Microsoft Cloud

Letzte Änderung: 2025-08-13

Microsoft Intune: iOS Updates verwalten!

Apple veröffentlicht regelmäßig iPadOS und iOS Updates – manchmal sogar mehrmals im Monat. Jedes dieser Softwareupdates ist wichtig, denn Du weißt nie, welches endlich eine kritische Schwachstelle (z.B. Zero-Day-Exploits) behebt, die Akkuleistung optimiert oder die allgemeine Endpoint Security verbessert.

Als IT-Administrator ist es deswegen Deine Aufgabe, ein Auge auf die aktuellste Version zu halten und die Endgeräte Deiner Firma (z.B. sämtliche iPhones, iPads oder iPod Touch) zeitnah mit dem neuesten Update auszustatten; ganz egal, welches Modell bzw. welche Generation genutzt wird. Dabei ist es wichtig, Deine Mitarbeiter nicht am Arbeiten zu hindern oder sogar für Ausfälle zu sorgen.

Das kann aber ganz schön schwierig sein, vor allem, wenn ein unvorhergesehenes Update rein rollt. Denn dann könnten angepasste VPN-Profile beschädigt werden, Endgeräte zu ungeplanten Neustarts mitten in einer wichtigen Präsentation gezwungen werden oder ältere Apps plötzlich unbrauchbar sein. Was tun?

Promotional Graphic für iOS Updates Microsoft Intune

(Quelle: https://www.42gears.com/blog/simplify-os-update-management-for-corporate-ios-and-macos-devices-with-suremdm/)

Das iOS Update Management in Microsoft Intune ist eine gut ausgetüftelte Lösung von Microsoft! Damit hast Du bei der Verwaltung sämtlicher Endgeräte in Deinem Unternehmen die volle Kontrolle und kannst genau steuern, wann welches Gerät mit welchem Update und welchen Features aktualisiert wird. Und genau das erkläre ich Dir in diesem Leitfaden.

Genauer gesagt konzentrieren wir uns auf drei von Microsoft unterstützte Techniken, die bereits seit iOS 17 oder neueren Generationen verwendet werden. Ich zeige Dir unter anderem, wie Du

  • Geräte über Automated Device Enrollment (ADE) oder Apple Configurator überwachst,
  • Versionen für stufenweise Rollouts identifizierst     und
  • Compliance in Echtzeit misst - damit Patch-Lücken erkannt werden, bevor Angreifer sie finden

Alles Wichtige auf einen Blick

iOS Updates sind wichtig – noch wichtiger ist es jedoch, die neuen Versionen kontrolliert auf sämtlichen Endgeräten Deiner Firma zu installieren, um Ausfall oder sogar Schaden zu verhindern und Schwachstellen vorzubeugen.

Genau hier setzt dieser Artikel an: Du erfährst, wie Du als Administrator mit Microsoft Intune das Mobile Device Management für iPhones und iPads strategisch verwalten und steuern kannst – kontrolliert, sicher und ohne die Produktivität Deiner Nutzer zu stören.

Ich erkläre Dir genau, auf welche technischen Voraussetzungen und Lizenzen Du achten musst, zeige Dir die Unterschiede zwischen den drei verfügbaren Update-Methoden in Microsoft Intune und erkläre, wann welche Methode für Dein Rollout sinnvoll ist.

Wir gehen dabei ganz genau auf die folgenden Punkte ein, damit Du sämtliche App-Schutzrichtlinien einhalten wirst:

  • Wie Du Endgeräte im Supervisionsmodus registrierst, um die volle Kontrolle über die Softwareupdates zu erhalten.
  • Wie Update Policies funktionieren und wie Du Deine Ressourcen effizient nutzt, um strategisch iOS Updates auszurollen.

  • Was die neue „Managed Update Policy“ mit Deadlines bringt und wie Du erzwungene Neustarts sauber in Deinem Unternehmen integrierst.

  • Wie Du mithilfe von Monitoring & Berichten stets den Überblick über den Update-Status und die neusten Versionen behältst.

  • Wie Du mit einem klaren Rollout-Bauplan alle Nutzer abholst und Sicherheitslücken vermeidest.

Ob iOS 17, 18 oder höher – zusammen halten wir Deine Apple-Endgeräte zukunftssicher, compliant und mit minimalem Aufwand auf dem neusten Stand. Wenn Dir noch etwas unklar ist oder Du bei der Umsetzung oder Verwaltung unsicher bist, meld Dich gerne bei mir. Zusammen finden wir eine Lösung.

