Microsoft Intune und macOS: Sicherheit, Compliance und Automatisierung auf Apple-Geräten

1. Warum macOS-Geräte mit Intune verwalten?

Während Windows-PCs von Natur aus tief in das Microsoft-Ökosystem integriert sind, benötigten IT-Teams für Macs oft separate UEM-Lösungen wie Jamf Pro oder andere Drittanbieter-Tools. Dies führte zu einem fragmentierten Management-Ansatz und erschwerte die Umsetzung einheitlicher Sicherheits- und Compliance-Standards.

Mit der kontinuierlichen Weiterentwicklung von Microsoft Intune hat sich dies jedoch grundlegend geändert. Unternehmen können nun die Verwaltung und Absicherung von macOS-Geräten in ihre bestehende Microsoft-Umgebung integrieren und über Intune verwalten. Dies bringt zahlreiche Vorteile:

‍

• Zentrale Verwaltung: Ein einheitliches Dashboard für Windows, macOS, iOS und Android.
  ‍

• Sicherheits- und Compliance-Kontrollen: Durchsetzung von Sicherheitsrichtlinien wie FileVault-Verschlüsselung, Firewall-Aktivierung und Gatekeeper-Regeln.
  ‍

• Optimierte App-Verwaltung: Unterstützung für komplexe Software-Installationen und nahtlose Integration mit dem Apple Business Manager.
  ‍

• Automatisierung: Nutzung von Shell-Skripten und Microsoft Graph API, um wiederkehrende Aufgaben zu automatisieren.
  ‍

• Verbesserte Benutzererfahrung: Single Sign-On (SSO) mit Microsoft Entra ID (ehemals Azure AD) und eine optimierte Remote-Help-Funktion für Mac-Nutzer.

‍

Durch diese Verbesserungen ist Intune heute eine leistungsfähige Lösung für das macOS-Management und ermöglicht eine sichere, zentralisierte und skalierbare Verwaltung von Apple-Geräten im Unternehmensumfeld.

‍

‍

2. Sicherheits- und Compliance-Richtlinien für macOS in Intune

Sicherheit und Compliance sind zwei der wichtigsten Aspekte bei der Verwaltung von macOS-Geräten in Unternehmen. Microsoft Intune bietet mittlerweile eine Vielzahl an Richtlinien und Kontrollmechanismen, um sicherzustellen, dass nur konforme und geschützte Geräte Zugriff auf Unternehmensressourcen erhalten.

‍

Durchsetzung von System Integrity Protection (SIP) und macOS-Versionen

Intune kann nun erzwingen, dass System Integrity Protection (SIP) aktiviert bleibt. Diese macOS-Sicherheitsfunktion schützt kritische Systemdateien vor unautorisierten Änderungen. Unternehmen können Mindest- und Höchstgrenzen für macOS-Versionen festlegen – einschließlich spezifischer Build-Nummern. So wird sichergestellt, dass Geräte nur mit getesteten und unterstützten macOS-Versionen betrieben werden. Auch die neuen Rapid Security Response-Patches lassen sich in Compliance-Richtlinien einbinden, um Sicherheitslücken schnell zu schließen.

‍

Erweiterte Gerätesicherheits-Checks

Intune kann verschiedene sicherheitskritische Einstellungen auf Mac-Geräten überprüfen und durchsetzen:

‍

• FileVault-Festplattenverschlüsselung: Schutz sensibler Daten durch verpflichtende Verschlüsselung.
  ‍

• macOS-Firewall: Sicherstellen, dass nur autorisierte Verbindungen zugelassen werden.
  ‍

• Gatekeeper-Richtlinien: Einschränkung der App-Quellen auf App Store und verifizierte Entwickler, um Malware-Installationen zu verhindern.

‍

Nicht konforme Geräte werden automatisch als nicht compliant eingestuft. Administratoren können dann entsprechende Maßnahmen definieren, wie etwa den Entzug des Zugriffs auf Unternehmensanwendungen oder eine erzwungene Korrektur der Einstellungen.

