Microsofts Best Practice
Vor ungefähr einem halben Jahr hatte ich schon einmal versucht, Linux über Microsofts offiziellen nativen Linux-Ansatz halbwegs sinnvoll in eine Intune- und Entra-ID-Welt zu integrieren. Technisch funktionierte vieles zwar irgendwie, aber es fühlte sich eher wie eine experimentelle Vorschau als ein ernsthaft produktionsreifer Enterprise-Client an.
Ubuntu ließ sich per autoinstall.yaml zwar automatisiert ausrollen, aber danach begann der eigentliche Schmerz erst richtig. Der Intune-Agent wirkte unfertig, Compliance-Check-ins funktionierten teilweise nur zuverlässig, solange der Client aktiv geöffnet war, und bei DBus-Kompatibilitätsproblemen dauerte es teils erstaunlich lange, bis überhaupt passende Fixes verfügbar waren.
Besonders merkwürdig fühlte sich das gesamte SSO-Thema an. Wirklich sauber funktionierte vieles nur mit Microsoft Edge. Und ganz ehrlich: Wer möchte unter Linux ernsthaft von einem proprietären Browser abhängig sein, nur damit grundlegendes Enterprise-SSO funktioniert?
Dazu kam noch ein weiterer fundamentaler Punkt: Benutzer arbeiteten letztlich weiterhin mit lokalen Linux-Accounts statt direkt mit ihrem echten Microsoft-365- beziehungsweise Entra-ID-Benutzer. Genau dadurch fühlte sich das gesamte Setup nie wirklich wie ein nativer Bestandteil der bestehenden Unternehmensidentität an, sondern eher wie eine nachträglich angeklebte Integration.
All diese Punkte haben damals letztlich dazu geführt, dass wir das Thema intern erst einmal wieder verworfen haben. Nicht weil Linux grundsätzlich ungeeignet gewesen wäre, sondern weil sich der gesamte Stack schlicht noch nicht reif genug für einen ernsthaften produktiven Einsatz angefühlt hat.
Das eigentliche Problem war dabei nicht einmal Linux selbst. Linux macht auf Linux-Ebene meistens genau das, was man erwartet. Das Problem war eher, dass sich Microsofts Linux-Story lange wie eine Ansammlung einzelner Komponenten angefühlt hat, aber nicht wie ein vollständiges Enterprise-Produkt.
Und genau deshalb war ich überrascht, wie stark sich das Bild verändert hat, als Himmelblau ins Spiel kam.
Himmelblau verändert das ganze Setup
Das Spannende an Himmelblau ist nicht einmal ein einzelnes Feature, sondern wie sauber sich plötzlich der komplette Linux-Endpoint in den Microsoft-Stack integriert.
Der eigentliche Unterschied ist dabei erstaunlich simpel: Benutzer arbeiten auf dem Linux-System nicht mehr mit irgendeinem lokalen Account, sondern direkt mit ihrem echten Microsoft-365- beziehungsweise Entra-ID-Benutzer. Das Ubuntu-Gerät wird dadurch deutlich stärker Teil der bestehenden Unternehmensumgebung. Anmeldung, Identität, Zugriff auf Unternehmensressourcen und Compliance hängen plötzlich am selben zentral verwalteten Benutzerkonto wie auf einem Windows-Client.
Gerade für Unternehmen macht das einen enormen Unterschied. Linux-Systeme fühlen sich dadurch nicht mehr wie separate Sonderlösungen an, die parallel verwaltet werden müssen, sondern deutlich näher an einem vollständig integrierten Enterprise-Endpoint.
Vor nicht allzu langer Zeit wirkte genau dieser Bereich unter Linux noch wie eine Ansammlung halbfertiger Workarounds. Heute lässt sich ein Ubuntu-System per autoinstall.yaml vollständig vorbereiten - inklusive Himmelblau, Broker, Enrollment und grundlegender Konfiguration. Der Client installiert sich selbst, registriert sich in Intune und landet innerhalb weniger Minuten als verwaltetes Gerät im Tenant.
