POWERSHELL & AUTOMATION
PowerShell 2026: MCP Server, EntraID-SSH und die Zukunft der Windows-Automatisierung
📖 Lesezeit: ca. 6 Minuten
Das PowerShell-Team bei Microsoft hat die Roadmap für 2026 vorgestellt – und die geplanten Investitionen gehen weit über kosmetische Verbesserungen hinaus. Mit einem offiziellen MCP Server für KI-Integration, der Exploration von EntraID-Authentifizierung für SSH und dem bevorstehenden Release von DSC v3.2 stehen architektonische Veränderungen an, die Automatisierung schneller und sicherer machen sollen.
Microsoft betont drei übergreifende Schwerpunkte: Security First (Sicherheitsfixes vor Features), Reliability & Performance (insbesondere bei der Paketverwaltung), und Platform & Tooling (PowerShell Gallery, Windows Update-Integration, DSC).
PowerShell 7.7: Die wichtigsten Neuerungen
Der nächste Major-Release von PowerShell bringt mehrere lang erwartete Verbesserungen. Besonders relevant für Administratoren in Unternehmensumgebungen:
📁 Neuer Speicherort für Benutzerinhalte
Module, Profile und Hilfedateien werden nicht mehr im Dokumente-Ordner gespeichert. Das löst endlich das seit langem bekannte Problem mit OneDrive-Synchronisierung und den damit verbundenen Performance-Einbußen.
🔌 Module ohne Profil-Update laden
Module und Features können registriert werden, ohne das Profil-Script anzupassen. Das vereinfacht Deployments und reduziert Fehlerquellen bei der Modulverteilung in großen Umgebungen.
⌨️ Bash-Style Aliases & Macros
Unterstützung für Aliases und Macros im Stil von Bash-Shells. Für Administratoren, die zwischen Linux- und Windows-Umgebungen wechseln, ein willkommener Komfortgewinn.
🔔 Verzögerte Update-Benachrichtigungen
Update-Benachrichtigungen werden verzögert, um Paketmanagern Vorrang zu geben. Für Enterprise-Admins, die Updates über WSUS oder ConfigMgr steuern, eine sinnvolle Ergänzung.
MCP Server: KI-Integration für PowerShell
Eine der spannendsten Ankündigungen: Microsoft plant einen offiziellen Model Context Protocol (MCP) Server für PowerShell. MCP ist ein Protokoll, das KI-Modellen strukturierten Zugriff auf externe Tools und Datenquellen ermöglicht – und damit PowerShell direkt als Aktionswerkzeug für KI-Assistenten verfügbar macht.
Der Fokus liegt dabei zunächst auf Safety und Security: Bevor KI-Modelle PowerShell-Befehle ausführen können, müssen Sicherheitsgrenzen definiert und durchgesetzt werden. Die praktische Relevanz ist enorm – stellen Sie sich vor, ein KI-Agent kann auf Anweisung Systeme inventarisieren, Compliance-Reports generieren oder Konfigurationsänderungen durchführen, alles über standardisierte PowerShell-Cmdlets.
Architektur: KI-Agent → MCP Server → PowerShell
→
MCP Server
→
PowerShell Runtime
→
Windows-Systeme
Sicherheitsgrenzen und Berechtigungsprüfung auf jeder Ebene
🔧 PowerShell-Remoting professionell verwalten
Remote Server Manager – Zentrale Windows-Server-Verwaltung über PowerShell Remoting (WinRM mit/ohne SSL)
WinRM Management Tool – WinRM-Dienste, HTTPS-Listener und Zertifikatbindungen per GUI konfigurieren
App Service Manager – PowerShell-Skripte und Anwendungen als Windows-Dienste ausführen
PSReadLine: Kontextbezogene Vorschläge
Die Predictive IntelliSense von PSReadLine wird kontextabhängig. Bisher waren die Vorschläge generisch – zukünftig berücksichtigt PSReadLine den aktuellen Verzeichniskontext. In einem Git-Repository werden Git-relevante Befehle vorgeschlagen, in einem Azure-Projektordner entsprechende Az-Cmdlets.
Technisch wird dafür die interne Architektur von PSReadLine grundlegend umgebaut: Die bisherige Kopplung von Keyboard-Input-Loop und Terminal-Rendering wird aufgelöst. Diese Entkopplung ist für Endbenutzer zunächst nicht sichtbar, schafft aber die Grundlage für zukünftige Erweiterungen wie inline Code-Completion und KI-gestützte Vorschläge.