‍

Vorbereitung auf Geräte-Attestierung mit ACME-Zertifikaten

Ein bedeutender Fortschritt in der Sicherheitsarchitektur von Intune ist die Einführung des ACME-Zertifikatsprotokolls. Während die Geräteauthentifizierung von macOS-Geräten in Microsoft Intune bisher über das Simple Certificate Enrollment Protocol (SCEP) erfolgte, stellt ACME eine sicherere und zuverlässigere Alternative dar. SCEP wies Schwachstellen auf, die es Angreifern ermöglichten, beispielsweise Zertifikatsanforderungen zu manipulieren oder private Schlüssel zu extrahieren, um diese auf betrügerischen Geräten zu verwenden.

‍

Mit dem neuen Ansatz erhalten verwaltete macOS-Geräte fälschungssichere Zertifikate, was die Integrität der Authentifizierung erheblich verbessert und das Zertifikatsmanagement robuster macht. Gleichzeitig werden potenzielle Schwachstellen der SCEP-basierten Authentifizierung eliminiert. Darüber hinaus legt ACME die Grundlage für eine zukunftssichere Managed Device Attestation in Intune, die eine noch präzisere Verifizierung der Geräte-Compliance ermöglicht.

‍

Durch diese erweiterten Sicherheits- und Compliance-Funktionen stellt Intune sicher, dass nur vollständig geschützte und den Unternehmensrichtlinien entsprechende macOS-Geräte Zugriff auf Unternehmensressourcen erhalten.

‍

‍

3. Verbesserte Softwareverteilung und Verwaltung

Microsoft Intune hat in den letzten Jahren bedeutende Verbesserungen erhalten, um die prosessionelle Verwaltung von MacOS-Anwendungen in Unternehmen zu ermöglichen.

‍

Unterstützung komplexer App-Installationen

Intune bietet nun die Möglichkeit, Anwendungen mit mehrteiligen Softwarepaketen oder spezifischen Installationsschritten zu verwalten, wodurch die Softwarebereitstellung flexibler und effizienter wird. Besonders vorteilhaft ist dies für Microsoft 365 Apps, die aus mehreren Komponenten bestehen und eine koordinierte Installation erfordern.

‍

Ebenso profitieren individuell angepasste Unternehmensanwendungen, die zusätzliche Konfigurationsschritte benötigen, sowie Software mit bestimmten Abhängigkeiten, bei der vor der Installation bestimmte Voraussetzungen erfüllt sein müssen. Um solche komplexen Installationsprozesse zu erleichtern, erlaubt Intune die Ausführung von Skripten vor oder nach der Installation, sodass notwendige Vorbereitungs- und Nachbearbeitungsschritte automatisiert werden können.

‍

Architekturabhängige App-Zuweisung

Mit der wachsenden Verbreitung von Apple Silicon-Prozessoren wie M1 und M2 müssen Unternehmen sicherzustellen, dass Macs stets die passende Version einer Anwendung erhalten. Um dies zu gewährleisten, bietet Intune nun die Möglichkeit einer architekturabhängigen App-Zuweisung, bei der Anwendungen gezielt basierend auf Gerätemerkmalen wie der Prozessorarchitektur (Intel oder Apple Silicon) gefiltert werden.

‍

Diese Funktion sorgt dafür, dass die richtige App-Version – beispielsweise x86 für Intel-Macs oder ARM für Apple Silicon – automatisch bereitgestellt wird. Dadurch werden Inkompatibilitäten vermieden, während Apple-Silicon-Macs von einer optimierten Performance durch native Anwendungen profitieren.

‍

Integration mit dem Volume Purchase Program (VPP)

Microsoft Intune ist tief in den Apple Business Manager (ABM) integriert und synchronisiert erworbene App-Lizenzen über das Volume Purchase Program (VPP). Unternehmen profitieren von:

‍

• Gerätebasierter Lizenzierung: Apps können direkt auf dem Mac installiert werden, ohne dass der Nutzer eine Apple-ID benötigt
  ‍

• Automatischer Installation und Aktualisierung über den MDM-Kanal
  ‍

• Vereinfachter Verwaltung großer Softwarebestände, da App-Updates zentral gesteuert werden

‍

Dank dieser Verbesserungen können Unternehmen ihre Mac-Anwendungen effizienter bereitstellen, aktualisieren und verwalten, während die Benutzererfahrung optimiert wird.

