JAMF Pro vs. Microsoft Intune für Apple: Der direkte Vergleich 2026

Wer Macs und iPhones im Unternehmen zentral verwalten will, landet in der Regel bei zwei Plattformen: JAMF Pro und Microsoft Intune. Beide sind etablierte MDM-Lösungen. Gleichwertig sind sie nicht. Als erster und einziger Apple Premium Technical Partner in Deutschland hat mx-itsolutions beide Plattformen in Produktionsumgebungen gesehen und migriert. Die kurze Version vorab: Bei Apple-dominierten Flotten ist JAMF Pro technisch überlegen. Bei gemischten Windows-Umgebungen mit wenigen Macs kann Intune ausreichen. Der Artikel erklärt, warum, und liefert ein Entscheidungs-Framework.

Was leistet ein MDM-System im Unternehmen

Mobile Device Management bezeichnet die zentrale Verwaltung von Endgeräten aus einer Administrationskonsole. Die Kernfunktionen decken fünf Bereiche ab: Enrollment zur Aufnahme von Geräten in die Verwaltung, die Konfiguration von Einstellungen über Policies und Profile, die App-Verteilung über VPP oder Store-Integrationen, das Security-Management mit Verschlüsselung, Passwort-Policies und Compliance-Prüfungen sowie das Reporting über Inventar, Compliance und Nutzung.

Der Unterschied zwischen JAMF Pro und Intune liegt nicht in der Frage, ob diese Bereiche abgedeckt werden. Beide Plattformen können grundsätzlich alle fünf. Der Unterschied liegt in der Tiefe und Geschwindigkeit der Apple-Unterstützung.

JAMF Pro: Ausschließlich für Apple entwickelt

JAMF Pro verwaltet nur Apple-Geräte. macOS, iOS, iPadOS, tvOS, visionOS. Keine Windows-, Android- oder Linux-Unterstützung. Diese Fokussierung ist die entscheidende strategische Eigenschaft der Plattform.

Volle Apple-API-Unterstützung am Release-Tag

Apple veröffentlicht jährlich mit macOS, iOS und iPadOS neue Management-APIs. Beispiele sind Declarative Device Management, Managed Apple IDs im Enterprise-Bereich, Shared iPad for Business, Endpoint Security Framework und Software Update Enforcement. JAMF unterstützt diese APIs in der Regel am Tag der Apple-Veröffentlichung. Microsoft Intune folgt typischerweise mit mehreren Wochen bis Monaten Verzögerung, bei komplexeren APIs teils erst im nächsten Service-Release.

Für Unternehmen, die neue macOS- oder iOS-Versionen schnell ausrollen wollen, hat das direkte Konsequenzen. Die Apple-für-Unternehmen-Strategie lebt von der zeitnahen Unterstützung neuer Betriebssystemfunktionen.

Tiefe Apple Business Manager Integration

Apple Business Manager ist das Fundament jedes professionellen Apple-Managements. Automated Device Enrollment, Managed Apple IDs, Volume Purchase Program und Shared iPad laufen alle über ABM. JAMF Pro nutzt die volle Tiefe dieser Integration. Intune bindet ABM ebenfalls an, aber mit reduziertem Funktionsumfang. Insbesondere bei Return to Service für Leih-iPads, Shared iPad für wechselnde Nutzer oder Custom Setup Assistant Panels zeigen sich die Grenzen.

Granulare macOS-Konfiguration

macOS hat über 2.000 dokumentierte Configuration-Profile-Keys. JAMF unterstützt praktisch alle. Intune unterstützt eine Teilmenge über die GUI und erlaubt für den Rest Custom-Profile via XML-Upload. Das funktioniert, ist aber fehleranfälliger und schlechter wartbar. Wer Einstellungen wie Login Window Customization, System Extension Allowlisting, Privacy Preferences Policy Control (PPPC) oder spezifische XProtect-Konfigurationen verwalten muss, arbeitet in JAMF Pro deutlich produktiver.