Gleichzeitig entfällt plötzlich auch die Abhängigkeit vom klassischen Intune-Agenten für regelmäßige Check-ins. Stattdessen laufen Enrollment, Policy-Verarbeitung und Kommunikation deutlich Linux-typischer und zuverlässiger über Systemdienste wie himmelblaud.service, ohne dass dauerhaft irgendein geöffneter Client im Hintergrund aktiv sein muss.
Besonders interessant wird das Ganze dann mit zusätzlichen Komponenten wie linux-entra-sso für Browser-SSO oder nLAPS (Meine selbst gebaute LAPS integration für M365 Linux Geräte, mehr dazu in einem kommenden Post) zur Verwaltung lokaler Administrator-Passwörter über Azure Key Vault. Damit entsteht erstmals ein Linux-Management-Stack, der sich nicht mehr wie ein Fremdkörper im Microsoft-Ökosystem anfühlt, sondern wie ein ernstzunehmender Endpoint-Ansatz.
Weitere Informationen:
Microsoft 365 auf Linux bleibt pragmatisch
Was sich weiterhin am wenigsten nativ anfühlt, ist die eigentliche Microsoft-365-Welt. Outlook und Teams existieren unter Linux letztlich weiterhin primär als Webanwendungen. Microsoft liefert hier bis heute kein echtes Desktop-Erlebnis wie unter Windows oder macOS.
Der pragmatische Weg war deshalb für mich, eigene kleine Electron-Wrapper zu bauen. Technisch sind das im Kern relativ einfache Container um die Webapps herum, aber mit zusätzlichen nativen Funktionen, die im Alltag tatsächlich wichtig werden. Desktop-Benachrichtigungen, Sharing-Funktionen, besseres Fensterverhalten und vor allem die automatische Nutzung bestehender Himmelblau- beziehungsweise Broker-Tokens und der damit eingehende automatische Login in Teams oder Outlook machen daraus überraschend brauchbare Enterprise-Clients.
Das klingt deutlich cursed-er, als es sich am Ende anfühlt.
Interessanterweise ist genau dieser Pragmatismus wahrscheinlich aktuell der realistischste Weg für Linux im Enterprise. Nicht alles muss perfekt nativ sein, solange sich das Gesamtsystem sauber integriert und für den Benutzer konsistent funktioniert.
Der eigentliche Durchbruch: Linux SSO funktioniert plötzlich
Der vermutlich wichtigste Teil des gesamten Setups ist mittlerweile aber das Thema SSO. Genau dort ist Linux früher fast immer auseinandergefallen.
Mit Projekten wie dem Siemens-Projekt linux-entra-sso wird Linux inzwischen deutlich sauberer in Microsofts moderne Authentifizierungswelt integriert. Browser-SSO, Conditional Access und Device-basierte Authentifizierung funktionieren plötzlich nicht mehr nur theoretisch, sondern tatsächlich stabil genug für produktive Szenarien.
Und genau dadurch verändert sich die Wahrnehmung von Linux im Enterprise gerade massiv.
Man versucht nicht mehr, Windows künstlich auf Linux nachzubauen, sondern integriert Linux endlich so, wie Linux tatsächlich funktioniert.
Früher war Linux in Microsoft-Umgebungen meistens eine geduldete Ausnahme für Entwickler oder Spezialfälle. Inzwischen kann man damit tatsächlich einen ernstzunehmenden Enterprise-Client bauen. Noch nicht mit dem Komfort oder der Poliertheit eines Windows-Geräts, aber definitiv weit entfernt von der alten „geht irgendwie gar nicht“-Kategorie.