‍

‍

4. Optimierung der Benutzererfahrung mit Intune

Neben Sicherheit und App-Verwaltung, die IT-Abteilungen das Leben leichter machen, spielt auch die Benutzererfahrung eine entscheidende Rolle. Microsoft hat Intune für macOS in den letzten Jahren erheblich verbessert, um die Nutzung für Endanwender und IT-Administratoren gleichermaßen zu optimieren.

‍

Single Sign-On (SSO) mit Microsoft Entra ID

Microsoft Intune erweitert die Single Sign-On (SSO)-Funktionen für macOS, indem es auf die Microsoft Enterprise SSO-Erweiterung setzt. Diese ermöglicht eine nahtlose Authentifizierung mit Microsoft Entra ID für Anwendungen und Dienste im Unternehmensumfeld.

‍

Ein bedeutendes Feature dieser Erweiterung ist das Platform Single Sign-On (Platform SSO). Benutzer können sich direkt mit ihren Entra ID-Anmeldedaten am macOS-Gerät anmelden, wodurch das lokale Konto automatisch erstellt und mit dem Unternehmensverzeichnis synchronisiert wird. Dies vereinfacht die Verwaltung, erhöht die Sicherheit und reduziert den Bedarf an separaten lokalen Benutzerkonten.

‍

Die Implementierung von Platform SSO in Intune sorgt für eine einheitliche Anmeldung auf Geräte- und Anwendungsebene, verbessert den Zugriff auf Unternehmensressourcen und integriert macOS-Geräte nahtlos in bestehende Zero-Trust-Sicherheitsstrategien.

‍

Remote Help für macOS: Sichere Fernwartung über Intune

Microsoft Intune hat die Remote-Hilfe-Funktionalität erweitert und unterstützt nun vollständig macOS-Geräte. Unternehmen, die bislang auf Drittanbieter-Tools angewiesen waren, können nun direkt über Intune eine sichere Fernwartung durchführen.

‍

Helpdesk-Mitarbeiter erhalten über die Bildschirmfreigabe Zugriff auf den Bildschirm des Nutzers, um Probleme in Echtzeit zu identifizieren. Zudem können IT-Administratoren Anwender durch interaktive Unterstützung gezielt durch Konfigurationsschritte führen. Die gesamte Sitzung erfolgt über verschlüsselte Microsoft-Kanäle, wodurch potenzielle Sicherheitsrisiken minimiert werden.

‍

Diese Neuerung macht den IT-Support für macOS-Geräte deutlich effizienter und ermöglicht eine schnelle Fehlerbehebung direkt innerhalb der Microsoft Intune Suite. Diese umfassende Lösung kombiniert erweiterte Endpoint-Management- und Sicherheitsfunktionen, sodass Unternehmen eine einheitliche Plattform für alle verwalteten Geräte – einschließlich macOS – nutzen können.

‍

Optimierung der Intune-Tools für Apple Silicon

Die Intune-Unternehmensportal (Company Portal) -App sowie der Intune Management-Agent für macOS wurden für Apple Silicon (M1/M2) optimiert.

‍

• Bessere Performance: Die Tools laufen nun nativ und nutzen die Leistung der neuen Chips effizienter.
  ‍

• Höhere Stabilität: Reduzierte Abstürze und reibungslosere Integration in macOS.
  ‍

• Verbesserte Benutzeroberfläche: Die Unternehmensportal-App wurde überarbeitet, um die Registrierung und App-Installation noch einfacher zu machen.

‍

Durch diese Maßnahmen wird die Arbeit mit Intune auf dem Mac deutlich komfortabler und produktiver.

‍

‍

5. Unterstützung neuer macOS-Versionen und OS-Updates

Microsoft Intune wird kontinuierlich an neue macOS-Versionen angepasst und stellt sicher, dass Unternehmen stets die neuesten Funktionen und Sicherheitsupdates nutzen können.