JAMF Protect und JAMF Connect als native Ergänzungen

JAMF bietet über JAMF Pro hinaus zwei native Zusatzprodukte. JAMF Protect ist eine Endpoint-Security-Lösung ausschließlich für macOS und iOS, die auf dem Apple Endpoint Security Framework aufbaut. JAMF Connect ist eine Identity-Lösung, die Cloud-IdP-Anmeldungen (Microsoft Entra ID, Okta, Google) direkt in den macOS-Login-Screen bringt. Beide integrieren sich nahtlos in JAMF Pro und nutzen die gemeinsame Policy-Engine. Intune bietet keine vergleichbaren nativen Apple-Lösungen und setzt für Endpoint Security auf Microsoft Defender for Endpoint, der auf macOS läuft, aber nicht auf dem Apple-nativen Security-Stack aufbaut.

Microsoft Intune: Stark in Microsoft-dominierten Umgebungen

Intune ist Teil der Microsoft Intune Suite (früher Microsoft Endpoint Manager) und deckt Windows, Android, iOS, iPadOS und macOS ab. In Unternehmen mit überwiegend Windows-Geräten und wenigen Macs ist Intune eine sinnvolle Wahl, insbesondere wenn Microsoft 365 Business Premium oder eine EMS-Lizenz bereits vorhanden ist.

Stärken in reinen Microsoft-Umgebungen

Die enge Verzahnung mit Microsoft Entra ID (ehemals Azure Active Directory) ist der größte Vorteil von Intune. Conditional Access, Identity Protection und Privileged Identity Management greifen ineinander. Für Windows-Geräte ist Intune die State-of-the-Art-Plattform mit vollem Zugriff auf Windows-spezifische Features wie Autopilot, Windows Update for Business und den Configuration Service Provider.

Für die Integration zwischen iOS-Geräten und Microsoft 365 funktioniert Intune in Standard-Szenarien solide. E-Mail-Konfiguration, Teams-App-Verteilung, Outlook-Protection-Policies und grundlegendes iPhone-Management sind abgedeckt.

Wo Intune bei Apple an Grenzen stößt

Die Einschränkungen zeigen sich in vier Bereichen. Erstens bei der Geschwindigkeit neuer Apple-Funktionen: Declarative Device Management kam bei Intune verzögert und zunächst nur mit Teil-Unterstützung. Zweitens bei granularen macOS-Konfigurationen: Viele Profile-Keys sind nur über Custom-XML erreichbar, was höheren Admin-Aufwand bedeutet. Drittens bei Workflow-Komplexität: Zero-Touch-Deployment läuft in Intune, ist aber aufwändiger zu konfigurieren als in JAMF Pro. Viertens beim Apple-spezifischen Support: Der Microsoft-Support hat tiefe Windows-Expertise, für Apple-spezifische Probleme ist die Antwortzeit und Lösungsqualität regelmäßig schwächer.

JAMF Pro und Intune: Direkter Feature-Vergleich

Die folgende Tabelle stellt die wichtigsten Management-Dimensionen gegenüber. Die Bewertung basiert auf Projekterfahrung und der offiziellen Produkt-Dokumentation beider Hersteller.

Wann Intune ausreicht und wann JAMF Pro Pflicht wird

Die Entscheidung zwischen beiden Plattformen ist selten Schwarz-Weiß. Drei Szenarien haben sich als Orientierung bewährt.

Szenario 1: Weniger als 20 Apple-Geräte in Windows-dominierter Umgebung

Wenn die Flotte zu 80 Prozent oder mehr aus Windows-Geräten besteht und Apple nur ein Randsegment ist, kann Intune die pragmatische Wahl sein. Die bestehende Microsoft-365-Lizenzierung wird mitgenutzt, es fällt keine zusätzliche Plattform-Komplexität an, und Standard-Szenarien wie E-Mail, Teams und einfache Compliance funktionieren. Der Nachteil: Die Apple-Nutzer bekommen nicht die Tiefe, die auf der Plattform möglich wäre.

Szenario 2: 20 bis 50 Apple-Geräte oder Apple-Anteil über 30 Prozent

In dieser Zone lohnt sich die genauere Analyse. Die Frage ist weniger technisch als organisatorisch. Gibt es Apple-Expertise im IT-Team? Wie kritisch sind die Apple-Nutzer für das Geschäft? Arbeiten Creative-, Engineering- oder Executive-Teams auf Macs? In diesen Fällen ist der technische Vorsprung von JAMF Pro spürbar. Das JAMF Business Plan mit reduziertem Funktionsumfang (ehemals JAMF Now) oder JAMF for K-12 können Einstiegsoptionen sein.

