Intune Release 2604 – Die wichtigsten Neuerungen (KW 27.04.2026)
🤔 Was mir an dieser Release auffällt
Ehrlich gesagt, die 2604er Release ist bemerkenswert solide. Keine großen Breaking Changes, aber dafür drei sehr sinnvolle Punkte, die ich täglich in Kundenprojekten höre:
- EPM endlich für alle User – bisher war das ein nerving restrictions für Shared Devices (Kiosk, Hotspot-Devices)
- Android 14: Credential Manager-Kontrolle – das schreit geradezu nach Zero-Trust-Architektur
- Vision Pro & Apple TV management – ok, nichts für den Massenmarkt, aber für Specialized Use Cases ein Game-Changer
Lass mich die Details durchkauen.
📊 Feature-Übersicht: Was sich ändert
| Feature | Plattform | Kategorie | Wichtigkeit |
|---|---|---|---|
| EPM: Support-approved Elevation für alle User | Windows | Security/Privilege Mgmt | 🔴 High |
| Android 14: Credential Manager Permissions | Android Enterprise | Device Config | 🔴 High |
| Location Services Settings Katalog (neu) | Android Enterprise | Device Config | 🟡 Medium |
| Apple Access Management (ABM/ASM) | iOS/macOS | Enrollment/Access | 🟡 Medium |
| visionOS & tvOS ADE Support | visionOS/tvOS | Enrollment | 🟡 Medium |
| Ubuntu 26.04 LTS Support | Linux | Device Management | 🟡 Medium |
| Neue Device Page (Public Preview) | All | UI/UX | 🟢 Low (UX) |
| EPM: Suspend/Restore für Managed Hosting | Windows | Device Management | 🟡 Medium |
🔧 Die wichtigsten Features im Detail
1️⃣ Endpoint Privilege Management (EPM): Support-Approved Elevations für ALLE User
Vorher:
– Support-approved file elevation requests funktionieren nur für:
– Den Primary User des Devices
– Den User, der das Device enrolled hat
– Auf Shared Devices (Hotspot, Kiosk, Hoteling): komplettes Blockkade
Nachher (2604):
– Alle User auf einem Device können Support-Approved Elevation Requests stellen
– Der Support-Admin muss nicht mehr jonglieren, welcher User gerade logged ist
Szenarios wo das hilft:
– Shared Hotspot-Geräte in Logistik-Hubs
– Kiosk-Modus für Retail/Hospitality
– Hot-Desking in großen Büros
Was ich dir empfehle:
Intune Admin Center → Endpoint Privilege Management →
Policies → [Deine Policy] → Elevation Settings prüfen
Vorsicht: Das ist ein Feature von Intune Suite – nicht im Standard-Intune Plan 1 enthalten. Kosten-Impact checken!
2️⃣ Android 14+: Credential Manager Permissions – Das Security-Highlight
Das Problem:
– Android 14 blockt standardmäßig Third-Party Credential Provider auf Corporate Devices
– Passkey-Adoption scheitert, weil kein Custom Password Manager nutzbar ist
– Microsoft Authenticator kann nicht als Default-Provider fungieren
Die Lösung (2604):
Neue Config im Intune Admin Center:
Apps → Android → Configuration → Managed Devices
→ Android Enterprise → Credential Manager Permissions
Was du hier steuern kannst:
✅ Spezifische Apps als System-Credential-Provider zulassen
✅ Passkey-basierte Sign-in aktivieren
✅ Nur vertraute Credential Sources erlauben
❌ Google Password Manager bleibt blockiert (Known Limitation!)
Unterstützte Device Types:
– Android COBO (Fully Managed)
– Android COSU (Dedicated)
– Android COPE (Corporate-Owned Work Profile)
– Android BYOD mit Work Profile (AM API)
Meine Einschätzung:
Das ist Zero-Trust für Android. Du kannst jetzt explizit definieren: „Nur Microsoft Authenticator + 1Password dürfen Passkeys speichern.“ Game-changer für Finance/Legal-Geräte.
⚠️ Warnung: Google Password Manager funktioniert nicht – musst du in deinen Rollout-Docs erwähnen!
3️⃣ Android Enterprise: Location Settings – Mehr Granularität
Neu (war vorher Binary-Block):
Drei Optionen statt Ja/Nein:
| Option | Verhalten | Use Case |
|---|---|---|
| Device default | OS-Standard, User kann togglen | Flexible Policies |
| Location enabled | Erzwungen an, User kann nicht aus | Fleet Tracking, Delivery |
| Location disabled | Erzwungen aus, User kann nicht an | High-Security Devices |
Gilt für:
– Android 10 und älter (COPE, COBO, COSU)
Warum sag ich dir das?
Der alte „Block location“ Setting war ein Sledgehammer. Jetzt kannst du differenzieren: Fleet-Devices tracken, Admin-Devices privat halten.
4️⃣ Apple Access Management (neu) – For ABM/ASM Admins
Was ist neu:
– Direkt in Apple Business Manager / Apple School Manager konfigurierbar
– Du steuert jetzt aus ABM, welche Devices ein User nutzen darf
– Welche Apps & Services verfügbar sind (z.B. App Store blockieren?)
Gilt für:
– iOS/iPadOS
– macOS
Impact für Intune Admins:
Das ist eher ein Apple-seitiges Feature. Aber wenn dein ABM Admin das nutzt, synchronisiert es mit Intune. Wichtig: In deine ABM-Onboarding-Docs aufnehmen!
