Vor ungefähr einem halben Jahr hatte ich schon einmal versucht, Linux halbwegs sinnvoll in eine Intune- und Entra-ID-Welt zu integrieren. Damals lief das Ganze technisch zwar irgendwie, aber es fühlte sich an wie eine Demo, die man besser niemandem produktiv zeigen sollte.
Ubuntu ließ sich per autoinstall.yaml zwar automatisiert ausrollen, aber danach begann der eigentliche Schmerz erst richtig. Für viele Dinge brauchte man plötzlich Microsoft Edge, was sich auf Linux einfach absurd anfühlt. Der Intune-Agent wirkte unfertig, Compliance-Abfragen liefen teilweise nur sauber, wenn der Client aktiv geöffnet war, und ein wirklich systemweites SSO-Erlebnis existierte praktisch nicht. Vieles endete wieder bei Bash-Skripten, eigenen Workarounds und der Hoffnung, dass sich das Zielsystem exakt so verhält wie die Testmaschine.
Das eigentliche Problem war dabei nicht einmal Linux selbst. Linux macht auf Linux-Dinge meistens genau das, was man erwartet. Das Problem war eher, dass sich Microsofts Linux-Story lange wie eine Ansammlung einzelner Komponenten angefühlt hat, aber nicht wie ein vollständiges Enterprise-Produkt.
Und genau deshalb war ich überrascht, wie stark sich das Bild verändert hat, sobald Himmelblau ins Spiel kommt.
Himmelblau verändert das ganze Setup
Mit Himmelblau fühlt sich Linux im Microsoft-Ökosystem plötzlich deutlich vollständiger an. Nicht perfekt, aber zum ersten Mal so, als hätte jemand verstanden, was auf Linux eigentlich fehlt.
Das Interessante dabei ist weniger irgendein einzelnes Feature, sondern wie sauber sich das Ganze plötzlich zusammensetzt. Ubuntu lässt sich per autoinstall.yaml vollständig vorbereiten, inklusive Himmelblau, Broker, Enrollment und grundlegender Systemkonfiguration. Der Rechner installiert sich selbst, der Benutzer meldet sich mit Entra ID an und wenige Minuten später hängt das Gerät bereits in Intune.
Vor einem Jahr hätte ich ehrlich gesagt nicht erwartet, dass dieser Teil inzwischen so stabil funktioniert.
Natürlich merkt man weiterhin, dass Linux in Intune anders funktioniert als Windows. Policies werden beispielsweise nicht klassisch gepusht, sondern eher über Task- beziehungsweise Cronjob-Mechanismen verarbeitet. Das klingt zunächst wie ein Rückschritt, passt aber eigentlich ziemlich gut zur Linux-Welt. Linux war nie besonders stark darin, zentral „kontrolliert“ zu werden. Stattdessen basiert vieles seit Jahrzehnten auf Diensten, Skripten, Timern und klaren Konfigurationsdateien.
Und genau an diesem Punkt wird das ganze Setup plötzlich logisch. Man hört auf zu versuchen, Windows auf Linux nachzubauen, und beginnt stattdessen Linux wie Linux zu behandeln.
Weitere Informationen:
- https://himmelblau-idm.org/landing/
- https://github.com/himmelblau-idm/himmelblau
Microsoft 365 auf Linux bleibt pragmatisch
Was sich weiterhin am wenigsten nativ anfühlt, ist die eigentliche Microsoft-365-Welt. Outlook und Teams existieren unter Linux letztlich weiterhin primär als Webanwendungen. Microsoft liefert hier bis heute kein echtes Desktop-Erlebnis wie unter Windows oder macOS.
Der pragmatische Weg war deshalb für mich, eigene kleine Electron-Wrapper zu bauen. Technisch sind das im Kern relativ einfache Container um die Webapps herum, aber mit zusätzlichen nativen Funktionen, die im Alltag tatsächlich wichtig werden. Desktop-Benachrichtigungen, Sharing-Funktionen, besseres Fensterverhalten und vor allem die automatische Nutzung bestehender Himmelblau- beziehungsweise Broker-Tokens machen daraus überraschend brauchbare Enterprise-Clients.
Das klingt deutlich cursed-er, als es sich am Ende anfühlt.
Interessanterweise ist genau dieser Pragmatismus wahrscheinlich aktuell der realistischste Weg für Linux im Enterprise. Nicht alles muss perfekt nativ sein, solange sich das Gesamtsystem sauber integriert und für den Benutzer konsistent funktioniert.
Der eigentliche Durchbruch: Linux SSO funktioniert plötzlich
Der vermutlich wichtigste Teil des gesamten Setups ist mittlerweile aber das Thema SSO. Genau dort ist Linux früher fast immer auseinandergefallen.
Mit Projekten wie dem Siemens-Projekt linux-entra-sso wird Linux inzwischen deutlich sauberer in Microsofts moderne Authentifizierungswelt integriert. Browser-SSO, Conditional Access und Device-basierte Authentifizierung funktionieren plötzlich nicht mehr nur theoretisch, sondern tatsächlich stabil genug für produktive Szenarien.
Und genau dadurch verändert sich die Wahrnehmung von Linux im Enterprise gerade massiv.
Früher war Linux in Microsoft-Umgebungen meistens eine geduldete Ausnahme für Entwickler oder Spezialfälle. Inzwischen kann man damit tatsächlich einen ernstzunehmenden Enterprise-Client bauen. Noch nicht mit dem Komfort oder der Poliertheit eines Windows-Geräts, aber definitiv weit entfernt von der alten „geht irgendwie gar nicht“-Kategorie.
Weitere Informationen:
- https://github.com/siemens/linux-entra-sso
Fazit
Linux & Intune fühlt sich aktuell wie ein Übergangszustand an.
Microsoft selbst liefert noch immer keine vollständig ausgereifte Linux-Enterprise-Plattform. Viele Dinge wirken weiterhin unfertig oder setzen zu stark auf eigene Integrationen. Gleichzeitig ist das Linux-Ökosystem inzwischen an einem Punkt angekommen, an dem genau diese Lücken immer besser geschlossen werden.
Mit Himmelblau, linux-entra-sso und modernen Autoinstall-Deployments kann man heute bereits erstaunlich professionelle Linux-Enterprise-Clients bauen. Nicht als Hochglanzprodukt von der Stange, sondern eher als sauber zusammengesetztes System aus Open-Source-Komponenten, eigenen Integrationen und etwas technischem Verständnis.
Und vielleicht ist genau das aktuell die ehrlichste Beschreibung von Linux im Enterprise: Nicht fertig. Aber plötzlich absolut ernstzunehmend.