March 23, 2026

macOS-Management: JAMF und Intune im Team

JAMF ist der Platzhirsch für Apple-Management, Intune der Teamplayer für M365. Wie beide zusammen macOS-Flotten absichern – kompakt erklärt.

macOS Management mit JAMF und Intune – mx-itsolutions
Inhaltsverzeichnis
Example H2
Kostenfreie IT-Analyse
Kostenfreie IT-Analyse

Wenn es um professionelles macOS-Management geht, führt kein Weg an JAMF vorbei. Trotzdem taucht in vielen IT-Abteilungen die Frage auf: Was ist eigentlich mit Intune? Microsoft bewirbt seine Plattform als Allzweckwaffe für Endgeräte aller Art – Windows, macOS, iOS, Android. Die Wahrheit: Beide Tools haben ihre Stärken, und sie schließen sich keineswegs aus. Im Gegenteil. Das Konzept „JAMF Managed, Intune Compliant" kombiniert die Tiefe von JAMF mit der Conditional-Access-Power von Intune und Entra ID. Für Unternehmen mit Apple-Hardware und Microsoft-Cloud-Diensten ist das oft die sauberste Lösung.

JAMF ist kein MDM – JAMF ist die Plattform für Apple-Security

Viele denken bei JAMF nur an Mobile Device Management. Das greift zu kurz. JAMF Pro ist tatsächlich das Rückgrat für Geräteverwaltung: Konfigurationsprofile pushen, Apps verteilen, Compliance prüfen. Aber das ist nur ein Teil der Geschichte.

JAMF ist mittlerweile eine komplette Security-Plattform für Apple-Geräte:

  • JAMF Pro: Das klassische MDM – event-gesteuert, mit Root-Rechten, tief ins Betriebssystem eingebettet
  • JAMF Protect: Endpoint Detection & Response (EDR) speziell für macOS. Verhaltensbasierte Bedrohungserkennung, kein Signatur-Hokuspokus
  • JAMF Connect: Zero Trust Network Access (ZTNA) mit direkter Entra-ID-Integration. Single-Sign-On ohne lokale User-Accounts

Was JAMF von generischen MDM-Lösungen unterscheidet, ist die lokale Intelligenz. JAMF läuft nativ auf dem Mac, kennt jedes macOS-Feature und reagiert in Echtzeit – nicht erst beim nächsten Check-in.

Root-Rechte und Event-gesteuerte Policies

Intune kann Konfigurationsprofile an Macs senden. Das stimmt. Aber JAMF hat eine Verwurzelung im System, die Microsoft schlicht nicht erreicht. JAMF Pro läuft mit Admin-Rechten, installiert Packages, führt Skripte aus, greift auf Kernel-Extensions zu und reagiert auf Events wie WLAN-Wechsel, Neustart oder Login.

Ein Beispiel: Du willst, dass sich Macs automatisch mit dem richtigen VPN verbinden, sobald sie das Büro verlassen. JAMF erkennt den Netzwerkwechsel, führt ein Skript aus, startet die VPN-Verbindung. Intune? Wartet auf den nächsten Policy-Check-in – wenn überhaupt.

JAMF real-time event-based management
Feature JAMF Pro Intune für macOS
Native macOS-Integration Root-Level, vollständig eingebettet Eingeschränkt auf Apple-APIs
Event-gesteuerte Policies Ja (Netzwerkwechsel, Login, etc.) Nein (nur Check-in-basiert)
Skript-Ausführung Unbegrenzt, mit Admin-Rechten Eingeschränkt, nur Shell-Skripte
Lokale User-Verwaltung Volle Kontrolle inkl. FileVault Basis-Profile, kein Account-Setup
Zero-Touch Deployment Ja, über Apple Business Manager Ja, über Apple Business Manager
App-Installation PKG, DMG, App Store, Self Service Nur über macOS-Apps und VPP

Intune ist kein Feind – sondern Teamplayer für Microsoft 365

Hier kommt das große Missverständnis: JAMF oder Intune. Die Frage ist falsch gestellt. Für viele Unternehmen lautet die Antwort: Beide.

Intune ist die native Endpunktverwaltungslösung von Microsoft und spielt seine Stärken dort aus, wo Microsoft-Dienste im Zentrum stehen. Wenn eure Mitarbeiter mit Microsoft 365, Teams, SharePoint und OneDrive arbeiten, bringt Intune etwas mit, das JAMF allein nicht kann: Conditional Access über Entra ID (früher Azure AD).

