Microsoft-Investitionen mit Jamf maximieren: Apple in Intune, Entra und Sentinel integrieren
Intune, Entra und Sentinel wurden nicht für Apple gebaut. Jamf schließt die Mac-Lücke in eurem Microsoft-Stack, ohne neue Tools für euer Team.
Max hat mx-itsolutions 2011 parallel zum Informatikstudium an der TU Darmstadt gegründet. Die Vision war klar, Unternehmen des bestmöglichen IT Support bieten.

Euer Unternehmen läuft auf Microsoft. Eure Teams verwalten Geräte über Intune, die Identitäten liegen in Entra, das Security-Team arbeitet in Microsoft Sentinel und Security Copilot zieht die Fäden zusammen. Ein moderner, ernstzunehmender Stack. Zu Recht seid ihr darauf stolz.
Aber deckt dieser Stack wirklich jedes Gerät in eurer Umgebung ab? Genau an dieser Stelle wird es für Apple-Geräte interessant, und genau hier setzt Jamf an: nicht als Konkurrenz zu Microsoft, sondern als die Apple-native Ebene, die eure bestehenden Microsoft-Investitionen erst vollständig macht.
In diesem Beitrag zeigen wir euch, wo Intune, Entra, Sentinel und Security Copilot bei macOS an ihre Grenzen stoßen, wie Jamf diese Lücken schließt, ohne dass euer Team neue Tools lernen muss, und wie mx-itsolutions die Integration für euch aufsetzt.
Das Wichtigste in Kürze
Eure Microsoft-Tools wurden nicht für Apple gebaut
Die Realität ist: Hier treffen zwei erstklassige Plattformen aufeinander, die unabhängig voneinander entstanden sind. Sentinel, Intune, Defender und Entra sind rund um das Windows-Ökosystem entwickelt. Für Windows sind sie hervorragend. Apples Plattform arbeitet jedoch mit fundamental anderer Architektur, anderen APIs und anderen Management-Frameworks.
Wenn ihr einen Mac in Intune enrollt, bekommt ihr eine Grundausstattung: Enrollment, Remote-Wipe und einige Konfigurationsprofile. Was ihr nicht bekommt, ist die tiefe, native Sichtbarkeit, die macOS gezielt für Apple-Management-Werkzeuge bereitstellt. Diese Lücke zeigt sich an drei Stellen, die für eure Sicherheitslage zählen:
Das Ergebnis ist ein Stack, der auf euren Dashboards lückenlos aussieht, aber genau dort einen stillen, dauerhaften blinden Fleck hat, wo eure Apple-Flotte lebt.
Jamf schließt die Lücke innerhalb der Microsoft-Tools, die ihr schon nutzt
Das Wichtigste an Jamf ist, was es nicht ist: kein Konkurrenzprodukt, kein weiteres Dashboard, kein zusätzlicher Workflow. Jamf ist Apple-Expertise, die direkt in Microsofts Ökosystem integriert und die Werkzeuge, denen euer Team ohnehin vertraut, mit den Apple-spezifischen Daten füttert, die ihnen bisher fehlten. „Better together" ist hier keine Marketing-Floskel, sondern das Prinzip hinter der Jamf-Microsoft-Partnerschaft.
Jamf + Microsoft Intune: die Apple-Tiefe, die Intune fehlt
Intune erledigt die Grundlagenarbeit. Jamf bringt die Apple-Tiefe. Zusammen ergeben sie einheitliche Geräte-Compliance über die gesamte Flotte, Windows und Apple mit gleicher Sorgfalt verwaltet. Der entscheidende Punkt ist die Compliance-Prüfung. Für macOS ist Intunes Checkliste fix und relativ kurz:
Für Windows läuft diese Prüfung tief. Für den Mac ist sie ein Startpunkt, kein vollständiges Bild. Custom-Compliance-Policies für macOS sind in Intune ausdrücklich auf Windows und Linux beschränkt, Apple-Plattformen sind per Design ausgenommen.