Weitere Informationen:
Vom Autoinstall bis zum verwalteten Linux-Endpoint
Der eigentliche Unterschied bei Himmelblau zeigt sich weniger beim Login selbst, sondern im gesamten Enrollment-Flow dahinter. Genau hier wird sichtbar, wie sich moderne Linux-Clients inzwischen erstaunlich sauber in das Microsoft-Ökosystem integrieren lassen.
Der Prozess beginnt bereits während der Ubuntu-Installation. Über autoinstall.yaml und cloud-init wird das System vollständig vorbereitet: Himmelblau wird installiert, benötigte Dienste werden aktiviert und die grundlegende Gerätekonfiguration erfolgt automatisch. Nach dem ersten Boot meldet sich der Benutzer direkt mit Entra ID an, woraufhin Himmelblau sowohl die Authentifizierung als auch die Intune-Registrierung übernimmt.
Nach kürzester Zeit taucht das Gerät direkt in Intune auf.
Interessant ist dabei vor allem, dass Linux nicht versucht, wie Windows zu funktionieren. Policies werden nicht permanent über einen klassischen MDM-Agent „live gepusht“, sondern eher Linux-typisch über Dienste, Tasks und Cronjob-Mechanismen verarbeitet. Das wirkt zunächst ungewohnt, passt technisch aber deutlich besser zur Linux-Welt und deren Philosophie aus Skripten, klaren Konfigurationsdateien und zustandsbasierten Services.
Die von Intune bereitgestellten Policies werden lokal gecached und anschließend Linux-typisch über Cronjobs beziehungsweise Dienste verarbeitet und ausgeführt.
Zusätzliche Komponenten wie linux-entra-sso ermöglichen anschließend Browser-SSO für Microsoft-365-Anwendungen und Conditional Access, wodurch sich der Benutzerfluss deutlich konsistenter anfühlt als noch vor wenigen Jahren. Das Ergebnis ist kein „Windows auf Linux“, sondern erstmals ein Linux-Management-Ansatz, der sich tatsächlich wie ein nativer Bestandteil des Microsoft-Stacks anfühlt.
Fazit
Linux mit Intune fühlt sich aktuell wie ein Übergangszustand an.
Microsoft selbst liefert noch immer keine vollständig ausgereifte Linux-Enterprise-Plattform. Viele Dinge wirken weiterhin unfertig oder setzen zu stark auf eigene Integrationen. Gleichzeitig ist das Linux-Ökosystem inzwischen an einem Punkt angekommen, an dem genau diese Lücken immer besser geschlossen werden.
Mit Himmelblau, linux-entra-sso und modernen Autoinstall-Deployments kann man heute bereits erstaunlich professionelle Linux-Enterprise-Clients bauen. Nicht als Hochglanzprodukt von der Stange, sondern eher als sauber zusammengesetztes System aus Open-Source-Komponenten, eigenen Integrationen und etwas technischem Verständnis.
Interessanterweise wirkt der Linux-Stack rund um Himmelblau aktuell in vielen Bereichen konsistenter integriert als Teile von Microsofts eigener Linux-Strategie. Gerade Themen wie systemweites Entra-ID-Login, Browser-SSO oder die allgemeine Benutzerintegration fühlen sich dadurch teilweise deutlich näher an einem echten Enterprise-Client an als der ursprünglich von Microsoft vorgesehene Ansatz.
Offiziell entspricht das natürlich in keiner weise einer klassischen Microsoft-„Best Practice“. Vieles basiert auf Open-Source-Projekten, eigenen Integrationen und pragmatischen Workarounds statt auf einem vollständig von Microsoft vorgesehenen Standard-Setup. Gleichzeitig würde ich aktuell trotzdem genau diesen Weg empfehlen, wenn Linux-Geräte ernsthaft in eine Intune- und Entra-ID-Umgebung integriert werden sollen. Nicht weil er perfekt ist, sondern weil er sich im Alltag momentan deutlich vollständiger und konsistenter anfühlt als der offiziell vorgesehene Linux-Weg.