Conditional Access – der Compliance-Hebel

Conditional Access ist die Methode, mit der Microsoft den Zugriff auf M365-Dienste steuert. Die Regel lautet: Nur konforme Geräte dürfen auf Exchange, SharePoint, Teams zugreifen. Intune prüft Compliance: Ist FileVault aktiviert? Läuft eine aktuelle macOS-Version? Ist das Gerät registriert?

Was Intune leistet, ist einfach: Es meldet den Compliance-Status an Entra ID. Und Entra ID entscheidet, ob der User Zugriff bekommt. Das ist elegant, wenn euer Sicherheitskonzept auf Microsoft-Cloud-Diensten basiert.

JAMF kann macOS konfigurieren, aber nicht mit Entra ID Conditional Access sprechen. Zumindest nicht allein. Dafür gibt es JAMF Connect (ZTNA) – aber dazu gleich mehr.

JAMF Managed, Intune Compliant – das Hybrid-Modell

Das Setup sieht in der Praxis so aus:

  1. JAMF Pro übernimmt die gesamte macOS-Konfiguration: Policies, Apps, Skripte, User-Verwaltung, Netzwerk-Settings
  2. Intune registriert die Macs zusätzlich und meldet den Compliance-Status an Entra ID
  3. Entra ID Conditional Access prüft, ob das Gerät konform ist, bevor Zugriff auf M365 gewährt wird

Klingt nach doppeltem Aufwand? Ist es nicht. JAMF managt, Intune meldet. Beide Tools bleiben in ihrer Lane. JAMF kümmert sich um die technische Tiefe, Intune um die Compliance-Integration in die Microsoft-Welt.

Was ihr dafür braucht

  • Apple Business Manager für Zero-Touch Enrollment
  • JAMF Pro als primäres MDM
  • Microsoft Intune-Lizenz (in vielen M365-Plänen enthalten)
  • Entra ID P1 für Conditional Access
  • Integration zwischen JAMF und Intune über die JAMF-Intune-Connector

Die offizielle Microsoft-Dokumentation zu Intune beschreibt die Einrichtung im Detail. In der Praxis läuft es so: JAMF registriert die Macs, sendet Compliance-Daten an Intune, Intune prüft diese Daten und meldet sie an Entra ID. Conditional-Access-Policies in Entra ID greifen dann entsprechend.

JAMF and Intune integration workflow

JAMF Protect und JAMF Connect – die Security-Säulen

JAMF Pro allein deckt Device Management ab. Aber moderne Sicherheit braucht mehr. Deshalb gibt es zwei weitere Module, die JAMF zur Rundumabsicherung machen.

JAMF Protect – macOS EDR ohne Kompromisse

Traditionelle Antiviren-Software für Mac ist oft ein schlechter Witz. Signatur-basiert, ressourcenhungrig, und gegen moderne Bedrohungen nutzlos. JAMF Protect geht einen anderen Weg: verhaltensbasierte Erkennung, maschinelles Lernen, Integration in macOS-Sicherheitsfunktionen wie XProtect und Gatekeeper.

Was JAMF Protect leistet:

  • Echtzeit-Bedrohungserkennung basierend auf Prozessverhalten
  • Schutz vor Malware, Ransomware, Zero-Day-Exploits
  • Compliance-Checks für macOS-Sicherheitseinstellungen (FileVault, Firewall, Gatekeeper)
  • Forensik und Incident-Response-Daten

JAMF Protect ersetzt klassische Endpoint-Security-Lösungen und läuft dabei leichtgewichtiger als jede Norton- oder McAfee-Installation. Für Unternehmen, die Apple-Geräte professionell absichern wollen, ist es die Standard-Wahl.

JAMF Connect – Zero Trust Network Access

JAMF Connect ist ein ZTNA-Tool, das zwei Probleme löst:

  1. Lokale macOS-User mit Cloud-Identitäten synchronisieren: Mitarbeiter melden sich mit ihrer Entra-ID (Microsoft) oder Okta-Identität am Mac an – kein separates lokales Passwort nötig
  2. Zero-Trust-Zugriff auf Unternehmensressourcen: Authentifizierung und Autorisierung laufen über Cloud-Identity-Provider, ohne VPN

JAMF Connect baut die Brücke zwischen macOS und eurem Identity-Provider. Ihr braucht kein Active Directory mehr für Macs. Mitarbeiter loggen sich mit ihrem Microsoft-Account ein, und JAMF Connect synchronisiert Passwörter, FileVault-Keys und Keychains.