Szenario 3: Apple-first oder über 50 Apple-Geräte

In Apple-first-Umgebungen und bei Flotten über 50 Apple-Geräten ist JAMF Pro die technisch überlegene Wahl. Die Kombination aus Release-Day-Unterstützung, Tiefe der Konfiguration, nativen Security-Produkten und Apple-spezifischem Support zahlt sich operativ aus. Agenturen, Kanzleien, Consulting-Firmen und technologie-nahe Unternehmen fallen meistens in dieses Szenario.

JAMF und Microsoft: Kein Entweder-oder

Ein häufig übersehener Punkt: JAMF und Microsoft sind keine Konkurrenten im Identity- und Security-Stack. JAMF Pro integriert sich tief in Microsoft-Dienste, und für viele Unternehmen ist die Kombination aus JAMF Pro für das Apple-Management und Microsoft Entra ID für Identity die produktivste Architektur.

Device Compliance mit Microsoft Entra ID und Intune

Die Device-Compliance-Integration ersetzt seit JAMF Pro 10.4 das frühere Conditional-Access-Feature. JAMF Pro prüft den Compliance-Status eines Macs oder iPhones, sendet das Ja-oder-Nein-Ergebnis an Microsoft, und Microsoft setzt auf Basis dieses Status Conditional-Access-Regeln durch. Der Mac bekommt nur Zugriff auf Microsoft-365-Ressourcen, wenn er als compliant gemeldet ist. Das ist eine der meistgenutzten Zero-Trust-Integrationen im Apple-Mittelstand.

Single Sign-On mit Microsoft Entra ID

JAMF Pro lässt sich mit Microsoft Entra ID als Cloud-Identity-Provider verbinden. Administratoren melden sich mit ihrer Firmen-Entra-ID an der JAMF-Pro-Konsole an. Das gleiche gilt für JAMF Security Cloud und macOS Security Cloud. Für Endanwender verbindet JAMF Connect die macOS-Anmeldung direkt mit Entra ID, sodass ein Mitarbeiter den Mac mit seinem Microsoft-365-Passwort öffnet.

JAMF Protect Telemetrie nach Microsoft Sentinel

JAMF Protect sendet Event-Daten von macOS-Geräten in einem Common-Event-Format-Stream an Microsoft Sentinel. Security-Teams erhalten damit die gleiche Sichtbarkeit auf macOS-Events wie auf Windows-Events. Die Integration nutzt Sentinel-Workbooks und Analytic Rules, die von JAMF vorkonfiguriert zur Verfügung gestellt werden.

Power BI für JAMF-Reports

Die JAMF-Pro-Power-BI-App bringt Inventory-Daten, Extension Attributes, Applications und Smart Groups direkt in Power-BI-Dashboards. Das ist besonders für Unternehmen interessant, die ohnehin mit Power BI als Reporting-Standard arbeiten und JAMF-Daten in bestehende Business-Intelligence-Workflows einfügen wollen.

Security Copilot Plugin

Ein Plugin für Microsoft Security Copilot erlaubt es Security-Admins, JAMF-Pro-Device-Informationen in natürlicher Sprache abzufragen, ohne die JAMF-Pro-Konsole öffnen zu müssen. Nach einem Security-Event kann der Admin direkt im Copilot-Chat Inventardaten abrufen.

Kosten im Vergleich

Die nominellen Lizenzkosten sind nicht der entscheidende Kostenfaktor. Total Cost of Ownership schließt Setup-Aufwand, laufende Administration und Migrations-Risiken ein.

JAMF Pro Lizenzkosten

JAMF Pro startet bei 4,17 Euro pro Gerät und Monat bei jährlicher Zahlung, Stand 2026. Bei 100 Geräten sind das rund 5.000 Euro pro Jahr. Für kleinere Umgebungen bietet JAMF Business-Tarife mit reduziertem Funktionsumfang ab etwa 3 Euro pro Gerät und Monat. JAMF Protect kostet zusätzlich rund 5 Euro pro Gerät und Monat, JAMF Connect ebenfalls etwa 5 Euro pro Gerät und Monat. Für ein voll ausgebautes JAMF-Trio (Pro, Protect, Connect) liegen die Lizenzkosten bei rund 14 Euro pro Gerät und Monat.