Jamfs Compliance-Framework ist nativ für Apple gebaut und geht deutlich weiter. Es kann unter anderem prüfen:
Jedes individuelle Compliance-Signal, das euer Security-Team definieren kann, kann Jamf durchsetzen. Wenn ein Gerät die macOS-Compliance-Prüfung von Intune besteht, heißt das, dass die kurze Checkliste sauber war. Wenn es Jamfs Prüfung besteht, heißt das, dass es eure tatsächlichen Sicherheitsanforderungen erfüllt hat. Für Security-Verantwortliche ist dieser Unterschied enorm: Ein grünes Häkchen ist nur dann etwas wert, wenn vorher die richtigen Fragen gestellt wurden. Euer Team arbeitet weiter in Intune, es vertraut nur nicht länger einem Häkchen, das nie die ganze Geschichte erzählt hat.
Jamf + Microsoft Entra: Identität, die vom ersten Boot an sitzt
Microsoft hat beim Thema macOS-Identität echte Fortschritte gemacht. Platform SSO (PSSO), seit August 2025 allgemein verfügbar, bringt Entra-basierte Authentifizierung bis auf den macOS-Anmeldebildschirm, abgesichert über hardwaregebundene, im Secure Enclave verankerte kryptografische Schlüssel. Der private Schlüssel verlässt das Gerät nie, die Authentifizierung ist phishing-resistent, Touch ID löst die Signatur aus, ohne biometrische Daten an Entra ID zu senden. Für passwortlose Strategien ist das eine ernstzunehmende Fähigkeit.
Wo also passt Jamf hinein? Nicht als Ersatz für PSSO, sondern als die Management-Ebene, die PSSO im großen Maßstab korrekt zum Laufen bringt, und als Lösung für die Szenarien, die PSSO bewusst nicht abdeckt. PSSO ist um einen Trade-off gebaut: Die gewählte Authentifizierungsmethode entscheidet, ob eure Mac-Anmeldedaten hardwaregebunden oder passwort-vereinheitlicht sind. Beides zugleich geht nicht.
Die Wahl zwischen den Modi ist eine Policy-Entscheidung, kein Deployment-Detail. Und PSSO bringt eine reale Konfigurationsfläche mit:
Das sind keine Gründe, PSSO zu meiden. Es sind Gründe, warum die MDM-Ebene zählt, die PSSO verwaltet. Jamf Pro orchestriert das gesamte PSSO-Deployment: Verteilung des Company Portal, Konfiguration der Extensible-SSO-Payloads, SCEP-Profile für die Geräteidentität und der PSSO-Registrierungsstatus als abfragbares Compliance-Attribut, direkt neben Enrollment-Status und Sicherheitslage. Jamf Pro 11.21.1 hat einen eigenen Befehl ergänzt, um den Secure-Enclave-Registrierungsstatus pro Gerät abzufragen. Jamf Pro 11.22.0 meldet über die Conditional-Access.app die Entra-PSSO-Registrierung samt Geräte-ID, User-UPN und Zertifikats-Thumbprint. Kombiniert man Jamfs Device-Attestation mit PSSO unter macOS 26, entsteht eine Sicherheits-Trifecta: Nur ein verifizierter, vertrauenswürdiger Nutzer auf einem verwalteten und authentifizierten Gerät erhält Zugriff auf sichere Cloud-Ressourcen.
Für Organisationen, die Passwort-Parität brauchen und Entra ID neben Okta oder Google Workspace einsetzen, bleibt Jamf Connect die vollständigste Lösung. Jamf Connect ersetzt das macOS-Anmeldefenster durch Cloud-IdP-Authentifizierung, legt lokale Konten aus IdP-Credentials beim Zero-Touch-Enrollment an und hält Passwörter kontinuierlich synchron. Es prüft die Übereinstimmung etwa alle 60 Minuten und aktualisiert dabei auch FileVault und Keychain. Das deckt Entra ID, Okta und Google Workspace ab, nicht nur Entra allein, was für Organisationen zählt, die keine reinen Microsoft-Identity-Shops sind.