Termin mit Aaron buchen
Meine Erstberatung ist kostenlos und unverbindlich.
Microsoft Intune: iOS Updates verwalten!
Alles Wichtige auf einen Blick
Supervisionsmodus als Basis für iOS Updates
Was ist der überwachte Modus genau?
1. Automated Device Enrollment (ADE)
2. Apple Configuration Manager
iOS Updates konfigurieren: Die wichtigsten drei Methoden
Methode 1 - Veraltete Edition, Upgrade & Mode Switch Fenster
Methode 2 – aktuelle Sicherheitsupdates für iOS 18.4 / 18.4.1
Methode 3 – Deadlines mit Nachdruck (ab iOS 18)
Überwachung & Berichterstattung
Praktischer Rollout-Bauplan für Deine iOS-Updates
Bereit, die volle Kontrolle zu übernehmen?
Und jetzt? Sichere Dich weiter ab

Supervisionsmodus als Basis für iOS Updates

Beginnen wir mit den absoluten Basics: Microsoft Intune kann geplante Betriebssystem-Patches nur verwalten, wenn ein iPhone oder iPad im überwachten Modus / Supervionsmodus registriert ist. Du als Administrator hast ohne den "überwachten Modus" nur eingeschränkte Möglichkeiten, iOS Updates zu steuern.

Bedeutet konkret: Ohne den überwachten Modus kann Microsoft Intune den Endgeräten lediglich eine Benachrichtigung schicken, dass ein Update verfügbar ist. Der Benutzer muss das Update dann manuell herunterladen und installieren, um das Betriebssystem aktuell zu halten und die neuen App-Schutzrichtlinien zu erhalten.

Du hast also keine Garantie, dass das Gerät auch wirklich zeitnah upgedatet wird. So können schnell Schwachstellen entstehen - der Tenant Deines Unternehmens liegt dann für Hacker praktisch auf dem Servierteller! Nimm die Verwaltung Deiner Endgeräte also sehr ernst und kommuniziere, dass Softwareupdates keine nützlichen Features sind, sondern essenziell, um die App-Schutzrichtlinien in Deinem Unternehmen compliant zu halten.

Und wie machen wir das? Indem wir jedes neue Endgerät entsprechend im überwachten Modus einrichten. Du solltest zudem die Einstellungen jedes bereits registrierten Geräts durchgehen, um zu sehen, bei welchem der überwachte Modus nachträglich eingerichtet werden muss.

Graphic iOS Updates Supervision mode

(Quelle: https://simplemdm.com/blog/what-is-ios-supervised-mode-how-do-i-activate-supervision/)

Was ist der überwachte Modus genau?

Der überwachte Modus / Supervision ist Apples erweiterte Verwaltungsoption für Endgeräte. Nur dieser Modus gibt uns die volle Kontrolle, die wir als Admin brauchen. In diesem Modus können wir Apps automatisch installieren, Web-Filter anpassen, Daten zum Download freigeben und eben die Automatisierung von iOS Updates verwalten. Diese erweiterten Optionen verbessern die Nutzererfahrung erheblich und machen das Gerätemanagement über alle Plattformen effizienter.

Im überwachten Modus kannst Du also:

  • Updates planen und erzwingen: Du legst fest, wann ein Apple-Update installiert werden soll. Microsoft Intune führt diesen Befehl aus, ohne dass der Benutzer aktiv werden muss. Du kannst zum Beispiel festlegen, dass iOS Updates nachts installiert werden, um die Arbeitszeit nicht zu unterbrechen.

  • Updates verzögern: Das ist besonders wichtig, wenn ein neues Update bekannte Probleme verursacht. Du kannst die Sichtbarkeit der Softwareupdates verzögern, um z.B. die neuen App-Schutzrichtlinien erst intern zu testen, bevor es auf allen Endgeräten ausgerollt wird.

Wir haben zwei Optionen, ein iPhone oder iPad im überwachten Modus zu registrieren:

  • über Automated Device Enrollment

  • über Apple Configurator (bei alten Geräten)

Beide gehen wir nun Schritt für Schritt durch.

1. Automated Device Enrollment (ADE)

Der einfachste und sicherste Weg, um ein neues iPhone oder anderes Apple-Produkt in Deiner Organisation zu integrieren, ist über das Automated Device Enrollment (ADE). So kannst Du super viele Endgeräte über sämtliche Plattformen registrieren (Tausende, wenn's sein muss), ohne jedes einzelne Modell physisch in die Hand nehmen zu müssen.

Ich zeige Dir, wie Du die Verbindung zwischen Microsoft Intune und dem Apple Business Manager (ABM) herstellst und damit die Grundlage für das automatische Verwalten aller Geräte legst.

Screenshot iOS Updates add-enrollment-program-token-pane

(Quelle: https://learn.microsoft.com/en-us/intune/intune-service/enrollment/device-enrollment-program-enroll-ios)

1.1. Microsoft Intune mit Apple Business Manager verbinden

Bevor wir Apple-Geräte zuweisen können, müssen wir eine Verbindung zwischen den beiden Systemen aufbauen. Dieser Schritt ist super wichtig, damit Du eine sichere und vertrauenswürdige Verbindung herstellen kannst. Nur so kann Microsoft Intune die Apple-Endgeräte in Deinem Unternehmen überhaupt verwalten.

  • Generiere einen MDM Public Key in Microsoft Intune
    • Navigiere im Microsoft Intune Admin Center zu Devices > Enroll devices > Apple enrollment > Enrollment program tokens.
    • Lade den Public Key im .pem-Format herunter.
  • Lade den Public Key hoch und erstelle einen Server in ABM
    • Im Apple Business Manager (ABM) Portal gehst Du zu Settings > MDM Servers > Add MDM Server.
    • Benenne den Server (z. B. "Intune-Prod"), lade die .pem-Datei hoch und lade dann das Server-Token (.p7m) herunter.

Fertig! Du hast jetzt eine erneuerbare 365-Tage-Vertrauensbeziehung geschaffen.

Ich empfehle Dir, eine Kalendererinnerung für die Token-Erneuerung im nächsten Jahr zu setzen, damit die Verbindung nicht abbricht.

1.2. Geräte dem Intune-Server zuweisen

Okay, die Verbindung zwischen den beiden Systemen ist hergestellt. Jetzt müssen wir die Geräte mit Microsoft Intune verknüpfen. Dazu weisen wir jedes einzelne Modell dem richtigen Server zu. Das ist wichtig, damit die Geräte beim Einschalten auf den korrekten Server zugreifen.

Das geht ganz einfach:

  • In ABM: Gehe zu Devices > "Unassigned".
  • Wähle die Geräte aus, die Du zuweisen möchtest, und klicke auf Edit MDM Server.
  • Wähle den zuvor erstellten "Intune-Prod"-Server aus
  • Mein Tipp: Aktiviere "Automatically assign new devices". Dadurch landen alle zukünftigen Gerätekäufe automatisch in Microsoft Intune, ohne dass Du diesen Schritt wiederholen musst.
Einstellungsübersicht zu iOS Updates Enrollment

(Quelle: https://simplemdm.com/blog/what-is-ios-supervised-mode-how-do-i-activate-supervision/)

1.3. Ein ADE-Registrierungsprofil in Microsoft Intune erstellen

Jetzt kommt der wichtigste Teil: Wir erstellen das Profil, das die Regeln für Apple-Endgeräte festlegt. Genauer gesagt definieren wir via Automated Device Enrollment (Automatisierte Geräteregistrierung), wie das iPhone oder iPad nach der ersten Inbetriebnahme konfiguriert werden soll. Denk dran, das ist der Schlüssel zur automatisierten Verwaltung!

  • Navigiere in Intune zu Devices > Enroll devices > Apple enrollment > Enrollment program tokens > Profiles > Create profile.
  • Achte besonders auf diese Einstellungen:
    • Supervised = Ja: Ohne den überwachten Modus hast Du nicht die volle Kontrolle!
    • Lock MDM profile = Ja: So verhinderst Du, dass Benutzer das Verwaltungsprofil einfach vom Gerät entfernen können.
    • User affinity:
      • Mit User Affinity meldet sich der Benutzer mit seiner Corporate Apple ID an. Das ist der häufigste Anwendungsfall.
    • Setup Assistant Anpassung: Verstecke hier Schritte wie die Apple ID-Anmeldung. Das macht Sinn, wenn Du die Apps ohnehin über VPP (Volume Purchase Program) bereitstellst und den Einrichtungsprozess für den Benutzer beschleunigen willst.
  • Weise das erstellte Profil anschließend allen ADE-Geräten oder einer spezifischen ABM-Gerätegruppe zu. Dabei können Intune-Filter bei Zuweisungen helfen, um Apps und Richtlinien noch gezielter auf bestimmte Geräte auszurollen.

1.4. Gerät versenden oder übergeben

Geschafft! Die Geräte Deiner Organisation sind eingerichtet, die Automatisierung läuft und Du hast die volle Kontrolle! Du kannst die Geräte nun freigeben. Dann passiert einmalig folgendes:

  • Der Endbenutzer schaltet das Gerät ein und wählt ein WLAN-Netzwerk aus.
  • Kurz darauf erscheint der "Remote Management" Bildschirm.
  • Das Gerät beendet das Setup und ist danach bereits überwacht und vollständig von Microsoft Intune verwaltet.

2. Apple Configuration Manager

ADE ist ein sehr guter Prozess für die Verwaltung von Geräten - wenn er denn funktioniert. Besonders bei alten Geräten oder Modellen von nicht autorisierten Verkäufern können Schwierigkeiten beim Einrichten vorkommen. Aber keine Sorge, wir nutzen einfach den Apple Configurator.

Das Nervige an der Sache: Du musst alles per Hand machen. Bei vielen Geräten kann das viel Zeit kosten. Aber, die Geräte sind nutzbar, können mit dem Microsoft Intune Management verknüpft und somit genutzt werden. So geht's:

2.1. Bereite ein Microsoft Intune ADE-Profil vor

Zuerst brauchen wir wieder ein ADE-Profil, genau wie in Abschnitt 1.3. Warum? Der Configurator nutzt dieses Profil, um die Einstellungen und die Überwachung direkt während des Setups im Gerät zu konfigurieren. Wie auch bei der anderen Methode ist das die Grundlage für die folgenden Schritte:

2.2 Apple Configurator 2 per USB-C verwenden (mit Mac)

Wenn Du einen Mac zur Hand hast, ist das der schnellste Weg, ein Gerät aufzusetzen. Verbinde das iPhone, iPad Mini und Co. per Kabel - der Configurator macht dann den Rest:

  1. Starte Configurator 2 und gehe zu Preferences > Servers > +. Füge hier die Microsoft Intune-Registrierungs-URL ein, die Du aus Deinem ADE-Profil heruntergeladen hast.

  2. Verbinde das iPhone oder iPad per USB-C oder Lightning-Kabel mit dem Mac.

  3. Wähle das Gerät aus und klicke auf Prepare. Wähle Manual Configuration und aktiviere Add to Apple School/Business Manager, Supervise und bei Bedarf Allow devices to pair.

  4. Wähle den hinzugefügten Microsoft Intune MDM-Server aus.

  5. Optional: Füge ein WLAN-Profil hinzu, damit das Gerät beim ersten Start eine Verbindung mit dem Internet hat.

  6. Klicke auf Prepare.

Der Configurator setzt das Gerät zurück (um eine saubere und sichere Grundlage für die Verwaltung durch Microsoft Intune zu schaffen), konfiguriert die Überwachung im Betriebssystem und lädt das ADE-Profil sowie die Seriennummer (optional) in ABM hoch. Du kannst den Fortschritt und eventuelle Fehler direkt auf dem Display des Geräts mitverfolgen.

2.3. Configurator für iPhone (ohne Mac)

Kein Mac verfügbar? Kein Problem! Apple hat eine App entwickelt, die den Prozess stark vereinfacht und genauso effektiv ist. 

  1. Installiere die kostenlose Apple Configurator App aus dem App Store auf einem anderen iPhone, das Du bereits hast.
  2. Melde Dich mit einer Managed Apple ID an, die die Rolle Device Enrollment Manager in ABM hat.
  3. Öffne die App, richte die Kamera auf den "Hello"-Bildschirm des neuen Geräts, scanne die Animationen und wähle den MDM-Server aus.

Das Gerät startet neu, übernimmt die Überwachung und landet automatisch in ABM und Microsoft Intune. Das macht die manuelle Registrierung auch ohne Mac unkompliziert. Ein echt schnelle Option!

Screenshot zu den Einstellungen iOS Updates Remote Management

(Quelle: https://support.apple.com/en-sg/102291)

iOS Updates konfigurieren: Die wichtigsten drei Methoden

Super, die Vorbereitung ist geschafft! Du hast nun die Grundlage gelegt und Deine Apple-Geräte im überwachten Modus bei Microsoft Intune registriert. Jetzt können wir uns den spannenden Teil ansehen: die tatsächliche Konfiguration der App-Schutzrichtlinien.

Es gibt drei verschiedene Wege, wie Du iOS Updates steuern kannst. Hier eine kleine Übersicht:

  • Methode 1: Veraltete Geräte
  • Methode 2: Die neuste Version für volle Kontrolle
  • Methode 3: Deadlines mit Nachdruck
Ich erkläre Dir, wie genau Du welche Methode am besten umsetzt. Und wie immer, wenn Du Fragen hast, meld Dich gerne direkt bei mir oder sichere Dir einen Platz in einer meiner gezielten Schulungen. ->
Mobile Device Management mit Microsoft Intune: virtueller Zwei-Tage-Workshop.

Methode 1 - Veraltete Edition, Upgrade & Mode Switch Fenster

Wenn Du schonmal Geräte Deiner Organisation mit Microsoft Intune verbunden hast, kennst Du diese Methode sicher. Alt, schnell eingerichtet, aber nicht ganz so effektiv, wie die anderen Methoden, die wir durchgehen werden. Entsprechend hast Du hier nur eine grobe Verwaltung und Steuerung der iOS Updates zur Verfügung.

In bestimmten Fällen wie beim Konfigurieren eines alten Modells ist das aber definitiv besser, als gar keine Verwaltung. Wir wollen schließlich keine Schwachstellen geplant einbauen.

Hier ein paar Basics zur Methode 1:

  • Funktioniert, ist aber überholt.
  • Perfekt für Ausnahmefälle, um für mehr Sicherheit zu sorgen.
  • Blockiert Updates während definierter Wartungsfenster (z.B. Mo-Fr, 08:00-17:00 Uhr CET).
  • Erlaubt Installationen zu allen anderen Zeiten - z.B. wenn das Telefon eingeschaltet ist.

Beachte dabei bitte auch die folgenden Vor- und Nachteile:

  • Vorteile
    • In zwei Minuten erledigt.
    • Ideal für Light-Touch-Umgebungen, in denen nur das Timing wichtig ist.
  • Nachteile
    • Updates außerhalb der Wartungsfenster zu installieren kann zu Schwachstellen führen.
    • Es kann einige Stunden dauern, bis Fehler von Administratoren erkannt werden.
    • Fehlerhafte Updates oder Hardware-Defekte können verursacht werden.
    • Keine Versionsziele - neuester Patch installiert sich, sobald Apple ihn veröffentlicht.
    • Keine Benutzerbenachrichtigungen außer iOS-Standardmeldungen.
    • Kann manuelle Updates innerhalb "erlaubter" Stunden nicht verhindern.

So konfigurierst Du iOS Updates mit Methode 1

Ich hoffe, Du kennst die Vor- und Nachteile zur Methode 1, bevor Du sie nutzt. Mit den folgenden vier Schritten im Microsoft Intune Admin Center bist Du innerhalb weniger Minuten fertig:

  1. Gehe zu Devices → iOS/iPadOS → Configuration profiles → Create.
  2. Wähle unter Templates → Edition, Upgrade & Mode Switch aus.
  3. Benenne das Profil und definiere dann Deine "No-Update"-Zeiträume.
  4. Weise es einer Gruppe überwachter Geräte zu - speichern, fertig.
Ich empfehle Dir, diese Methode zu überspringen, wenn Deine Organisation stufenweise Rollouts oder eine Beta-Test-Zeit für neue Updates benötigt. In diesem Fall sind die Methoden 2 und 3 weitaus besser geeignet.

Methode 2 – aktuelle Sicherheitsupdates für iOS 18.4 / 18.4.1

Diese Methode macht eigentlich immer Sinn: Sie ist die aktuellste und bis dato beste iOS-Version, mit der Du die Apple-Geräte Deines Unternehmens mit den neuesten Softwareupdates und -einstellungen sicherer verwalten kannst.

Ich empfehle sie aber auch, wenn Du wirklich die volle Kontrolle über den Rollout-Zeitplan behalten möchtest. Denn mit Methode 2 kannst Du iOS Updates und Anwendungen gezielt steuern, ohne die Produktivität der Benutzer zu stören. Ein Win-Win für alle!

Bevor wir in die Konfiguration gehen, lies Dir bitte die folgende Übersicht durch:

  • Die aktuellste und beste iOS-Version.
  • Feingranulare Steuerung von Zeitplänen und Versionen.
  • Kann mit optionaler Verzögerungsrichtlinie kombiniert werden, um iOS Updates für einen festgelegten Zeitraum zu verstecken.
  • Es gibt drei Möglichkeiten, das iOS-Update zu installieren:
    • Update at next check-in (schnell, aber kann zu Störungen führen)
    • Update during schedule time
    • Update outside schedule time

Auch bei dieser Methode solltest Du die Vor- und Nachteile kennen:

  • Vorteile
    • Microsoft Intune zieht die aktuellsten Richtlinien aus dem Apple-Release und konfiguriert sie automatisch. Wähle dazu die Einstellung "Latest update". Kontrolliere dennoch, ob die Richtlinien mit Sicherheitsansprüchen Deiner Organisation übereinstimmen.
    • Ermöglicht feingranulare Kontrolle über Installationsfenster.
    • Funktioniert auf allen Geräten ab iOS Generation 15.
  • Nachteile
    • Die Deadlines sind implizit. Ein Gerät, das nie außerhalb der Arbeitszeit eingeschaltet ist, könnte das Update unbegrenzt verschieben.
Screenshot iOS Updates Update policy for iOS iPadOS

(Quelle: https://learn.microsoft.com/en-us/intune/intune-service/protect/software-updates-ios)

Mit dieser Methode kannst Du verschiedene Features nutzen, um die Update-Policies flexibel und effizient zu gestalten. Zu den Features gehören die Möglichkeit, spezifische Builds oder die neueste iOS-Version als Platzhalter zu wählen. Oder Du setzt nach Bedarf Deine eigenen Richtlinien auf.

So konfigurierst Du iOS Updates mit Methode 2

Mit Methode 2 können wir unsere Sicherheitsupdates also granular an unser Unternehmen anpassen. So viel Freiraum kann aber auch verwirren - deswegen eine kleine Anleitung, die Dir die Konfiguration erleichtert:

  1. Gehe im Microsoft Intune Admin Center zu Devices → iOS/iPadOS → Update policies → Create profile.

  2. Benenne und (optional) beschreibe das Profil.

  3. Wähle unter Select version to update to entweder "Latest update" oder eine konkrete Versionsnummer aus.

  4. Wähle ein Installationsverhalten. Ein Beispiel: Wähle "Outside scheduled time" und lege die Arbeitszeiten fest (z.B. Werktage von 08:00 bis 17:00 Uhr), um Upgrades während der Arbeitszeit zu verhindern.

  5. Weise das Profil den überwachten Gruppen zu und speichere.

Tipp: Blockiere frühe manuelle Installationen (der "Doppel-Policy-Trick")

Willst Du sichergehen, dass die Benutzer Deiner Organisation das Update nicht installieren können, bevor Du es getestet hast? Das geht ganz einfach:

  • Füge ein zweites Profil hinzu, indem Du zu Templates → Device Restrictions → Diffuse Software Updates gehst.
  • Aktiviere Enforced software update delay und setze die Verzögerung auf z.B. 7 Tage.
  • Jetzt können Benutzer das Update erst nach Ablauf dieser Frist installieren.

Methode 3 – Deadlines mit Nachdruck (ab iOS 18)

Was passiert, wenn Methode 2 nicht anschlägt und es einige Geräte in Deinem Unternehmen gibt, die noch mit der alten Version genutzt werden - und entsprechend brodelnde Schwachstellen sind? Dafür hat sich Microsoft Methode 3 ausgedacht!

Die Managed Update Policies, die mit iOS 18 eingeführt wurden, sind die konsequenteste Lösung, um die Compliance Deiner Geräte sicherzustellen. Wenn ein Benutzer die Update-Aufforderungen ignoriert, erzwingen Managed Update Policies (MUP) einen harten Stopp: Das Gerät wird zur gesetzten Deadline automatisch neu gestartet. So garantierst Du, dass alle Geräte auf dem neuesten Stand sind.

Hier wie immer eine kurze Übersicht zur Methode 3, bevor wir sie anwenden:

  • Zwingt iOS Updates zu einer bestimmten Deadline.

  • Ideal für eine kompromisslose Security.

  • Admin setzt Ziel-OS-Version und Ziel-Build (optional).

  • Admin gibt einen UTC-Zeitstempel für die Installation an.

  • Verfügt über die höchste Priorität unter den Update-Richtlinien.

  • iOS zeigt eskalierende Benachrichtigungen; bei T-0 zeigt das Gerät "Update in 60 Sekunden" und startet neu.

  • Bei ausgeschaltetem Gerät beginnt eine einstündige Gnadenfrist beim nächsten Start.

Screenshot zu iOS Updates Create profile

(Quelle: https://learn.microsoft.com/en-us/intune/intune-service/protect/software-updates-ios)

Das hört sich zwar harsch an, ist aber für die Sicherheit der Geräte von entscheidender Bedeutung. Regelmäßige Softwareupdates tragen dazu bei, die Sicherheit zu gewährleisten und unbefugten Zugriff zu verhindern.