‍

Sofortige Unterstützung für neue macOS-Releases

Apple veröffentlicht jährlich neue macOS-Versionen mit erweiterten Sicherheits- und Verwaltungsfunktionen. Microsoft Intune gewährleistet durch Day-0-Unterstützung, dass Unternehmen diese Updates sofort nutzen können. Das bedeutet, dass Intune bereits zum Zeitpunkt der Veröffentlichung einer neuen macOS-Version aktualisiert wird, sodass bestehende Funktionen wie erwartet funktionieren.

‍

Unternehmen können dadurch frühzeitig testen, welche neuen Funktionen in Intune verwaltet werden können. Dies ermöglicht eine sofortige Umsetzung von Sicherheitsmaßnahmen, da neue Restriktionen und Konfigurationseinstellungen unmittelbar für Administratoren verfügbar sind. Ein Beispiel hierfür ist die Unterstützung von macOS 15 Sequoia, die zeitgleich mit der Veröffentlichung des Betriebssystems bereitgestellt wurde.

‍

Zusätzlich bietet Intune die Möglichkeit, Softwareupdate-Richtlinien für macOS zu konfigurieren. Administratoren können festlegen, wie und wann Updates installiert werden, um sicherzustellen, dass Geräte stets auf dem neuesten Stand sind.

‍

Durch diese proaktive Herangehensweise stellt Microsoft Intune sicher, dass Unternehmen die Vorteile neuer macOS-Versionen sofort nutzen können, ohne auf wichtige Verwaltungs- und Sicherheitsfunktionen verzichten zu müssen.

‍

Anhebung der Mindestanforderungen für Intune

Mit der Einführung von macOS 15 (Sequoia) passt Microsoft Intune die Mindestanforderungen für die Geräteverwaltung an. Zukünftige Intune-Versionen werden mindestens macOS 13 Ventura oder höher voraussetzen, während ältere macOS-Versionen nur noch eingeschränkt verwaltet werden und somit compliant sein können.

‍

Neue Funktionen und Sicherheitsmaßnahmen bleiben somit den aktuellen macOS-Generationen vorbehalten. Diese Anpassung stellt sicher, dass Unternehmen stets von den neuesten Sicherheitsstandards profitieren und gleichzeitig veraltete macOS-Versionen schrittweise aus dem Netzwerk entfernt werden.

‍

Kontrollierte macOS-Updates über Intune

Microsoft Intune bietet nun erweiterte Steuerungsmöglichkeiten für macOS-Updates. Administratoren können genau festlegen, wann und wie Updates installiert werden, um eine Balance zwischen Sicherheit und Produktivität zu gewährleisten.

‍

Zu den wichtigsten Funktionen gehören:
‍

• Automatische Sicherheits-Patches: Kritische Sicherheitsupdates können sofort ausgerollt werden.
  ‍

• Verzögerte Funktionsupdates: Große macOS-Upgrades lassen sich für einen bestimmten Zeitraum zurückstellen, um Kompatibilitätsprobleme zu vermeiden.
  ‍

• Wartungszeiträume: Updates können nur in bestimmten Zeitfenstern durchgeführt werden, um Arbeitsabläufe nicht zu stören.
  ‍

• Update-Deadlines: Administratoren können Fristen setzen, nach denen ein Update zwingend installiert wird.

‍

Durch diese Verbesserungen bleibt das macOS-Ökosystem in Unternehmen stets aktuell und sicher, ohne den täglichen Betrieb zu beeinträchtigen.

‍

‍

6. Automatisierung & Scripting für macOS-Management

Mit zunehmender Anzahl an Mac-Geräten in Unternehmen steigt auch der Bedarf an individuellen Lösungen und Automatisierung. Microsoft Intune bietet leistungsstarke Tools zur zentralen Verwaltung, Skriptsteuerung und Remote-Aktionen in macOS, um administrative Aufgaben effizienter zu gestalten.

