Endpoint Atlas
Back to blog

Intune Suite wandert in E3 und E5: Was der 1. Juli 2026 für eure Lizenzierung bedeutet

JU
Julian Wolf·Intune·4 min read

Seit dem 1. Juli 2026 ist ein gutes Stück von dem, wofür ihr bisher extra für die Intune Suite bezahlt habt, einfach Teil von Microsoft 365 E3 und E5. Klingt erstmal nach einem Geschenk. Ist es auch, nur eben nicht umsonst: Der Listenpreis für E3 steigt von 36 auf 38 US-Dollar pro Nutzer und Monat, E5 von 57 auf 60 Dollar. Microsoft verschiebt hier im Grunde nur, wo auf der Rechnung eine Zahl steht (ungefähr so, wie wenn man in Minecraft neun Eisenbarren zu einem Eimer zusammencraftet, das Material ist am Ende dasselbe, es sieht nur kompakter aus) und weiter im Text.

Was neu mit drin ist

LizenzNeu enthalten
Microsoft 365 E3Defender for Office 365 Plan 1, Intune Remote Help, Intune Advanced Analytics, Intune Plan 2, Copilot-Chat-Erweiterungen
Microsoft 365 E5Alles aus E3 zusätzlich, plus Microsoft Security Copilot, Intune Endpoint Privilege Management, Intune Enterprise Application Management, Microsoft Cloud PKI

Für viele Tenants heißt das konkret: Wenn ihr bisher die Intune Suite als separates Add-on eingekauft habt, nur um an Remote Help, Advanced Analytics oder EPM zu kommen, könnt ihr diese Zusatzlizenz jetzt streichen und trotzdem dieselben Features behalten. Prüft das aber unbedingt gegen eure aktuelle Rechnung, Lizenzpreise und -pakete verschieben sich bei Microsoft schnell genug, dass jeder hier genannte Betrag in ein paar Monaten schon wieder Geschichte sein kann.

STIG-Audit-Baseline: Compliance-Scan ohne Nebenwirkungen

Ebenfalls neu: Intune bringt jetzt eine STIG-Audit-Baseline, die Windows-Geräte gegen die Security Technical Implementation Guides der DISA bewertet, aktuell gegen das Windows-11-STIG-SCAP-Benchmark Version 2, Release 7. Der entscheidende Punkt dabei: Sie bewertet nur, sie greift nicht in eure Konfiguration ein. Ihr bekommt einen detaillierten Auditbericht, ohne dass irgendein Setting am Gerät verändert wird (ein bisschen wie der F3-Debug-Screen, der euch die komplette Chunk-Struktur unter euren Füßen zeigt, ohne dass dabei auch nur ein Block verschoben wird) und weiter im Text.

Für alle mit US-Government-Bezug oder Rüstungs-/Behördenkontext ist das relevant genug, um sich anzuschauen. Für den Rest ist es zumindest ein interessantes Muster: Microsoft trennt hier sauber zwischen Assessment und Enforcement, was bei eigenen Compliance-Vorhaben (KRITIS lässt grüßen) ein Modell ist, das man sich abschauen kann.

Security Copilot Agents: Vulnerability Remediation Agent bekommt seine eigene Identität

Der für mich spannendste Punkt kommt aus dem Release 2605: Der Vulnerability Remediation Agent in Intune läuft nicht mehr unter einer menschlichen Benutzeridentität, sondern bekommt bei der Einrichtung automatisch eine Entra Agentic Identity provisioniert. Der Agent handelt damit unter eigenen, ihm delegierten Berechtigungen im Entra-Verzeichnis, nicht mehr im Namen eines Admin-Kontos.

Bestehende Agent-Instanzen mit menschlicher Identität laufen erstmal weiter, aber nur für 90 Tage ab Release, danach ist die Migration zur Agentic Identity Pflicht. Ihr müsst dann selbst im Entra- und im Defender-Portal die nötigen Berechtigungen an den Agenten-Account delegieren und das über den Run Readiness Check verifizieren.

Das ist technisch derselbe Gedankengang wie bei nicht-menschlichen Identitäten in Automation-Pipelines: Ein Agent, der eigenständig Vulnerabilities priorisiert und Remediation-Vorschläge macht, sollte eine eigene, auditierbare Identität mit minimalen Rechten haben, keine geteilte Servicekennung, für die am Ende niemand mehr sauber sagen kann, wer wann was gemacht hat (fast wie ein eigenes Villager-Inventar statt der einen gemeinsamen Truhe, in die das ganze Dorf greift) und weiter im Text.

Ergänzend liefert der Change Review Agent seine Risiko-Einschätzungen inzwischen auch direkt inline in Multi Admin Approval für PowerShell-Skripte, als eigene Spalte „Agent Response" auf den Tabs My requests und All requests. Wer sich noch an meinen Artikel zu MAA und der Graph API erinnert: Genau die Freigabe-Entscheidungen, die dort nachts niemand fachlich prüfen konnte, bekommen hier zumindest eine KI-gestützte Einschätzung an die Seite gestellt, bevor ein Mensch den Klick macht. Ob das die Abnick-Problematik löst oder nur eine zusätzliche Empfehlung ist, die genauso ungeprüft durchgewunken wird, wird sich zeigen müssen.

Mein Fazit

Von den drei Themen ist die Lizenzänderung die mit dem größten sofortigen Effekt auf euer Budget, die Copilot-Agents mit eigener Identität sind aber die strukturell interessantere Entwicklung. Intune bewegt sich gerade spürbar in Richtung „KI-Agenten mit echten, auditierbaren Rechten statt Bot-Accounts mit geliehenen Credentials", und das ist ein Muster, das ich mir für Automation ganz allgemein wünschen würde, nicht nur für die vier Agenten, die Microsoft aktuell ausliefert.

Teilen: