Microsoft Intune Release 2602: Das ist neu (Woche 2. März 2026)
Moin zusammen,
ich sitze hier gerade vor den Release Notes zur Woche 2. März 2026 – und ehrlich gesagt: Das ist eine Release, die zeigt, wohin die Reise geht. Microsoft macht hier ernsthaft ernst mit Apple’s Declarative Device Management (DDM). Das Legacy-Zeug wird eingestampft, die neuen Features sind gut durchdacht, und das Multi-Admin Approval Feature adressiert endlich ein Problem, das viele von euch im Enterprise haben.
Auch interessant: Autopatch Update Readiness kommt mit echtem Reporting-Zeugs statt nur „lädt gerade Update“ zu zeigen. Das spart euch Zeit beim Troubleshooting.
Lass mich die wichtigsten Punkte durchgehen – und wo ihr aufpassen müsst.
Release-Übersicht: Feature nach Kategorie
| Feature | Betroffen | Kategorie | Status |
|---|---|---|---|
| Apple DDM + Assignment Filters | iOS, iPadOS, macOS | Device Configuration | ✅ Neu |
| Settings Catalog Updates (AirPlay, Defender) | iOS, iPadOS, macOS | Device Configuration | ✅ Erweitert |
| Multi-Admin Approval für Policies | iOS, iPadOS, macOS, Windows | Device Management & Security | ✅ Neu |
| Legacy MDM Software Updates deprecated | iOS, iPadOS, macOS | Device Security | ⚠️ Breaking |
| Protected Apps: Jump, Mijn InPlanning | Android | App Management | ✅ Neu |
| Autopatch Update Readiness Dashboard | Windows | Update Management | ✅ Neu |
| Device Query Operators erweitert | Alle | Monitor & Troubleshoot | ✅ Erweitert |
Die wichtigsten Features im Detail
1. Apple Declarative Device Management (DDM) mit Assignment Filters 🎯
Das ist die Headline dieser Release.
Was ändert sich?
– Assignment Filters funktionieren jetzt auch mit DDM-basierten Konfigurationen (Software Updates, Policies)
– Bisher war das nur bei Legacy-Policies möglich
– Ermöglicht granulares Targeting: z.B. „Software Updates nur für Devices im Finance-Department mit iOS 24+“
Warum ist das wichtig?
Bei großen Umgebungen brauchst du Granularität. Mit Assignment Filters kannst du jetzt:
– Nach Azure AD Groups filtern
– Nach Device Attributes filtern (Owner Type, OS Version, Location)
– Nach User Attributes filtern
Praxisbeispiel:
Device Configuration → Create Policy (DDM-based)
→ Assign → Add Assignment Filter
→ "iOS >= 25 AND Department = Engineering"
Das reduziert Rollout-Komplexität erheblich – vor allem wenn ihr mehrere tenants oder heterogene Environments habt.
Gilt für: iOS/iPadOS, macOS
2. ⚠️ WARNUNG: Legacy Apple MDM Software Update Policies werden deprecated 🚨
Das ist wichtig. Sehr wichtig.
Microsoft und Apple beenden Support für die alten MDM Software Update Commands mit iOS 26, iPadOS 26 und macOS 26. Das bedeutet:
- Legacy-Policies (die ihr vermutlich heute noch nutzt) funktionieren in Kürze nicht mehr
- Apple hat diese alten Payloads aus dem MDM-Spec rausgenommen
- Action Item für euch: Migration zu DDM-based Software Updates erforderlich
Was müsst ihr machen?
- Audit: Welche Legacy-Policies habt ihr aktuell deployed?
- Planning: Welche Geräte sind noch auf iOS < 25 / macOS < 25?
- Rollout: DDM Software Update Policies neu erstellen und testen
- Sunset: Legacy Policies systematisch deaktivieren
Zeitrahmen? Microsoft nennt kein genaues Datum, aber „soon“ ist im Tech-Speak nicht mehr fern. Ich würde Q2-Q3 2026 kalkulieren.
Ressource: Schaut euch den Intune Customer Success Blog an – da wird’s detailliert erklärt.
3. Multi-Administrator Approval für Device Configuration & Compliance Policies 👥
Das ist ein Security-Feature, das lange überfällig war.
Was ändert sich?
– Dual-Authorization für Policy-Änderungen ist jetzt auch für Settings Catalog Policies möglich
– Vorher war das nur für Compliance Policies relevant
– Jede Änderung (Create, Edit, Delete) muss von Admin #2 genehmigt werden
Warum?
– Verhindert versehentliche Breaking Changes (z.B. falsch konfigurierte VPN-Policies)
– Schützt vor Malicious Actions durch compromised Admin-Accounts
– Audit Trail für Compliance-Reviews (SOC 2, ISO 27001, etc.)
Wo stellt ihr das ein?
Intune Admin Center
→ Devices → Device Configuration oder Compliance
→ Create Policy
→ Policies (unter Access policies)
→ Require Multi Admin Approval: ON
Praktischer Hinweis: Das wird euer Change-Management verlangsamen. Ein Policy-Update dauert dann länger. Aber der Security Gewinn ist es wert – vor allem in Enterprise-Umgebungen.