Die empfohlene Kombination für Entra-Umgebungen: Jamf Connect übernimmt die lokale Passwort-Synchronisation und die laufenden Workflows, PSSO im Secure-Enclave-Modus übernimmt die phishing-resistente IdP-Authentifizierung per hardwaregebundenem Schlüssel. Jeder macht, was er am besten kann. Was ihr vermeiden solltet: Jamf Connect und PSSO im Passwort-Modus gleichzeitig dasselbe Passwort synchronisieren zu lassen. Wählt einen Mechanismus für die Passwort-Sync und konfiguriert den anderen entsprechend. PSSO ohne Jamf ist eine starke Authentifizierungsfunktion, die sorgfältiges Konfigurationsmanagement verlangt. Jamf mit PSSO ist ein Identitäts- und Management-Fundament, das vom ersten Boot an funktioniert.
Jamf + Microsoft Sentinel: endlich vollständige Telemetrie
Euer SOC lebt in Sentinel. Aber ob es erkennen, untersuchen und reagieren kann, hängt vollständig von der Qualität und Vollständigkeit der Daten ab, die hineinfließen. Microsoft Defender for Endpoint ist dabei eine fähige, gut integrierte Plattform. Seine macOS-Telemetrie deckt Prozessverhalten, Dateisystem-Events, Netzwerkaktivität und Untersuchungspakete ab. Stark ist Defender vor allem bei der Korrelation: Events werden automatisch mit WHOIS-Lookups, Threat-Intelligence und plattformübergreifenden Signalen angereichert. Diese Infrastruktur ist reif und schwer zu replizieren.
Jamf Protect ergänzt genau das, was Defender nicht abdeckt: die Apple-native Signalschicht. Nur in dieser Schicht tauchen Events auf, die ausschließlich über Apples Endpoint Security API sichtbar werden:
Keines dieser Signale steht in Defenders dokumentiertem macOS-Telemetrie-Schema. Jamf Protect ist nativ auf Apples Endpoint Security API gebaut und streamt diese Events direkt in Sentinel. Die Integration mappt auf ASIM-Felder (wo unterstützt), die Event-Daten landen in Custom-Log-Types in eurem Log-Analytics-Workspace. Aktuell fließen zwei primäre Datentypen: Threat-Detection-Events und Netzwerkverkehr (DNS- und HTTP-Aktivität von verwalteten Apple-Endpunkten). Hunting-Queries kombinieren Alert-Daten, Telemetrie und Netzwerkaktivität, mit denselben KQL-Queries, die euer Team ohnehin schreibt.
Das Ergebnis in Sentinel ist additiv, nicht redundant. Defender liefert reifes plattformübergreifendes EDR-Signal und tiefe Untersuchungsfähigkeit. Jamf Protect steuert die Apple-native Schicht bei: die Events aus Apples eigenem Security-Framework, die generische Endpoint-Tools nicht offenlegen. Mac- und Windows-Events nebeneinander, in der Plattform, die euer SOC schon nutzt. Kein neues Tool, kein separater Workflow.
Jamf + Microsoft Security Copilot: KI hilft nur mit dem vollständigen Bild
Microsoft Security Copilot ist eine wirklich mächtige Fähigkeit, aber seine Analyse ist durch die Daten begrenzt, die es erhält. Trägt eure Apple-Flotte nicht die richtige Telemetrie bei, gibt Copilot nicht etwa keine Antwort, sondern die bestmögliche Antwort auf Basis unvollständiger Information. Das ist etwas anderes.
Konkret: Streamen keine Gatekeeper-Erkennungen, kann Copilot sie nicht anzeigen. Fließen keine CVE-Statusänderungen für Apple-Geräte, fehlt der Schwachstellen-Kontext für eure Mac-Flotte vollständig. Mit Jamf-Protect-Telemetrie über Sentinel und aktivem Jamf-Plugin für Security Copilot kann die KI Apple-spezifische Bedrohungen aufdecken, Mac-Aktivität mit Identitäts- und Netzwerk-Events korrelieren und Untersuchungen über die gesamte Endpoint-Flotte hinweg stützen, nicht nur über die Windows-Hälfte. Die KI ist nur so schlau wie die Daten, die ihr ihr gebt.
