Intune Februar-Update: Multi-Admin & Apple DDM

Einleitung: Warum das wichtig ist

Workarounds im Device Management entstehen oft aus Bequemlichkeit – können aber unbemerkt das Risiko erhöhen. Doppelte Richtlinien, zu breit angelegte Softwareupdate-Bereitstellungen und nicht geprüfte Änderungen vergrößern die Angriffsfläche und untergraben Zero Trust-Praktiken wie Least Privilege und striktes Change Control. Die Intune-Verbesserungen dieses Monats zielen darauf ab, diese Lücken zu schließen – mit Genehmigungen, besserer Flottenanalyse und präziserem Targeting für Apple-Richtlinien.

Was ist neu in Intune (Februar)

1) Multi-Admin-Genehmigung wird auf Compliance- und Konfigurationsrichtlinien erweitert

Intune unterstützt jetzt zusätzliche Multi-Administrator-Genehmigungsoptionen für:

• Gerätekonfigurationsrichtlinien, die über den Settings catalog erstellt wurden
• Geräte-Compliance-Richtlinien

Wenn Multi-Admin-Genehmigung aktiviert ist, erfordern Erstellen, Bearbeiten oder Löschen dieser kritischen Richtlinien die Freigabe durch einen zweiten Administrator, bevor Änderungen wirksam werden. Damit wird auf Genehmigungen aufgebaut, die bereits für andere Bereiche mit hoher Auswirkung verfügbar sind (Apps, Skripts, Geräteaktionen wie Wipe/Retire/Delete, RBAC-Rollen und Gerätekategorien).

Warum das wichtig ist: Das bringt praktikable Governance, um versehentliche oder unautorisierte Richtlinienänderungen zu verhindern – besonders wertvoll in Umgebungen, in denen Configuration Drift schnell zu Non-Compliance führen kann.

2) Advanced Analytics: umfangreichere Multiple Device Query (MDQ)-Ergebnisse

Advanced Analytics enthält jetzt Verbesserungen bei Usability und Präzision von MDQ:

• Operator-Details werden jetzt in den Abfrageergebnissen angezeigt, einschließlich Join-Typen (z. B. leftanti und rightsemi), um „fehlende“ Gerätezustände präziser zu identifizieren.
• Anklickbare Join-Syntax in MDQ-Ergebnissen für schnellere Navigation zu Gerätedetails.
• Verbesserte Fehlermeldungen.
• Vereinfachte Joins: Admins können Ergebnisse jetzt über das Feld Device joinen, ohne benutzerdefinierte Device-Syntax.

Warum das wichtig ist: Höhere Abfragegenauigkeit hilft Admins dabei, Compliance-Lücken, fehlende Konfigurationen oder Gerätekohorten im großen Maßstab zu finden – entscheidend für Zero Trust-Entscheidungen, die auf exaktem Inventar und Zustandsdaten basieren.

3) Apple DDM-Richtlinien unterstützen jetzt Zuweisungsfilter

Bisher konnten Declarative Device Management (DDM)-Richtlinien keine Zuweisungsfilter nutzen, was die Targeting-Flexibilität einschränkte (z. B. Trennung von Corporate- und Personal-Geräten). Jetzt unterstützt Intune Zuweisungsfilter für DDM-basierte Richtlinien und gleicht damit die Experience an klassische MDM-basierte Richtlinien an.

Beispiele:

• Softwareupdates nur für Geräte mit iOS 17+ über einen OS-Version-Filter bereitstellen.
• ADE supervised-Geräte gezielt ansprechen und Personal-Geräte ausschließen – über einen Filter für den enrollment profile name.

Warum das wichtig ist: Da Apple DDM in iOS, iPadOS, macOS, visionOS und tvOS weiter ausbaut, benötigen Admins konsistentes, präzises Targeting, um zu weit reichende Bereitstellungen zu vermeiden.

Auswirkungen auf IT-Admins und Endanwender

• Admins erhalten stärkeres Change Control für Richtlinien mit hoher Auswirkung, verbessertes Troubleshooting und Flottenanalyse durch MDQ-Verbesserungen sowie weniger Bedarf an doppelten Richtlinien oder pauschalen Update-Zuweisungen.
• Endanwender profitieren von weniger unbeabsichtigten Richtlinienänderungen und passenderem Update-Targeting (insbesondere in BYOD-Szenarien).

Action Items / Nächste Schritte

• Prüfen Sie, ob Multi-Admin approval für Compliance- und Settings catalog-Konfigurationsrichtlinien in Ihrem Tenant aktiviert werden sollte.
• Aktualisieren Sie interne Change-Management-Vorgaben, um den neuen Genehmigungsworkflow einzubeziehen, und stellen Sie sicher, dass die Audit-Log-Aufbewahrung die Governance-Anforderungen erfüllt.
• Wenn Sie Apple DDM nutzen, überprüfen Sie Ihre Zuweisungsstrategie und implementieren Sie Filter, um Corporate- und Personal-Device-Experiences besser zu trennen.
• In Analytics-intensiven Umgebungen: Prüfen Sie MDQ-Abfragen erneut und nutzen Sie verbesserte Joins sowie die Operator-Transparenz, um das Flottenreporting zu schärfen.