Das ist besonders praktisch, wenn ihr bereits auf Microsoft 365 setzt. JAMF Connect integriert sich nahtlos mit Entra ID und macht Conditional Access direkt am Login-Screen nutzbar.

Intune allein für macOS? Funktioniert – aber mit Grenzen

Kann man Macs auch nur mit Intune verwalten? Ja. Sollte man? Das hängt davon ab.

Intune unterstützt macOS über Apples Device-Management-APIs. Ihr könnt Konfigurationsprofile senden, Apps verteilen, Compliance-Checks durchführen. Für Unternehmen mit wenigen Macs in einer Windows-Landschaft kann das ausreichen. Die IT-Abteilung hat nur ein Tool, eine Konsole, eine Lizenz.

Aber:

  • Intune hat keinen direkten Zugriff auf macOS-Systemfunktionen
  • Skript-Ausführung ist limitiert
  • Self-Service-Portale für Nutzer sind rudimentär
  • Kein event-gesteuertes Management
  • Keine lokale User-Verwaltung oder FileVault-Integration

Wenn Apple-Geräte nur Randerscheinung sind, mag Intune genügen. Sobald macOS strategisch wichtig wird – weil Designer, Developer oder das ganze Team auf Mac arbeitet – stößt Intune an Grenzen.

Szenario Empfehlung
5-10 Macs in Windows-Umgebung Intune allein kann reichen
50+ Macs, Apple-zentrierte Workflows JAMF Pro ist Pflicht
M365-lastig, Compliance zentral JAMF + Intune Hybrid
Reine Apple-Umgebung, kein Microsoft JAMF Pro + JAMF Protect + JAMF Connect

mx-itsolutions begleitet euch in beiden Welten

Ob reine JAMF-Implementierung oder hybrides JAMF-Intune-Setup – mx-itsolutions hat beide Welten im Griff. Als einziger Apple Premium Technical Partner in Deutschland (höchster Status im Apple Consultants Network) und zertifizierter JAMF-Partner mit mehreren JAMF 400-Experten setzen wir Apple MDM & Jamf Management professionell um.

Das bedeutet konkret:

  • JAMF-Pro-Deployment: Von der Lizenzplanung über Zero-Touch-Enrollment bis zur Policy-Konfiguration
  • JAMF Protect-Integration: Endpoint Security speziell für eure Macs, abgestimmt auf eure Sicherheitsanforderungen
  • JAMF Connect mit Entra ID: Single-Sign-On, Cloud-Identity-Integration, kein Active Directory nötig
  • JAMF-Intune-Hybrid-Setup: Conditional Access für M365, Compliance-Reporting, nahtlose Integration

Wir richten nicht einfach Tools ein. Wir bauen eure Apple-IT-Infrastruktur so auf, dass sie mit eurem Geschäft wächst – ob IT für Agenturen, Kanzleien oder wachsende KMUs.

Hybrid JAMF Intune architecture

Konkrete Deployment-Szenarien

Theorie ist gut, Praxis ist besser. Hier drei typische Szenarien, wie JAMF und Intune zusammenspielen.

Szenario 1: Kreativagentur mit 80 Macs und Microsoft 365

Eine Agentur arbeitet komplett auf macOS. Adobe Creative Cloud, Figma, Sketch – alles Mac-nativ. Kommunikation und Dateiablage laufen über Microsoft 365 und Teams.

Setup:

  1. JAMF Pro verwaltet alle Macs: Apps, Policies, Skripte, Self-Service-Portal
  2. JAMF Protect überwacht Bedrohungen und sichert Endpoints ab
  3. Intune meldet Compliance-Status an Entra ID
  4. Conditional Access prüft: FileVault aktiv? macOS aktuell? Gerät registriert?
  5. Zugriff auf SharePoint, Teams, Exchange nur für konforme Geräte

Ergebnis: Volle macOS-Kontrolle durch JAMF, gleichzeitig Microsoft-Cloud-Security durch Conditional Access. Beide Tools arbeiten parallel, ohne sich zu behindern.

