iOS 27 und Workspace ONE: DDM-Migration – Der Schrittplan für deutsche Admins
Apple hat auf der WWDC 2026 den Startschuss gegeben – iOS 27 kommt im September. Für dich als Admin bedeutet das: Legacy MDM ist offiziell Geschichte. Hier bekommst du alles, was du wirklich wissen musst.
| 💡 Das Wichtigste in 30 Sekunden |
| iOS 27 erscheint September 2026 – Legacy MDM Update-Commands funktionieren danach NICHT mehr. |
| DDM (Declarative Device Management) ist ab iOS 27 Pflicht für Software-Update-Enforcement. |
| Workspace ONE UEM 2406+ unterstützt DDM für iOS – du brauchst mindestens diese Version. |
| Bestehende Profile und Policies bleiben unberührt – nur Update-Management muss migriert werden. |
| Die Siri AI kommt in der EU NICHT auf iOS 27 (Digital Markets Act) – vorerst nur auf macOS 27. |
Was Apple auf der WWDC 2026 angekündigt hat
A m 8. Juni 2026, hat Apple auf der Worldwide Developers Conference in Apple Park iOS 27 offiziell vorgestellt. Der Fokus lag klar auf KI – konkret auf einem von Googles Gemini-Modell betriebenen Siri. Aber für uns Admins ist etwas anderes der eigentliche Knackpunkt:
- iOS 27 unterstützt alle Geräte, die aktuell iOS 26 laufen – auch das iPhone 11 und neuere.
- Apple Intelligence läuft nur auf iPhone 15 Pro, iPhone 16 und iPads/Macs mit M1 oder neuer.
- Legacy MDM Update-Commands (ScheduleOSUpdate, OSUpdateStatus) werden mit iOS 27 komplett ignoriert.
- DDM ist ab sofort Standard – nicht optional, nicht „demnächst“, sondern jetzt.
| ⚠️ Wichtig für die EU / Deutschland |
| Siri AI wird auf iOS 27 und iPadOS 27 in der EU NICHT verfügbar sein. |
| Apple begründet das mit dem Digital Markets Act (DMA). |
| Auf macOS 27, watchOS 27 und visionOS 27 ist Siri AI hingegen auch in der EU verfügbar. |
| Für Unternehmensumgebungen in Deutschland bleibt der operative Betrieb unverändert. |
DDM vs. Legacy MDM – Was hat sich eigentlich geändert?
Der Unterschied zwischen Legacy MDM und DDM ist kein Buzzword – er ist architektonisch. Kurz gesagt:
| Merkmal | Legacy MDM (alt) | DDM – Declarative Device Management (neu) |
| Steuerung | Server schickt Befehle, Gerät führt aus | Server definiert Zielzustand, Gerät kommt selbst dahin |
| Software Updates | ScheduleOSUpdate-Command | Software Update Enforcement Declaration |
| Check-in Abhängigkeit | Ja – Command-Delivery muss klappen | Nein – Gerät arbeitet eigenständig |
| Fehlertoleranz | Gering (kein Check-in = kein Update) | Hoch (Gerät retried eigenständig) |
| Statusreporting | Nur nach Command-Ausführung | Kontinuierlich via Status-Channel |
| iOS 27 kompatibel? | NEIN – Commands werden ignoriert | JA – vollständig unterstützt |
| Nutzer-Benachrichtigung | Einmalig | Mehrfach, Wochen im Voraus |
| ℹ️ Wie DDM intern funktioniert |
| Beim alten MDM: Workspace ONE schickt „Update jetzt!“ – und wartet. |
| Bei DDM: Workspace ONE erklärt den gewünschten Zustand (z.B. „iOS 27.0 bis 15.09.2026“). |
| Das Gerät übernimmt die Verantwortung, diesen Zustand zu erreichen. |
| Kein Check-in? Kein Problem – beim nächsten Kontakt macht das Gerät weiter. |
| Schlechte Verbindung? Das Gerät retried ohne serverseitigen Eingriff. |
Workspace ONE UEM und DDM – Was du jetzt brauchst
Die gute Nachricht: Omnissa hat seine Hausaufgaben gemacht. DDM ist kein Zukunftsprojekt mehr – es ist fertig. Hier der aktuelle Stand:
| WS1 UEM Version | DDM Support | Details |
| 2406 (August 2024) | iOS / iPadOS | GA-Release: Software Update Enforcement, DDM Declarations, Status-Channel |
| 2410 (Oktober 2024) | macOS | DDM für macOS hinzugekommen |
| 2406+ (SaaS) | Vollständig | Beide Typen: Imperative und Declarative Profiles parallel möglich |
Für On-Premises Kunden: Wenn ihr noch auf WS1 UEM 2306 oder älter seid, müsst ihr bis September 2026 auf mindestens 2406 upgraden – sonst habt ihr nach dem iOS 27 Rollout keine Kontrolle mehr über Software Updates auf iOS-Geräten.
| ⚠️ On-Premises Admins: Handlungsbedarf jetzt |
| WS1 UEM 2306 und älter: Kein DDM-Support. |
| Legacy Update-Commands funktionieren nach iOS 27 Release nicht mehr. |
| Upgrade auf mindestens WS1 UEM 2406 ist Pflicht vor September 2026. |
| SaaS-Kunden sind automatisch auf dem aktuellen Stand – kein Handlungsbedarf. |
Schrittplan: Migration auf DDM in Workspace ONE
Hier ist der praxiserprobte Schrittplan – inklusive Timeline für September 2026:
Schritt 1: WS1 UEM Version prüfen (Sofort)
Prüfe deine aktuelle WS1 UEM Version unter System > General > Product Information.