‍

Settings Catalog: Zentrale Verwaltung aller macOS-Einstellungen

Der Settings Catalog in Intune stellt eine umfassende Sammlung von verwaltbaren macOS-Optionen bereit. Administratoren können nahezu alle von Apple unterstützten MDM-Optionen per Mausklick konfigurieren, darunter:
‍

• FileVault-Festplattenverschlüsselung
  ‍

• Firewall- und Gatekeeper-Regeln
  ‍

• Declarative Device Management-Features
  ‍

• Systemaktualisierungen und Sicherheitsrichtlinien

‍

Da Intune eng mit Apple zusammenarbeitet, werden neue Verwaltungsrichtlinien für macOS kontinuierlich ergänzt und direkt in Intune integriert. Dadurch können Administratoren viele Konfigurationen direkt über den Settings Catalog vornehmen, anstatt separate, benutzerdefinierte Konfigurationsprofile erstellen zu müssen. Dies reduziert den manuellen Aufwand und sorgt für eine stabilere Verwaltung, da die von Intune bereitgestellten Richtlinien in der Regel direkt mit den neuesten macOS-Versionen kompatibel sind.

‍

Shell-Skripte zur individuellen Anpassung

Für spezielle Anforderungen, die über die Standard-MDM-Funktionen hinausgehen, bietet Intune die Möglichkeit, benutzerdefinierte Shell-Skripte auf macOS-Geräten auszuführen. Über den Intune Management-Agent können Skripte direkt auf die Geräte gepusht werden, um verschiedene Szenarien abzudecken – unabhängig davon, ob sie in Bash oder Zsh geschrieben sind.

‍

Dazu gehört die z.B. automatische Installation von Rosetta 2, damit Intel-basierte Anwendungen auf Apple-Silicon-Macs lauffähig bleiben. Ebenso lassen sich individuelle Systemkonfigurationen umsetzen, die nicht im Settings Catalog verfügbar sind. Darüber hinaus können regelmäßige Wartungsaufgaben durch geplante Skript-Ausführungen automatisiert werden. Diese Funktionen verringern den manuellen Verwaltungsaufwand erheblich und sorgen für eine konsistente und effiziente Geräteverwaltung.

‍

Remote-Aktionen & APIs zur Automatisierung von Tasks

Intune bietet nicht nur lokale Automatisierungsoptionen per Skript, sondern ermöglicht auch die Remote-Steuerung von macOS-Geräten. Über das Intune-Portal oder die Microsoft Graph API können Administratoren verschiedene Aktionen aus der Ferne durchführen. Dazu zählen der Neustart oder die Sperrung eines Macs, das Zurücksetzen oder vollständige Löschen von Geräten sowie die automatisierte Anpassung von Richtlinien für bestimmte Gerätegruppen.

‍

Durch die Integration der Graph API lassen sich Intune-Funktionen nahtlos in bestehende ITSM-Prozesse einbinden, wodurch sich zahlreiche wiederkehrende Aufgaben vollständig automatisieren lassen. Mit diesen leistungsstarken Automatisierungsfunktionen stellt Intune eine flexible und skalierbare Lösung für das Mac-Management in Unternehmen bereit.

‍

‍

7. Integration von Microsoft Intune mit Microsoft- und Apple-Diensten

Ein weiterer großer Vorteil von Microsoft Intune ist die nahtlose Integration mit anderen Microsoft-Diensten sowie Apples Verwaltungs-Ökosystem. Dadurch lassen sich macOS-Geräte effizienter verwalten und besser in bestehende Unternehmensprozesse einbinden.

‍

Microsoft Defender for Endpoint auch für macOS: Integrierte Sicherheitslösung

Microsoft Defender for Endpoint gehört zu den leistungsstärksten Lösungen für den Schutz von Endgeräten und kann direkt über Intune auf macOS-Geräten verwaltet werden. Die Integration ermöglicht eine zentrale Bereitstellung des Defender-Clients, sodass Sicherheitsrichtlinien und Konfigurationsvorgaben einheitlich durchgesetzt werden können.

‍

Zudem sorgt Intune für automatische Updates und Richtlinienanpassungen, um den Defender-Agenten stets auf dem neuesten Stand zu halten. Ein weiterer Vorteil ist die Gerätebewertung in Echtzeit: Erkennt Defender eine Bedrohung, beispielsweise durch Malware, kann Intune das Gerät als nicht konform einstufen und automatisch den Zugriff auf Unternehmensressourcen blockieren.