Gilt für: iOS, iPadOS, macOS, Android, Windows
4. Settings Catalog Updates: AirPlay & Microsoft Defender 🎨
Microsoft hat die Settings Catalog (das zentrale Policy-Management-Tool) erweitert.
Neue Settings:
| Setting | Platform | Use Case |
|---|---|---|
| AirPlay → Device Name | iOS, iPadOS, macOS | Custom Device-Naming für AirPlay |
| Microsoft Defender → Neue Policies | macOS | Advanced Threat Protection Config |
Das klingt marginal, aber für Environments die AirPlay oder Defender managed endpoints haben: Jetzt könnt ihr das via Policy zentralisiert steuern statt manuell auf jedem Device.
Für macOS-Defender: Besonders interessant für Security Teams, die Microsoft Defender als Standard-AV eingerollt haben. Mehr Policy-Control = bessere Compliance.
5. Autopatch Update Readiness Dashboard 📊
Das ist für Windows-Teams ein großes Ding.
Was ist neu?
– Unified Dashboard für Update-Readiness (Intune + Windows Autopatch)
– Device Update Journey: Granulare Status pro Gerät
– Centralized Alerting: Failures, Policy Conflicts, Readiness Gaps
– Update Readiness Checker: Proaktive Risk-Evaluation
– OS Reinstall Trigger: Automatisches Remediating bei Blockern (z.B. Disk Space)
Konkret:
Autopatch Dashboard
→ Update Status: "In Progress" / "Failed" / "At Risk"
→ Reason: "Insufficient disk space (22 GB free, 30 GB required)"
→ Remediation: "Trigger OS reinstall" (mit Alerts & Reporting)
Wofür nutze ich das?
– Pre-Deployment Risk Assessment
– Quick Troubleshooting (warum stockt das Update?)
– Proactive Device Remediation
Das spart euch echte Stunden bei größeren Updates.
6. Protected Apps: Jump & Mijn InPlanning 📱
Zwei neue Apps sind jetzt auf der Intune Protected Apps Liste.
Jump by Accio Inc. – Scheduling/Planning App
Mijn InPlanning by Intus Workforce Solutions – Workforce Planning (Android)
Das bedeutet: Diese Apps kriegen automatisch Mobile App Protection Policies (MAMP) angeboten:
– Biometric Lock
– Data Encryption
– Clipboard Restrictions
– etc.
Relevant, wenn ihr diese Tools deployed und data protection braucht.
7. Device Query Operators – Erweiterte Abfragen 🔍
Für die Admin-Power-User da draußen:
Neue Join Types:
– leftsemi, rightsemi, leftanti, rightanti
Breaking Changes:
– on Device.DeviceId wird nicht mehr unterstützt → nutzt stattdessen on Device
– Device allein in distinct, summarize, order by geht nicht mehr → specific properties required
Bessere Error Messages + Devices als clickable Links in Query Results
Das ist ein UX-Upgrade für euer Troubleshooting, aber Achtung: Falls ihr custom KQL-Queries gebaut habt, müssen die angepasst werden.
Handlungsbedarfe & Warnungen 🚨
1. Legacy iOS/macOS Software Updates – Migration erforderlich
| Item | Details |
|---|---|
| Was? | Legacy MDM Software Update Policies |
| Deadline | Unklar, aber „soon“ – rechne Q2-Q3 2026 |
| Action | Audit + Rollout zu DDM-based Policies |
| Impact | Breaking Change für iOS/macOS Updates |
Meine Empfehlung: Startet noch diesen Monat mit der Audit & Test-Phase. DDM ist die Zukunft – besser proaktiv als reaktiv migrieren.
2. Multi-Admin Approval Performance-Impact
Wenn ihr das Feature enablet:
– Policy-Rollouts werden langsamer (Genehmigung erforderlich)
– Notfall-Changes brauchen schnelle Admin-Koordination
Lösung: Separate Approval-Policies für kritische vs. Standard-Changes einplanen.
3. Device Query Syntax-Änderungen
Falls ihr custom Queries nutzt:
– Alt: on Device.DeviceId → Neu: on Device
– Test eure Queries gegen die neuen Anforderungen
Fazit & Meine persönliche Einschätzung 💭
Diese Release ist solid und forward-looking. Drei Dinge fallen mir auf:
- Microsoft stellt Apple Legacy-Zeug konsequent ab – Das ist richtig. DDM ist moderner, sicherer, zuverlässiger. Wer noch auf Legacy-Policies läuft: Wake up call. Migration sollte jetzt starten.
- Multi-Admin Approval ist Enterprise-ready – Das Feature adressiert echte Security-Anforderungen. In großen Umgebungen unverzichtbar.
- Autopatch Update Readiness ist praktisch – Endlich echtes Troubleshooting-Tooling statt „lädt gerade“. Time Saver.