Die Intune-Frage, und die ehrliche Antwort
„Wir zahlen doch schon für Intune, warum sollten wir ein weiteres Tool ergänzen?" Das ist genau die richtige Frage. Die ehrliche Antwort: weil Intune nicht dafür gebaut wurde, Apple vollständig zu verwalten, und weil die entstehenden Lücken konkret, dokumentiert und folgenreich sind.
Wenn ein Mac Intunes Compliance-Prüfung besteht, heißt das, dass sechs Punkte sauber waren. Es heißt nicht, dass eure Sicherheitsanforderungen bewertet wurden. Keines dieser Signale erscheint in Intunes Compliance-Framework: XProtect-Signaturaktualität, Recovery Lock auf Apple Silicon, TCC-Datenbank-Status und CVE-Exposure über eure Mac-Flotte. Microsofts Basis-Tool Endpoint Analytics ist zudem als Windows-only dokumentiert, Advanced Analytics (Teil des E5-Abos) liefert per Device Query zwar Akkuzustand und Speicher für Apple-Geräte, breiteres Performance-Monitoring, Crash-Reporting und User-Experience-Scoring für Apple bleiben aber undokumentiert.
Das sind keine theoretischen Lücken, sondern dokumentierte Produktgrenzen in Microsofts eigener Dokumentation, die in Organisationen mit relevanter Apple-Flotte reale Angriffsfläche schaffen. Es geht nicht darum, Komplexität hinzuzufügen, sondern blinde Flecken zu schließen, ob ihr sie bemerkt oder nicht.
Jamf ist über den Microsoft Azure Marketplace beziehbar
Einer der häufigsten Reibungspunkte bei einem neuen Security-Tool ist das Budget, nicht weil der Nutzen unklar wäre, sondern weil neue Vendoren neue Beschaffungszyklen, Freigaben und Budgetposten bedeuten. Jamf ist über den Microsoft Azure Marketplace beziehbar, das heißt: Ihr könnt vorhandenes, zugesagtes Azure-Budget auf Jamf anrechnen. Kein neuer Beschaffungszyklus, keine neue Vendor-Freigabe. Das Tool, das eure Apple-Lücke schließt, passt in die kommerzielle Beziehung, die ihr mit Microsoft ohnehin habt. Verfügbar sind die Listings für Jamf for Mac und Jamf for Mobile.
mx-itsolutions richtet die Jamf-Microsoft-Integration für euch ein
Eine Integration ist nur so gut wie ihre Konfiguration. Genau hier kommen wir ins Spiel: mx-itsolutions setzt die Jamf-Microsoft-Integration für Kunden und Interessenten auf. Wir verbinden Jamf sauber mit Intune, Entra und Sentinel, definieren gemeinsam mit euch die passenden Compliance-Benchmarks (nativ gegen CIS, NIST und DISA STIG), orchestrieren PSSO und Jamf Connect für eure Identitätsstrategie und sorgen dafür, dass die Apple-native Telemetrie sauber in euer SIEM fließt.
Als Apple-fokussierter IT-Partner und Apple Premium Technical Partner kennen wir sowohl die Microsoft-Seite als auch die Apple-Konfigurationsschlüssel. Die nötigen Jamf-Lizenzen (Jamf-Bundle inklusive MDM, Protect und ZTNA) bezieht ihr direkt über uns, auf Wunsch auch unter der sonst üblichen 25-Geräte-Mindestabnahme, und in unseren Service-Paketen Gold, Platin und Diamant sind sie bereits enthalten.
Kostenfreier JAMF Health-Check für Neukunden
Für Neukunden bieten wir in diesem Zuge einen kostenfreien JAMF Health-Check an. Wir prüfen eure bestehende Umgebung strukturiert nach der bewährten Keep-Drop-Add-Methode:
Das Ergebnis ist eine klare, priorisierte Empfehlung inklusive eines konkreten Fahrplans, um eure Apple-Flotte vollständig in eure Microsoft-Umgebung zu integrieren. Einen Überblick über die Konditionen findet ihr in unseren Beiträgen zu den JAMF Lizenzmodellen und Kosten und zu den Apple MDM Kosten.