‍

Jamf Pro & Intune: Zukunft der Mac-Verwaltung ab 2024

Viele Unternehmen setzen weiterhin auf Jamf Pro zur Verwaltung ihrer macOS-Geräte. Microsoft hat eine direkte Jamf-Integration in Intune geschaffen, die es ermöglicht, den Compliance-Status von Macs mit Entra ID (ehemals Azure AD) zu synchronisieren.

‍

Seit Herbst 2024 hat sich die Integration verändert: Die bisherige Möglichkeit, Macs über Jamf in Entra ID zu registrieren und so in Conditional Access Policies einzubinden, wurde eingestellt. Stattdessen basiert die Zusammenarbeit nun auf einer neuen Compliance-Partnerschaft zwischen Microsoft und Jamf. Dabei übermittelt Jamf den Gerätestatus direkt an Intune, sodass Unternehmen Macs unabhängig vom verwendeten Verwaltungstool nahtlos in ihre Compliance-Richtlinien einbinden können.

‍

Ziel dieser Anpassung ist eine einheitliche Verwaltung aller Macs, egal ob sie primär mit Intune oder Jamf verwaltet werden.

‍

Apple Business Manager (ABM): Zero-Touch-Deployment für Macs

Microsoft Intune arbeitet eng mit dem Apple Business Manager (ABM) zusammen, um eine vollständig automatisierte Bereitstellung und Verwaltung von macOS-Geräten zu ermöglichen. Durch diese Integration profitieren Unternehmen von einer reibungslosen Gerätebereitstellung (Zero-Touch-Enrollment) sowie einer direkten Anmeldung mit Microsoft Entra ID.

‍

Mit ABM und Intune können Unternehmen neue Macs ohne manuelle Konfiguration ausrollen. Sobald ein Gerät aus der Verpackung genommen und mit dem Internet verbunden wird, meldet es sich automatisch bei Intune an. Anschließend erhält es die vordefinierten Richtlinien, Sicherheitsmaßnahmen und Anwendungen, sodass es sofort einsatzbereit ist. Zudem ist ABM mit dem Volume Purchase Program (VPP) integriert, sodass Unternehmen erworbene Apps zentral verwalten und über Intune direkt auf die Geräte verteilen können.

‍

Nach der automatischen Registrierung ermöglicht Platform Single Sign-On (Platform SSO) eine direkte Anmeldung mit Microsoft Entra ID.

‍

Durch die Kombination von Zero-Touch-Enrollment über ABM und nahtloser Authentifizierung über Platform SSO vereinfacht Microsoft Intune das macOS-Management erheblich. Unternehmen profitieren von einer einheitlichen und sicheren Gerätebereitstellung, während gleichzeitig die Vorteile des Apple-Ökosystems optimal genutzt werden.

‍

‍

{{cta-box-alt="/dev/components"}}

‍

‍

8. Fazit

Microsoft Intune hat sich zu einer leistungsfähigen Lösung für das Management von macOS-Geräten entwickelt. Unternehmen können nun Sicherheitsrichtlinien wie FileVault-Verschlüsselung, System Integrity Protection (SIP) und Firewall-Regeln konsequent umsetzen und über Microsoft Defender for Endpoint Bedrohungen besser abwehren.

‍

Auch die App-Verwaltung wurde optimiert: Intune unterstützt komplexe Installationen, ermöglicht eine architekturabhängige Softwareverteilung und integriert sich nahtlos in den Apple Business Manager. Gleichzeitig bietet Intune eine präzisere Steuerung von macOS-Updates, um Sicherheitslücken schnell zu schließen.

‍

Die Benutzererfahrung profitiert von Single Sign-On (SSO) mit Microsoft Entra ID, einer optimierten Unternehmensportal-App für Apple Silicon und der neuen Remote Help-Funktion für eine effizientere Fernwartung. Ergänzt wird dies durch Automatisierungsoptionen wie Shell-Skripte und Microsoft Graph API, mit denen sich Routineaufgaben erheblich vereinfachen lassen.

‍

Dank dieser Verbesserungen können Unternehmen macOS-Geräte genauso effizient und sicher verwalten wie Windows-Geräte, ohne weiterhin auf Drittanbieter-Tools angewiesen zu sein.