- SaaS: Ihr seid automatisch aktuell.
- On-Premises: Ihr braucht mindestens Version 2406.
- Ist deine Version älter als 2406, startet den Upgrade-Prozess asap. Bei Fragen, wende dich an deinen Dienstleister des Vertrauens.
Schritt 2: Bestehende iOS Update Policies inventarisieren (Woche 1–2)
Dokumentiert alle vorhandenen Legacy-Update-Policies unter Devices > Apple Updates > iOS/iPadOS Update Policies.
- Welche Smart Groups sind zugewiesen?
- Welche Versionen werden enforced?
- Welche Deferred-Zeiten sind konfiguriert?
| ℹ️ Koexistenz möglich |
| DDM und Legacy MDM können parallel auf denselben Geräten laufen. |
| Du musst nicht alles auf einmal migrieren. |
| Sobald eine DDM Software Update Enforcement Declaration aktiv ist, wird sie priorisiert. |
| Legacy Update Commands werden dann ignoriert – auch wenn sie noch konfiguriert sind. |
Schritt 3: Erstes DDM Profil erstellen – Testumgebung (Woche 2–3)
In der Workspace ONE Console navigierst du zu Resources > Profiles > Add Profile > iOS. Jetzt siehst du eine neue Option:
| 2. Platform: iOS |
| 3. Management Type: Declarative <– neu seit WS1 2406 |
| 4. Declaration Type: Configuration |
Schritt 4: Testen und Validieren (Woche 3–4)
Beobachte den Status-Channel in WS1 – das ist das neue Herzstück von DDM:
- Devices > Device Details > [Gerät] > DDM Status
- Prüfe, ob die Declaration korrekt zugewiesen wurde.
- Nutzer bekommen jetzt automatisch Benachrichtigungen auf dem Gerät.
- Validiere das Update nach Enforcement-Datum.
Schritt 5: Rollout auf Produktion (August 2026 – vor iOS 27)
Sobald der Test stabil läuft, rollt ihr die DDM Declarations auf alle iOS-Geräte aus. Folgende Empfehlung für Timing:
| Phase | Zeitraum | Aktion |
| Vorbereitung | Juni 2026 | WS1 Version prüfen, Inventarisierung, Test-Declarations erstellen |
| Pilot | Juli 2026 | DDM auf 10–20% der Geräte (IT-Team, Power User) |
| Rollout Welle 1 | August 2026 | DDM auf 50% der Geräte, Legacy Policies parallel aktiv lassen |
| Vollständig | Vor September 2026 | DDM auf 100% der Geräte aktiv |
| iOS 27 Release | September 2026 | iOS 27 erscheint – nur DDM Devices bekommen kontrollierten Update-Rollout |
| Legacy Cleanup | Oktober 2026 | Alte Legacy Update Policies aus WS1 entfernen |
Achtung: TLS-Verschärfung in iOS 27
iOS 27 und macOS 27 erzwingen strengere TLS-Anforderungen für Systemprozesse. Das ist ein separates Thema, aber ein kritisches – insbesondere für On-Premises WS1-Umgebungen mit eigenen PKI-Infrastrukturen:
| ⚠️ TLS-Kompatibilität prüfen |
| iOS 27 erzwingt via neuen ProfileAssetReference-Key strengere TLS-Anforderungen. |
| Betroffen sind Systemprozesse, die HTTPS-Verbindungen zu internen Servern aufbauen. |
| Prüft eure internen CA-Zertifikate auf SHA-256 Signatur und ausreichende Key-Länge. |
| Besonders kritisch: On-Premises WS1 mit eigener PKI (z.B. D-Trust, Microsoft CA). |
| Test-Enrollment mit iOS 27 Developer Beta empfohlen, sobald verfügbar. |
Best Practices für deutsche Admins
- Migrationszeitpunkt: Nicht bis September warten. Jetzt anfangen.
- Test-Gruppe aufbauen: 3–5 Geräte, mindestens iOS 16+, verschiedene Modelle.
- Legacy Policies nicht sofort löschen: Koexistenz nutzen, erst nach validiertem DDM-Rollout aufräumen.
- Status-Channel auswerten: Das ist euer neues Dashboard für Update-Compliance.
- Nutzer-Kommunikation planen: DDM schickt automatisch Benachrichtigungen – stimmt das Timing mit eurer IT-Policy ab.
- On-Prem: Seed-Script für neue iOS-Versionen von Omnissa Connect herunterladen (beta-Unterstützung).
- TLS-Audit jetzt: Interne CA-Zertifikate auf iOS 27 Kompatibilität prüfen.
Häufige Fehler – und wie ihr sie vermeidet
| Fehler | Auswirkung | Lösung |
| WS1 Version < 2406 | Kein DDM möglich | Upgrade auf 2406 oder neuer vor September |
| Legacy + DDM ohne Priorität beachten | Unerwartetes Verhalten | DDM Override verstehen: DDM Declaration gewinnt immer |
| Enforcement Date zu früh gesetzt | Nutzer werden überrascht | Mindestens 2 Wochen Vorlauf einplanen |
| TLS-Zertifikate nicht geprüft | Enrollment-Fehler nach iOS 27 Upgrade | CA-Zertifikate vor Release prüfen |
| iOS 27 Beta ignoriert | Keine Vorwarnung bei Problemen | Jetzt Developer Beta testen |
Und zur guter letzt nochmal der Hinweis. WS1 On-Prem ist zum 30.04.2027 abgekündigt und EOL! Hier wird Omnissa keine Grace-Periode geben. Somit ist hier Handlungsbedarf, da ich Migration in die SaaS mehrere Wochen benötigt.