Häufige Fragen zur Jamf-Microsoft-Integration
Ersetzt Jamf Microsoft Intune?
Nein. Jamf ersetzt weder Intune noch Entra, Sentinel oder Security Copilot. Jamf ist die Apple-native Ebene, die diese Microsoft-Werkzeuge mit den Apple-spezifischen Daten ergänzt, die ihnen für macOS und iOS fehlen. Euer Team arbeitet weiter in den gewohnten Microsoft-Oberflächen.
Welche Einstellungen prüft Intune bei macOS-Compliance und was fehlt?
Intunes macOS-Compliance-Prüfung bewertet sechs Einstellungen: OS-Version, Passwort, FileVault, System Integrity Protection, Firewall und Gatekeeper. Nicht erfasst werden unter anderem XProtect-Signaturaktualität, Recovery Lock auf Apple Silicon, der TCC-Datenbank-Status und CVE-Exposure. Diese Signale liefert Jamf Pro.
Was bringt Jamf zusätzlich zu Microsoft Defender in Sentinel?
Defender deckt auf dem Mac Prozessverhalten, Dateisystem-, Netzwerk-Events und Untersuchungspakete ab. Jamf Protect ergänzt die Apple-native Signalschicht aus Apples Endpoint Security API, also Gatekeeper-Erkennungen, XProtect-Events und PTY-Events. Diese Events streamt Jamf Protect über eine ASIM-Zuordnung direkt in Sentinel.
Wie hilft Jamf bei Platform SSO mit Microsoft Entra?
Jamf Pro orchestriert das gesamte PSSO-Deployment, verteilt das Company Portal, konfiguriert die Extensible-SSO-Payloads und SCEP-Profile und macht den Secure-Enclave-Registrierungsstatus flottenweit abfragbar. Für Passwort-Parität und Multi-IdP-Szenarien ergänzt Jamf Connect die passende Rolle.
Kann ich Jamf über mein Azure-Budget beziehen?
Ja. Jamf ist über den Microsoft Azure Marketplace beziehbar, sodass Organisationen mit zugesagtem Azure-Budget dieses auf Jamf anrechnen können, ohne neuen Beschaffungszyklus. Die Lizenzen könnt ihr alternativ direkt über mx-itsolutions beziehen.
Richtet mx-itsolutions die Integration ein?
Ja. mx-itsolutions verbindet Jamf mit Intune, Entra und Sentinel, konfiguriert Compliance-Benchmarks, Identität und Telemetrie und übernimmt die laufende Betreuung. Für Neukunden gibt es zusätzlich einen kostenfreien JAMF Health-Check nach der Keep-Drop-Add-Methode.
Fazit
Eure Microsoft-Investitionen sind stark. Jamf macht sie vollständig. PSSO, über Jamf Pro ausgerollt und überwacht. Compliance-Benchmarks, die nativ gegen CIS, NIST und DISA STIG prüfen. Telemetrie aus Apples Endpoint Security API, die mit nativem ASIM-Parser in Sentinel fließt. CVE-Statusänderungen für jeden Mac in eurer Flotte. Recovery Lock, XProtect-Erkennungen, also Signale, die nur existieren, wenn ihr Apple so verwaltet, wie Apple gebaut wurde.
Jedes Gerät, jeder Endpunkt, jedes Signal, in den Plattformen, auf die euer Team ohnehin setzt. Die Frage war nie Microsoft oder Jamf. Die Frage ist, was mit eurer Sicherheitslage passiert, wenn ihr aufhört, euch zwischen beiden zu entscheiden. Ihr wollt eure Apple-Flotte sauber in euren Microsoft-Stack integrieren oder eure bestehende Jamf-Umgebung prüfen lassen? Dann nutzt unsere kostenlose IT-Analyse oder bucht direkt ein kostenfreies Erstgespräch.