Microsoft Intune Lizenzkosten

Intune ist in Microsoft 365 Business Premium (22 Euro pro Nutzer und Monat, 2026) und in Microsoft 365 E3 und E5 enthalten. Als Standalone-Lizenz kostet Intune ab etwa 8 Euro pro Nutzer und Monat. Die Microsoft-Intune-Suite mit erweiterten Features liegt bei rund 10 Euro pro Nutzer und Monat. Da Intune meist bereits über bestehende Microsoft-365-Lizenzen abgedeckt ist, erscheint die Lösung auf den ersten Blick kostenlos. Das stimmt nur bei Erstbeschaffung ohne Apple-Fokus.

Operative Kosten und versteckte Aufwände

Die reinen Lizenzkosten sind nur ein Teil der Rechnung. Drei operative Faktoren wirken stärker. Setup-Aufwand: JAMF Pro ist in einer Apple-only-Umgebung schneller eingerichtet als Intune in gemischten Szenarien. Administrations-Aufwand: Jede Custom-XML-Konfiguration in Intune bedeutet mehr Wartungsaufwand als die GUI-Konfiguration in JAMF. Onboarding-Zeit: In einem Praxisprojekt mit 38 Macs bei einer Frankfurter Unternehmensberatung sank die Onboarding-Zeit pro Gerät nach dem Wechsel von Intune zu JAMF Pro von 4 Stunden auf 20 Minuten. Support-Tickets gingen um rund 40 Prozent zurück. Diese operative Effizienz gleicht höhere nominelle Lizenzkosten typischerweise innerhalb von 6 bis 12 Monaten aus. Eine vollständige TCO-Rechnung mit Tabellen für drei Unternehmensgrößen findet sich im Artikel zu JAMF Pro Kosten und ROI.

Migration von Intune zu JAMF Pro

Die Migration von Intune zu JAMF Pro ist ein häufiger Weg in wachsenden Apple-Umgebungen. Der Ablauf folgt einem klaren Muster.

Vorbereitung und Parallelbetrieb

JAMF Pro wird parallel zu Intune aufgebaut. Beide MDMs können nicht gleichzeitig auf einem Gerät aktiv sein, aber die Verwaltungskonsolen laufen parallel. Die ersten Wochen gehen in die Grundkonfiguration: Apple Business Manager mit neuem MDM-Server verbinden, Policies und Profile in JAMF nachbauen, Test-Gruppe einrichten.

Rollout-Strategie

Bei Zero-Touch-fähigen Geräten erfolgt der Umzug elegant über Apple Business Manager: Der MDM-Server wird vom alten Intune-Eintrag auf JAMF Pro umgeschwenkt, das Gerät wird via Apple Configurator oder Remote Wipe in den Werkszustand versetzt, und beim Neustart enrollt es sich automatisch in JAMF Pro. Bei bestehenden Geräten ohne ABM-Supervision läuft der Wechsel über User-Initiated Enrollment mit vorheriger Entfernung aus Intune.

Timing und Aufwand

Für eine vollständige Migration von 100 Apple-Geräten sind 2 bis 4 Wochen Testing und 4 bis 8 Wochen Rollout realistisch. Policies und Profile müssen manuell nachgebaut werden, eine automatische Migration existiert nicht. Der Aufwand ist einmalig und amortisiert sich durch die operative Entlastung im Betrieb.

Entscheidungs-Framework: JAMF Pro oder Intune

Die Entscheidung lässt sich auf fünf Fragen reduzieren, die in dieser Reihenfolge zu beantworten sind.

Frage 1: Wie hoch ist der Apple-Anteil in der Flotte? Unter 10 Prozent spricht vieles für Intune. Über 30 Prozent spricht vieles für JAMF Pro. Dazwischen kommt es auf die weiteren Fragen an.

Frage 2: Wie geschäftskritisch sind die Apple-Nutzer? Wenn die Designer, Entwickler oder Geschäftsführer auf Macs arbeiten, sind kurze Ausfallzeiten und präzises Management wichtiger als bei Sekundärnutzern.