Szenario 2: Mittelständische Kanzlei mit hybrider Umgebung

Eine Rechtsanwaltskanzlei hat 30 Macs für Partner und Associates, 50 Windows-PCs für Assistenz und Verwaltung. Microsoft 365 ist Standard, Cloud Services sind zentral.

Setup:

  1. Intune verwaltet alle Windows-Geräte
  2. JAMF Pro verwaltet alle Macs
  3. Beide senden Compliance-Daten an Entra ID
  4. Conditional-Access-Policies gelten plattformübergreifend
  5. IT-Security wird zentral über Entra ID gesteuert

Ergebnis: Eine zentrale Identity-Plattform (Entra ID), zwei spezialisierte Management-Tools (JAMF für Mac, Intune für Windows), einheitliche Security-Policies.

Szenario 3: Startup mit 100% Remote-Team

Ein Tech-Startup arbeitet vollständig remote. Alle Mitarbeiter nutzen MacBooks. Büro gibt es nicht. Sicherheit muss trotzdem stimmen.

Setup:

  1. JAMF Pro mit Zero-Touch-Deployment: Neue Macs werden direkt nach Hause geschickt, beim ersten Start automatisch konfiguriert
  2. JAMF Connect für Cloud-basierte Logins: Mitarbeiter melden sich mit Microsoft- oder Okta-Account am Mac an
  3. JAMF Protect für Endpoint Security ohne VPN-Zwang
  4. Intune meldet Compliance an Entra ID: Conditional Access schützt M365-Daten

Ergebnis: Sicheres Remote-Setup ohne physisches IT-Office. Mitarbeiter arbeiten von überall, trotzdem bleibt alles compliant und geschützt.

Was kostet das eigentlich?

Kosten sind immer ein Thema. JAMF ist nicht kostenlos, Intune auch nicht. Aber die Frage ist: Was kostet es, wenn Sicherheit fehlt oder IT-Management ineffizient läuft?

Typische Lizenzkosten (2026, ungefähre Richtwerte):

  • JAMF Pro: ca. 5-8 € pro Gerät/Monat (je nach Volumen)
  • JAMF Protect: ca. 3-5 € pro Gerät/Monat
  • JAMF Connect: ca. 2-4 € pro Gerät/Monat
  • Microsoft Intune: ca. 5-7 € pro User/Monat (oft in M365 E3/E5 enthalten)
  • Entra ID P1: ca. 5 € pro User/Monat (für Conditional Access nötig)

Für eine Firma mit 50 Macs bedeutet das:

  • JAMF Pro + Protect + Connect: ca. 500-850 €/Monat
  • Intune + Entra ID P1 (falls nicht in M365 enthalten): ca. 500 €/Monat

Klingt nach viel? Vergleicht das mal mit den Kosten eines einzigen Sicherheitsvorfalls, einer verlorenen Datei oder einer nicht-konformen DSGVO-Situation.

Fazit ohne Fazit-Überschrift

JAMF und Intune sind keine Konkurrenten – sie ergänzen sich. JAMF bringt die Tiefe, die macOS braucht. Intune bringt die Microsoft-Integration, die viele Unternehmen nutzen. Zusammen ergeben sie ein Setup, das Apple-Geräte professionell managt und gleichzeitig in Microsoft-Cloud-Infrastrukturen einbettet.

Die Entscheidung „JAMF oder Intune" ist die falsche Frage. Die richtige lautet: Wie kombiniere ich beide Tools optimal für meine Anforderungen?

JAMF ist der Platzhirsch für Apple-Management, Intune der natürliche Partner für Microsoft-Dienste. Beide zusammen schaffen ein Setup, das Apple-Geräte tief managt und gleichzeitig in Cloud-Security-Konzepte einbettet. Als einziger Apple Premium Technical Partner in Deutschland begleitet mx-itsolutions GmbH euch bei beiden Welten – von der reinen JAMF-Implementierung über hybride JAMF-Intune-Setups bis zur kompletten Apple-IT-Infrastruktur mit Helpdesk, Cloud-Integration und Security. Ob Agentur, Kanzlei oder wachsendes KMU – wir bauen eure Apple-IT so auf, dass sie mit eurem Geschäft skaliert.