Achtung: Zeitzonen-Logik

Microsoft Intune konvertiert Deine lokale Zeit in UTC und notiert diesen festen Wert ins Geräteprofil. Prüfe Konvertierungen doppelt, besonders wenn die Uhr auf Sommer- oder Winterzeit umgestellt wird.

Diese Methode ist kompromisslos und sehr effektiv, hat aber auch ihre Vor- und Nachteile, die Du beachten musst.

Vorteile

  • Garantierte Compliance: Jedes Gerät erreicht die angegebene iOS-Version zur Deadline.

  • Klare Benutzerbenachrichtigungen: Benutzer werden rechtzeitig informiert und haben weniger Möglichkeiten, iOS Updates zu ignorieren.

  • Höchste Priorität: Diese Richtlinie übersteuert andere Update-Policies (Methode 2).

Nachteile

  • Administrativer Aufwand: Du musst die Policy für jedes neue iOS-Release manuell anpassen.

  • Voraussetzung: Die Zielgeräte benötigen iOS 18 oder neuer.

  • Vorsicht bei der Kombination mit Verzögerung: Wenn Du ein Update länger versteckst als die Deadline es zulässt, kann das zu erzwungenen Neustarts ohne Vorwarnung führen.

 Große 60 Seiten Intune ChecklisteKostenlos herunterladen!

So konfigurierst Du iOS Updates mit Methode 3

Die Konfiguration der Managed Update Policies unterscheidet sich ein wenig von den anderen Methoden. Wichtig ist, dass Du ein Zeitfenster UND eine genaue Deadline festlegst, an die sich das Gerät halten muss.

Das machst Du so:

  1. Gehe in Microsoft Intune zu Devices → iOS/iPadOS → Configuration profiles → Create → Settings Catalog.

  2. Benenne die Policy (z. B. "iOS 18.4 Deadline").

  3. Klicke auf Add settings → Declarative Device Management → Software Update und wähle alle Optionen aus.

  4. Konfiguriere folgende Einstellungen:

    • Details URL: Hier kannst Du einen Link zu einem internen Wissensdatenbank-Artikel hinzufügen.

    • Target OS version: z. B. 18.4

    • Target build: optional (z. B. 21E219 für 18.4)

    • Target local date time: Gib die Deadline in Deiner Zeitzone an (wird später in UTC konvertiert).

  5. (Optional) Verzögerung bei frisch veröffentlichten Updates:

    • Füge Restrictions → Forced delayed software updates = Enabled hinzu.

    • Setze Enforced software update delay auf z. B. 7 Tage (anstatt des Standardwerts von 30).

Überwachung & Berichterstattung nach den iOS Updates

Softwareupdates im Kasten? Super! Jetzt beginnt aber erst der wichtigste Teil: Überblick bei der Verwendung behalten! Du musst sichergehen, dass die Updates reibungslos laufen und alle Geräte Deiner Organisation auf dem aktuellen Stand sind und bleiben. Wie das am besten geht? Mit Shortcuts!

In der Microsoft Intune-Konsole gibt es einige nützliche Shortcuts, mit denen Du den Status Deiner Geräte schnell und einfach überprüfen kannst. Mit ein paar Klicks erkennst Du auf einen Blick, ob es Probleme gibt oder Geräte zurückliegen. Das hilft, Ausreißer zu erkennen. Du kannst zudem inaktive Geräte automatisch mit Intune entfernen.

Hier zwei Herangehensweisen:

  • Devices → All devices → Columns → OS version: Mit dieser Ansicht kannst Du Deine Geräte schnell nach der Betriebssystemversion sortieren. So erkennst Du Ausreißer sofort und kannst sie gezielt verwalten.
  • Devices → Monitor → iOS Update installation failures: Perfekt, um Dir Fehlerfälle anzeigen zu lassen. Du kannst die Liste als CSV exportieren, um Tickets oder Berichte zu erstellen.
Tipp: Um die Compliance noch besser zu visualisieren, kannst Du mit Microsoft Graph und Power BI automatisierte Dashboards erstellen. So siehst Du täglich, wie viele Geräte den Ziel-Build erreichen.
Screenshot iOS Updates Groups All Users

(Quelle: https://learn.microsoft.com/en-us/intune-education/all-edu-settings-ios)

Praktischer Rollout-Bauplan für Deine iOS-Updates

Zum Schluss wirds noch einmal ganz konkret. Hier ist mein Go-To-Plan, mit dem Du sämtliche Updates auf allen Geräten effizient und sicher verteilst. Die Strategie machts!