5️⃣ 🎯 visionOS & tvOS ADE Support – The Future is Here
Brechen wir’s runter:
Zum ersten Mal unterstützt Intune:
– Apple Vision Pro Management
– Apple TV Management
– Ohne User Affinity (userless ADE)
Technische Details:
– Über Apple Business Manager / Apple School Manager
– Intune Plan 2 erforderlich (Teil Microsoft 365 Suite)
– Voraussetzung: tvOS 26+ oder visionOS 26+
– Custom Configuration Uploads möglich
– Enrollment Restrictions & Device Actions funktionieren
Wo erscheinen diese Devices?
Intune Admin Center → Devices → All Devices →
Apple Mobile Devices (Filter: tvOS/visionOS)
Szenarios:
– 🏥 Krankenhaus: Vision Pro für Chirurgie-Planung + MDM-Lockdown
– 🏬 Retail: Apple TV in Stores mit gepinnten Apps
– 🎓 Education: VisionOS für AR-Learning, zentral verwaltet
⚠️ WICHTIG: Keep devices updated! tvOS/visionOS 26+ = Sicherheit. Das ist kein „kann“, das ist Pflicht für deine Governance.
6️⃣ Linux: Ubuntu 26.04 LTS Support + 22.04 EOL-Warnung
Timeline:
| Version | Status | Maßnahme |
|---|---|---|
| Ubuntu 22.04 LTS | EOL August 2026 ⚠️ | Migration planen |
| Ubuntu 26.04 LTS | Neu supported ✅ | Rollout ready |
Praktisch:
Devices auf 22.04 können enrolled bleiben, aber:
1. Du solltest Upgrade-Kampagne starten
2. Im Intune Admin Center kannst du identifizieren:
Devices → All Devices → Filter: Linux → Add Column: OS Version
7️⃣ New Device Page (Public Preview) – UI/UX Facelift
Das ist in Preview – noch nicht produktiv!
Enable:
Intune Admin Center → Devices → All Devices → Toggle: „Preview new device view“
Was ändert sich:
– Single unified view für Device-Info statt 5 verschiedene Tabs
– Neue Struktur:
– Device action status – Was läuft gerade?
– Tools and reports – Compliance, Config Status, Remediations
– Properties – Editable Device Infos
– Device details – Hardware & Entra-Infos
Wichtig:
– Nur bei Devices → All Devices aktiv
– Wenn du ein Device aus Report-View öffnest → alte UI
– Keine Funktionalitäts-Changes, rein UI
Meine Einschätzung:
Langfristig überraschend gut durchdacht. Aber warte bis GA, bevor du es im Training zeigst.
⚠️ HANDLUNGSBEDARF: Breaking Changes & Deprecations
🔴 CRITICAL: Google Password Manager blocked auf Android Work Profile
Was passiert:
Android COPE / BYOD Work Profile + Android 14
→ Google Password Manager funktioniert NICHT als Credential Provider
Dein Handeln:
1. Audit: Welche User nutzen Google Password Manager?
2. Communication: „Wir wechseln zu [Microsoft Authenticator / 1Password]“
3. Policy: Setze explizit authorized credential providers
4. Timeline: VOR Android 14 Roll-out implementieren!
🟠 WARNING: Ubuntu 22.04 LTS EOL August 2026
Was passiert:
Nach August 2026 keine Security Patches für 22.04
Dein Handeln:
1. Identifiziere alle Ubuntu 22.04 Devices (Filter in Intune)
2. Kommuniziere Migration zu 26.04 LTS
3. Teste 26.04 LTS in Pilot vor August 2026
4. Hardware-Check: Manche ältere Geräte unterstützen 26.04 nicht!
🟡 NOTICE: visionOS/tvOS 26+ Requirement
Was ist neu:
Apple Vision Pro & Apple TV management nur mit tvOS 26+ / visionOS 26+
Dein Handeln:
– Falls du Vision Pro pilotierst: Update-Strategie definieren
– Alte tvOS-Versionen bleiben „unmanaged“
– Monitoring: „Devices with unsupported OS version“ tracken
📚 Microsoft Learn Ressourcen
Alle offizielle Docs:
Wer MUSS upgraden:
✅ Android Enterprise Admins (Credential Manager Control ist ein Must-Have für Security)
✅ EPM-Nutzer auf Shared Devices (endlich nicht mehr Workarounds!)
✅ Apple-Shops mit tvOS/Vision Pro Piloten
Wer kann warten (bis GA):
⏳ Reine iOS/macOS Orgs (Features sind nett, nicht game-changing)
⏳ Linux-only Shops (Ubuntu 26.04 ist Standard, 22.04 EOL ist erst Aug 2026)
⏳ Wer Device Page neue UI noch nicht braucht (noch in Preview)
Meine persönliche Einschätzung:
Nach 16+ Jahren MDM: Diese Release ist stabil und pragmatisch. Keine Überraschungen, keine großen Deprecated Features, aber echte Mehrwerte bei Android Security + Credential Management.
Das Android Credential Manager Feature verdient eure volle Aufmerksamkeit. Das ist nicht nur ein „nice-to-have“ – das ist Zero-Trust für Mobile Devices.
Rollout-Plan:
Phase 1 (Juni 2026): Pilot mit Android Credential Manager (5% Devices)
Phase 2 (Juli 2026): EPM Policies für Shared Devices updaten
Phase 3 (Aug 2026): Ubuntu 22.04 → 26.04 Migration starten
Phase 4 (Sept 2026): visionOS/tvOS in Pilot (wenn relevant)
„`
🔗 Schnelle Links
Intune What’s New – Service Release 2604
Microsoft Intune Blog
Intune Roadmap
Endpoint Privilege Management Docs