EntraID-Authentifizierung für Windows OpenSSH
Microsoft exploriert die Integration von EntraID (Azure AD) als Authentifizierungsmethode für SSH-Verbindungen im Windows OpenSSH-Fork. Das wäre ein fundamentaler Architekturwandel: Statt separater SSH-Keypairs oder lokaler Zertifikate könnten Administratoren die zentrale Unternehmensidentität für SSH-Zugriffe nutzen.
Microsoft betont, dass EntraID-SSH sich noch im Explorationsstatus befindet. Es handelt sich um eine Machbarkeitsprüfung, nicht um ein angekündigtes Feature. Dennoch signalisiert die Erwähnung in der offiziellen Roadmap, dass Microsoft diesen Weg ernsthaft verfolgt.
Die Vorteile bei einer Umsetzung wären erheblich: zentralisierte Zugriffskontrolle über Conditional Access Policies, Wegfall der manuellen Key-Verwaltung, Integration in vorhandene Identity-Governance-Workflows und einheitliches Auditing über das Microsoft-Ökosystem.
🔐 Identitäts- und Zugriffsmanagement
gMSA & MSA Management Tool – Service Accounts professionell verwalten und kontrollieren
ISW-ADVital – Active Directory Sicherheitsanalyse mit Compliance-Prüfung nach BSI & NIST
Sysmon Analyzer Pro – Sysmon Event-Logs analysieren, verdächtige Aktivitäten erkennen
DSC v3.2: Desired State Configuration wird plattformübergreifend
Desired State Configuration erreicht mit Version 3.2 einen wichtigen Meilenstein. Der Release Candidate und die allgemeine Verfügbarkeit sind für die erste Jahreshälfte 2026 geplant. Die wichtigste Neuerung: Ein Python-Adapter für Linux, der es ermöglicht, DSC-Ressourcen in Python zu erstellen.
Für Umgebungen mit gemischten Windows- und Linux-Infrastrukturen bedeutet das, dass ein einheitliches Konfigurationsmanagement über DSC möglich wird – ohne separate Tools für verschiedene Plattformen. Die Community-Previews laufen bereits, und Microsoft sucht aktiv nach Feedback.
PSResourceGet: Parallele Downloads
Die Paketverwaltung über PSResourceGet wird deutlich beschleunigt. Bisher wurden Module und ihre Abhängigkeiten seriell heruntergeladen – bei großen Modul-Familien oder initialen Setups ein spürbarer Engpass. Die geplante Unterstützung für parallele Downloads und Installationen soll die Setup-Zeiten erheblich verkürzen.
Zusätzlich wird die Migration zur Microsoft Artifact Registry (MAR) als Standard-Repository für Microsoft-Module abgeschlossen. MAR bietet höhere Zuverlässigkeit, Skalierbarkeit und Sicherheit gegenüber der bisherigen Lösung.
Was bedeutet das für die Praxis?
Scripts aktualisieren: Prüfen Sie, ob Ihre Profile und Module vom neuen Speicherort profitieren (OneDrive-Sync-Probleme)
MCP evaluieren: Informieren Sie sich über das Model Context Protocol und welche Automatisierungsszenarien in Ihrer Umgebung von KI-Integration profitieren könnten
DSC v3.2 testen: Wenn Sie gemischte Windows/Linux-Umgebungen betreiben, starten Sie Pilottests mit den verfügbaren Previews
SSH-Infrastruktur vorbereiten: Beginnen Sie mit der Dokumentation Ihrer aktuellen SSH-Key-Management-Prozesse als Grundlage für eine spätere EntraID-Migration
PSResourceGet nutzen: Steigen Sie von PowerShellGet auf PSResourceGet um, um von den kommenden Performance-Verbesserungen zu profitieren
Fazit
Die PowerShell-Roadmap 2026 zeigt eine klare Richtung: Remote-Zugriff an die Unternehmensidentität koppeln, Automatisierung schneller und sicherer machen, KI-Integration mit Sicherheitsgrenzen ermöglichen und langlebige Komponenten aktuell halten. Für IT-Administratoren bieten sich konkrete Ansatzpunkte, um jetzt mit der Modernisierung zu beginnen – ob durch den Umstieg auf PSResourceGet, erste DSC v3-Piloten oder die Vorbereitung auf identitätsbasierte SSH-Authentifizierung.