Microsoft Intune für macOS: Mac-Geräteverwaltung für kleine Unternehmen in Berlin

macOS hat sich in Unternehmensumgebungen in den letzten Jahren erheblich ausgebreitet, und viele Berliner KMU betreiben gemischte Umgebungen, in denen Mitarbeiter macOS neben Windows nutzen – oft in kreativen, Entwicklungs- oder Führungsrollen. Die Verwaltung von macOS-Geräten über Microsoft Intune erweitert dieselbe MDM-Richtliniendurchsetzung, App-Verwaltung und Compliance-Überwachung, die Windows-Endpunkte regelt, auf Apple-Geräte – unter Verwendung des Apple MDM-Frameworks und Integration mit Apple Business Manager für Zero-Touch-Bereitstellung. Dieser Artikel behandelt, was macOS-Verwaltung über Intune tatsächlich beinhaltet und wo sie in ein Microsoft-zentriertes Sicherheitsprofil passt.

Registrierungsmethoden: Wie Macs der Intune-Verwaltung beitreten

macOS-Geräte können über mehrere Wege in Intune registriert werden:

• Apple Business Manager (ABM) + Automated Device Enrollment (ADE): Der Enterprise-Standard. Über Apple oder einen autorisierten Wiederverkauf erworbene Geräte können automatisch Ihrem ABM-Konto zugewiesen und für die überwachte Intune-Registrierung vorkonfiguriert werden. Wenn ein neuer Mac zum ersten Mal eingeschaltet wird, verbindet er sich mit ABM, erhält die Intune-Registrierungskonfiguration und schließt die Registrierung während des Setup-Assistenten ab – ohne Benutzerinteraktion außer dem Anmelden mit ihren Entra ID-Anmeldeinformationen.
• Benutzerinitiierte Registrierung: Bestehende persönliche oder firmeneigene Macs, die nicht in ABM sind, können von Benutzern durch Herunterladen der Unternehmensportal-App registriert werden. Dieser Weg bietet weniger Verwaltungskontrolle, ist aber für BYOD-Szenarien geeignet.

Konfigurationsprofile: Was Intune auf macOS durchsetzen kann

Intune stellt Apple-Konfigurationsprofile auf registrierten Macs bereit und erzwingt Einstellungen auf MDM-Ebene. Wichtige durchsetzbare Einstellungen umfassen:

• Sicherheitseinstellungen: FileVault-Vollplattenverschlüsselung (mit Hinterlegung von Wiederherstellungsschlüsseln in Intune), Bildschirmsperrzeitüberschreitung und Kennwortanforderungen, Gatekeeper-Einstellungen, System Integrity Protection-Status
• Netzwerkeinstellungen: WLAN-Profile, VPN-Profile
• Anwendungseinschränkungen: Blockieren bestimmter Anwendungen, Einschränken des Zugriffs auf Systemeinstellungen
• Software-Update: Durchsetzen von macOS-Mindestversionen, Verschieben oder Planen von Updates
• Zertifikate: Bereitstellen von Stammzertifizierungsstellenzertifikaten und Gerätezertifikaten – relevant für WLAN 802.1X-Authentifizierung und internes TLS-Zertifikatsvertrauen

App-Bereitstellung: Volume Purchase Program und PKG/DMG

Intune kann Anwendungen auf macOS aus mehreren Quellen bereitstellen:

• Apple Volume Purchase Program (VPP) Apps: Über Apple Business Manager können macOS App Store-Apps in Volumen gekauft und über Intune Geräten oder Benutzern zugewiesen werden. Die App installiert sich ohne Benutzerinteraktion und ohne Apple-ID auf dem Gerät.
• PKG- und DMG-Verpackung: Als .pkg oder .dmg verteilte Unternehmensanwendungen können im Intune-Verpackungsformat bereitgestellt werden. Dies deckt branchenspezifische Anwendungen und Unternehmenstools ab, die nicht im App Store verfügbar sind.
• Shell-Skripte: Intune kann Shell-Skripte auf registrierten Macs als angemeldeter Benutzer oder als Root ausführen – nützlich für die Installation von Tools aus Paketmanagern (Homebrew) oder für Onboarding-Automatisierung.

Compliance-Richtlinien: Conditional Access-Durchsetzung für Macs

Intune-Compliance-Richtlinien für macOS definieren die Bedingungen, die ein Mac erfüllen muss, um als konform zu gelten: FileVault aktiviert, macOS-Mindestversion, Bildschirmsperre konfiguriert. Diese Compliance-Status fließen direkt in Entra Conditional Access – ein macOS-Gerät, das nicht konform ist, kann automatisch vom Zugriff auf Microsoft 365, Azure-Ressourcen oder andere durch Conditional Access geschützte Anwendungen ausgesperrt werden.

Für Berliner KMU schafft dies einen praktischen Durchsetzungsmechanismus: Ein Mac, der nicht in Intune registriert ist oder FileVault deaktiviert hat oder eine veraltete macOS-Version ausführt, wird automatisch von Exchange, SharePoint und Teams gesperrt, bis das Compliance-Problem behoben ist.

Microsoft Defender for Endpoint auf macOS

Microsoft Defender for Endpoint hat einen nativen macOS-Client, der über Intune bereitgestellt und verwaltet werden kann. Die Bereitstellung von MDE über Intune auf macOS erfordert die Bereitstellung mehrerer Konfigurationsprofile, um MDE die erforderlichen Systemerweiterungen und Vollplattenzugriffsberechtigungen auf Apple Silicon- und Intel-Macs zu gewähren. Einmal bereitgestellt erscheinen macOS-Geräte im Defender-Portal mit denselben Bedrohungssichtbarkeits-, Schwachstellenbewertungs- und Reaktionsfähigkeiten wie Windows-Endpunkte.

FileVault-Schlüsselhinterlegung

Das FileVault-Verwaltungsprofil von Intune ermöglicht die Vollplattenverschlüsselung auf verwalteten Macs und hinterlegt den persönlichen Wiederherstellungsschlüssel in Intune. Wenn ein Benutzer von seinem verschlüsselten Mac ausgesperrt ist, kann der Wiederherstellungsschlüssel vom Helpdesk-Personal über das Intune-Portal abgerufen werden. Dies eliminiert die betriebliche Herausforderung der außerbandmäßigen Verwaltung von FileVault-Wiederherstellungsschlüsseln (Tabellenkalkulationen, IT-verwaltete USB-Sticks).

Einschränkungen gegenüber Windows-Verwaltung

macOS MDM-Funktionen unterscheiden sich von der Windows-Verwaltung in mehreren wichtigen Bereichen:

• Es gibt kein macOS-Äquivalent zu Windows Autopilot Hybrid Join – macOS-Geräte können nicht über den MDM-Registrierungsprozess einer lokalen Active Directory-Domäne beitreten
• macOS-Konfigurationsprofile sind in einigen Bereichen weniger granular als Windows-Gruppenrichtlinien
• Software-Messung und detaillierte Anwendungsnutzungstelemetrie für Windows über Intune ist auf macOS eingeschränkter
• Einige für Windows verfügbare Intune-Funktionen haben macOS-Äquivalente, unterscheiden sich aber in Umfang und Automatisierungsfähigkeit