• Microsoft Learn – Intune Network Endpoints: learn.microsoft.com/intune/fundamentals/intune-endpoints