Kurz vorweg: Mac-MDM ist 2026 nicht optional. Apple Business Manager + ein MDM Ihrer Wahl = Pflicht-Basis. Faustregel: bis 30 Macs und M365 da → Intune. 30–300 Macs gemischt → Kandji oder Mosyle. Ab 300 Macs oder Apple-only → Jamf Pro. Apple Silicon ist seit M1 dominant – Intel-Macs sind in 2026 nur noch eine kleine Restmenge. Zero-Touch-Onboarding über ADE, FileVault verpflichtend, XProtect + EDR (Sentinel, Sophos for Mac), Platform SSO mit Entra ID/Okta.
MDM-Vergleich für KMU
Jamf Pro
Marktführer, Apple-only, tiefe Konfigurierbarkeit, Skript-Engine, Self-Service, Patch-Management, Threat Defense. Best-in-Class für Compliance. Preis: CHF 8–15 pro Mac/Monat. Stärken: alles möglich. Schwächen: Lernkurve, Preis, Windows nicht enthalten.
Kandji
Modernes US-MDM, gute UX, Auto-Apps („Liftoff"), Compliance-Templates (CIS, NIST), Live-Skripte, EDR optional. Preis: CHF 4–15 pro Mac/Monat. Stärken: schnell produktiv, sauberes Reporting. Schwächen: Apple-only, US-Hosting.
Mosyle
Apple-MDM mit Fokus KMU + Bildung. Mosyle Business kostenlos bis 30 Geräte. Volle Suite mit EDR, Patch, Identity. Preis: CHF 0–8 pro Mac/Monat. Stärken: Preis, Education-DNA. Schwächen: schwächere Audit-Reports, kleinere Community.
Microsoft Intune
Im M365 Business Premium enthalten. Mac-Support seit 2023 stark verbessert: ADE, Compliance, App-Deployment, FileVault. Preis: CHF 0–8 pro Mac/Monat. Stärken: schon da, Entra-Integration. Schwächen: weniger Mac-Tiefe als Jamf/Kandji.
VMware Workspace ONE
Enterprise-MDM für gemischte Flotten. Nach Broadcom-Übernahme unklare Preis-/Roadmap-Lage. Für neue KMU-Setups 2026 weniger empfohlen.
JumpCloud Mac MDM
Teil der JumpCloud Open Directory Platform. Solides Basis-Mac-MDM in Kombination mit Identity. Preis: CHF 8–15 pro Nutzer/Monat. Sinnvoll bei JumpCloud-IdP-Stack.
Die sieben Bausteine eines Mac-Setups
Apple Business Manager (ABM)
Kostenlose Apple-Plattform für Geräte-Enrollment, Managed Apple IDs (Federated mit Entra/Google), Volume-App-Kauf, Custom-Apps. Voraussetzung: Reseller mit DEP-Token oder manuelle Registrierung via Apple Configurator. Setup 2–8 Stunden.
Automated Device Enrollment (ADE)
Mac landet beim Auspacken automatisch im MDM. Nutzer meldet sich an, MDM rollt Apps, Profile, Compliance aus. Zero-Touch-Onboarding. Reduziert Onboarding von 4 Stunden auf 15 Minuten Bedienzeit.
Platform SSO
Mac-Login mit Entra ID/Okta/Workspace ohne separate Anmeldung. Lokaler Account synchronisiert, MFA möglich, FIDO2-Schlüssel-Anmeldung, Conditional Access. Pflicht für moderne Mac-Flotten.
Compliance & Hardening
CIS-Benchmark macOS, FileVault (Disk-Encryption) Pflicht, Firewall, Gatekeeper, XProtect, signed software only. MDM-Profile durchsetzen, regelmässige Compliance-Reports an Cyber-Versicherer.
App-Deployment
Volume-Lizenzen via ABM, Auto-Install (Munki/Jamf-Self-Service/Kandji-Liftoff), VPP-Apps zentral verteilen. Auch homebrew/private Apps signed via Developer ID, im Self-Service-Portal.
Patch-Management
macOS-Updates erzwingen (Nudge, Jamf, Kandji), Third-Party-Apps patchen (Installomator, Munki, App Store Auto-Update). 14-Tage-Patch-SLA für Major Updates, 24h für Sicherheits-Patches.
EDR / Threat Defense
macOS hat XProtect + Gatekeeper, aber kein Enterprise-EDR. Empfehlung: Microsoft Defender for Endpoint, Sophos Intercept X, Crowdstrike Falcon, Jamf Protect, Kandji EDR. EDR-Telemetrie an SIEM/SOC.
Empfehlung pro KMU-Profil
- Start-up bis 15 Macs ohne M365: Mosyle Business (kostenlos) + ABM. Falls iOS auch: Mosyle bleibt günstig.
- KMU 20–80 Macs mit M365 Business Premium: Intune nutzen (inklusive), für Mac-Tiefe optional Kandji als Add-on.
- KMU 50–250 Macs gemischt mit iPads/iPhones: Kandji oder Mosyle Premium – beste UX, ABM-Integration, Compliance-Templates.