Frage 3: Wie schnell sollen neue Apple-Features nutzbar sein? Wer neue macOS-Versionen am Release-Tag produktiv haben will, braucht JAMF Pro. Wer mehrere Monate Wartezeit akzeptiert, kommt mit Intune aus.

Frage 4: Welche Security-Architektur wird angestrebt? Wer auf Microsoft Sentinel und Defender standardisiert, kann Intune plus Defender for Endpoint nutzen. Wer die volle Apple-native Security-Tiefe will, kombiniert JAMF Pro mit JAMF Protect.

Frage 5: Welches Admin-Know-how steht zur Verfügung? Ein Apple-erfahrenes IT-Team nutzt JAMF Pro produktiver. Ein Windows-zentriertes Team ohne Apple-Spezialisierung kann mit Intune für einfache Szenarien starten.

Häufig gestellte Fragen zu JAMF Pro vs. Microsoft Intune

Kann man JAMF Pro und Microsoft Intune parallel betreiben?

Auf Plattform-Ebene ja, auf Geräte-Ebene nein. Ein einzelner Mac oder ein iPhone kann nur in einem MDM eingeschrieben sein. Unternehmen können aber JAMF Pro für Apple-Geräte und Intune für Windows-Geräte parallel betreiben. Das ist in der Praxis sogar der häufigste Architektur-Ansatz in gemischten Umgebungen.

Was kostet JAMF Pro im Vergleich zu Microsoft Intune wirklich?

JAMF Pro startet bei 4,17 Euro pro Gerät und Monat. Microsoft Intune ist in Microsoft 365 Business Premium (22 Euro pro Nutzer und Monat) enthalten und kostet als Standalone ab rund 8 Euro pro Nutzer und Monat. Der Lizenzpreis allein ist irreführend. Berücksichtigt man Administrations-Aufwand, Setup-Zeit und operative Effizienz, liegt JAMF Pro in Apple-dominierten Umgebungen meist günstiger im Total Cost of Ownership.

Unterstützt Microsoft Intune alle macOS-Funktionen wie JAMF Pro?

Nein. Intune deckt die Standard-Management-Funktionen für macOS ab, aber die granulare Konfiguration erfordert oft Custom-XML-Uploads. Neue Apple-APIs werden in Intune typischerweise mit mehreren Wochen bis Monaten Verzögerung unterstützt. JAMF Pro bietet in der Regel Release-Day-Support für neue macOS-, iOS- und iPadOS-Funktionen.

Kann JAMF Pro mit Microsoft Entra ID integriert werden?

Ja, und das ist eine der meistgenutzten Integrationen. JAMF Pro unterstützt Microsoft Entra ID als Cloud-Identity-Provider für Admin-Anmeldungen, Device Compliance mit Conditional Access und Single Sign-On. Über JAMF Connect lässt sich die macOS-Anmeldung direkt mit Entra ID verbinden. Für Security-Teams kann JAMF Protect Telemetrie an Microsoft Sentinel senden.

Wann lohnt sich eine Migration von Intune zu JAMF Pro?

Eine Migration lohnt sich, wenn der Apple-Anteil in der Flotte über 30 Prozent liegt, neue Apple-Features zeitnah produktiv sein sollen, Apple-spezifische Konfigurationen in Intune regelmäßig Custom-XML-Workarounds erfordern oder der Administrations-Aufwand für die Apple-Geräte überproportional hoch ist. Der Migrations-Aufwand für 100 Geräte liegt bei 6 bis 12 Wochen und amortisiert sich typischerweise innerhalb eines Jahres.

JAMF Pro Implementierung mit mx-itsolutions

Als erster und einziger Apple Premium Technical Partner in Deutschland begleitet mx-itsolutions GmbH Unternehmen bei der Auswahl zwischen JAMF Pro und Intune, bei Migrationen zwischen beiden Plattformen und beim Aufbau hybrider JAMF-Microsoft-Architekturen. Sechs JAMF-zertifizierte Experten, Standorte in Frankfurt am Main und München, Erfahrung aus über 50 JAMF-Implementierungen. Ein kostenloses Erstgespräch lässt sich über mx-it.com/kontakt vereinbaren. Weiterführend zum Thema JAMF Pro Implementierung oder Mobile Device Management Services.