  • Starte mit einer Basis: Update alle Geräte zunächst mit Methode 2 auf iOS 18.
  • Wechsel auf Methode 3: Sobald alle Geräte auf iOS 18 laufen, kannst Du auf die strengere Methode 3 umsteigen, um Deadlines durchzusetzen.
  • Lege Fristen fest: Verwende ein Verzögerungsfenster von 7 Tagen für Deine internen QA-Tests. Setze die Deadline dann auf Tag +8 um 00:00 Uhr Server-Lokalzeit.
  • Kommuniziere frühzeitig: Veröffentliche den Zeitplan (z.B. jeden zweiten Sonntag um 23:00 Uhr UTC) in Teams, SharePoint oder per Push-Benachrichtigung über MDM.
  • Überprüfe und reagiere: Kontrolliere den Status über einen gespeicherten Intune-Report und sprich die Nachzügler gezielt an.
  • Wichtigkeit der Informationen: Nutze aktuelle Informationen über Softwareupdates und neue Funktionen, um den Rollout-Bauplan effizient zu planen und durchzuführen.

Bereit, die volle Kontrolle zu übernehmen?

Die strategische Verwaltung von iOS-Updates ist nur ein Teil dessen, was mit Intune möglich ist. Wenn Du Deine gesamte Geräteverwaltung auf das nächste Level heben möchtest, um Deine Unternehmenssicherheit zu maximieren und die Effizienz zu steigern, hol Dir kostenlos meinen Microsoft Intune Guide. Auf über 200 Seiten erkläre ich Dir, wie Du Deinen Tenant mit Intune ganzheitlich absicherst.

Und jetzt? Sichere Dich weiter ab

Du hast jetzt die volle Kontrolle über Deine iOS-Updates und kannst so eine wichtige Sicherheitslücke schließen. Aber das ist erst der Anfang. Um Deine mobile Flotte noch besser zu schützen und die Verwaltung zu optimieren, gibt es weitere Themen, die Dich interessieren könnten:

  • iOS-Geräte in Intune registrieren: In diesem Artikel gehe ich auf die verschiedenen Registrierungstypen es für iOS-Geräte in Intune ein. Du erfährst, wie Du die Registrierung so einstellst, dass sie perfekt zu Deinen Unternehmensanforderungen passt und Du die volle Kontrolle über Deine Geräte bekommst.
  • App-Konfigurationsrichtlinien: Die iOS-Updates sind ein wichtiger Teil der Sicherheit, aber wie verwaltest Du die Apps auf Deinen Geräten? Mit App-Konfigurationsrichtlinien stellst Du sicher, dass alle Apps nach Deinen Vorgaben eingerichtet sind, und vereinfachst die Nutzung für Deine Mitarbeiter. So sparst Du Zeit und erhöhst die Sicherheit der mobilen Apps.
  • Native Mail App blockieren: Für viele Unternehmen ist die Sicherheit von E-Mails besonders wichtig. Ich zeige Dir, wie Du die native Mail-App auf iOS-Geräten blockieren kannst, um sicherzustellen, dass Deine Mitarbeiter ausschließlich über die von Dir verwaltete Outlook-App auf ihre Mails zugreifen. Das gibt Dir volle Kontrolle über sensible Unternehmensdaten.
  • Mobile Device Management (MDM): Mehr geht immer - auch in Sachen Geräteverwaltung! In diesem Artikel gehe ich auf alle wichtigen Grundlagen rund um das Thema Mobile Device Management ein, damit Du die Sicherheit und die Funktionsweise Deiner gesamten mobilen Infrastruktur weiter verbessern kannst, denn regelmäßige iOS-Updates sind nur ein Teil davon.
Visuelle Grafik Microsoft

Bereit, Deinen Microsoft 365 auf das nächste Level zu bringen?

Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere uns bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.

Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog“ geteilt habe. Dort findest Du auch andere Beiträge zu Microsoft Security-Relevanen Themen, u.a. zum Microsoft Defender for Cloud Apps, Microsoft Intune, der Enterprise & Mobility-Suite, dem Microsoft 365 Defender oder der Microsoft Information Protection.

Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.

Wenn Du Fragen hast, melde Dich sehr gerne bei mir!

Teilen0
Teilen0
Teilen0
Twittern0
Aaron Siller auf YouTube: @aaronsiller7722
Der Microsoft Security Experte
Jede Woche ein neues Video
Über Aaron Siller

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

Kontakt mit Aaron aufnehmen
Mehr zu Aaron Siller
Share 0
Share 0
Share 0
Kommentare
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>