- Apple-only Agentur/Studio 30–300 Macs: Kandji für UX-Wow oder Jamf Pro für Skript-Tiefe und Self-Service.
- Enterprise/regulierter Mittelstand 300+ Macs: Jamf Pro – Patch-Engine, Skripte, Workflows, Workflow-Builder, Audit-Reports.
- Hybride Mac-/Windows-Flotte 50/50: Intune einheitlich, evtl. mit Jamf für Mac-Tiefe als Premium-Layer.
- Bildungseinrichtungen: Jamf School oder Mosyle Manager – Schul-DNA mit Klassen-, Eltern- und Schüler-Funktionen.
4-Wochen-Roadmap Mac-MDM-Einführung
Woche 1 – ABM & MDM-Setup
Apple Business Manager registrieren, DUNS/UID-Check, MDM-Token verbinden, Reseller (Letec, Digitec, Misco, Mediamarkt Pro) auf DEP umstellen. Managed Apple IDs für Mitarbeitende anlegen oder via Entra Federation einrichten.
Woche 2 – Profile & Compliance
Konfigurationsprofile: FileVault, Firewall, Gatekeeper, Wi-Fi, VPN, Zertifikate, Update-Policy. Compliance-Template (CIS macOS Benchmark Level 1) ausrollen. Test auf 3 Pilot-Geräten.
Woche 3 – Apps & Self-Service
VPP-Apps (M365, Slack, Notion, Browser) zentral via ABM, Auto-Installer für Standard-Apps, Self-Service-Katalog für Optional-Apps. Patch-Workflow für macOS und Top-10-Apps. Platform SSO konfigurieren.
Woche 4 – Rollout & Offboarding
Restliche Geräte enrolen (DEP für Neugeräte, Apple Configurator für Bestandsgeräte). Onboarding/Offboarding-Workflows mit HR-System (Personio, BambooHR) automatisieren. Schulung für Helpdesk.
Typische Stolpersteine
- Bestandsgeräte nicht in ABM/DEP: Macs vor Einführung ohne Reseller-Lieferung sind nicht automatisch DEP. Manuell via Apple Configurator nachregistrieren oder Apple-Reseller-Migration nutzen.
- Kein Platform SSO: Mitarbeitende loggen sich mit lokalem Passwort ein, keine MFA, keine Conditional Access. Pflicht in 2026.
- FileVault-Schlüssel nicht escrowed: bei Geräte-Verlust kein Daten-Zugriff durch IT. MDM muss Recovery-Key sicher speichern.
- macOS-Updates verschleppen: Apple Sicherheits-Updates müssen innert 14 Tagen ausgerollt sein – via Nudge/MDM-Enforcement.
- EDR nur auf Windows, Macs ungeschützt: macOS ohne EDR ist 2026 Compliance-Lücke. Defender, Sophos oder Jamf Protect installieren.
- Lokaler Admin für Mitarbeitende: standardmässig kein Admin-Recht, Privilegien-Erhöhung temporär (Privileges, PrivilegesDemoter).
- Personal-Apple-IDs auf Firmengeräten: Mitarbeitende loggen sich mit privater iCloud ein – Firmendaten auf privater Cloud. Pflicht: Managed Apple IDs durchsetzen.
- Self-Service-Katalog leer: Nutzer suchen Apps anderswo, Schatten-IT. Mit relevanten Apps (M365, Slack, Browser, IDE, Adobe) füllen.
- iOS/iPad nicht im selben MDM: Apple-Ökosystem teilt sich – ABM und ein MDM für alle Apple-Geräte vereinheitlichen.
- Patch nur für macOS, nicht für Drittsoftware: Browser, Slack, Zoom, Office müssen ebenfalls automatisch gepatcht werden (Installomator).
Fazit: Mac-Flotten in 4 Wochen produktiv
Mac-Management ist 2026 ein gelöstes Problem – die Werkzeuge sind reif, ABM ist kostenlos, Platform SSO und DDM sind Standard. Wer 50 Macs sauber managt, ist in 4 Wochen produktiv. Die schwerere Frage ist die MDM-Auswahl: M365-Häuser fahren mit Intune fast immer richtig, Apple-affine Setups mit Kandji oder Mosyle, Jamf Pro für Compliance-Tiefe und grosse Flotten.
Wichtig: das MDM ist die halbe Miete – die andere Hälfte sind klare Prozesse (Onboarding, Offboarding, Patch-SLA), saubere Identity (Entra ID/Okta + Platform SSO) und EDR. Ohne EDR auf Macs scheitert 2026 jede Cyber-Versicherungs-Antrag und jeder ISO-27001-Audit. Schweizer KMU sollten Macs in dieselbe Compliance-Spur wie Windows-Geräte heben – mit gleichen Standards, gleichem Patch-Rhythmus, gleicher Sichtbarkeit für SOC und Helpdesk.
Mac-MDM einführen oder migrieren
Wir wählen das richtige MDM für Ihre Mac-Flotte, setzen ABM, ADE, Platform SSO und Compliance auf – Zero-Touch-Onboarding in 4 Wochen, Mac und Windows in einer Compliance-Spur.
Beratung anfragen