Freigeben über


Einrichten der kontogesteuerten Apple-Benutzerregistrierung

Richten Sie die kontogesteuerte Apple-Benutzerregistrierung für persönliche Geräte ein, die sich bei Microsoft Intune registrieren. Die kontogesteuerte Benutzerregistrierung bietet eine schnellere und benutzerfreundlichere Registrierung als die Benutzerregistrierung mit Unternehmensportal. Der Gerätebenutzer initiiert die Registrierung, indem er sich in der Einstellungs-App bei ihrem Geschäftskonto anmeldet. Nachdem der Benutzer die Geräteverwaltung genehmigt hat, wird das Registrierungsprofil automatisch installiert, und Intune Richtlinien angewendet werden. Intune verwendet die Just-In-Time-Registrierung (JIT) und die Microsoft Authenticator-App für die Authentifizierung, um die Anzahl der Benutzeranmeldungen während der Registrierung und beim Zugriff auf Geschäfts-Apps zu reduzieren.

In diesem Artikel wird beschrieben, wie Sie die kontogesteuerte Apple-Benutzerregistrierung in Microsoft Intune einrichten. Sie gehen dann so vor:

  • Richten Sie die JIT-Registrierung ein.
  • Erstellen Sie ein Registrierungsprofil.
  • Bereiten Sie Mitarbeiter und Studenten auf die Registrierung vor.

Voraussetzungen

Microsoft Intune unterstützt die kontogesteuerte Apple-Benutzerregistrierung auf Geräten, auf denen iOS/iPadOS Version 15 oder höher ausgeführt wird. Wenn Sie Gerätebenutzern mit iOS/iPadOS 14.9 oder früheren Versionen ein kontogesteuertes Benutzerregistrierungsprofil zuweisen, registriert Microsoft Intune diese automatisch über die Benutzerregistrierung bei Unternehmensportal.

Bevor Sie mit dem Setup beginnen, führen Sie die folgenden Aufgaben aus:

Außerdem müssen Sie die Dienstermittlung einrichten, damit Apple den Intune Dienst erreichen und Registrierungsinformationen abrufen kann. Um diese Voraussetzung zu erfüllen, richten Sie eine bekannte HTTP-Ressourcendatei in derselben Domäne ein, bei der sich Die Mitarbeiter anmelden. Apple ruft die Datei über eine HTTP GET-Anforderung an ab“https://contoso.com/.well-known/com.apple.remotemanagement”, wobei die Domäne Ihres organization anstelle von contoso.comgilt. Veröffentlichen Sie die Datei in einer Domäne, die HTTP GET-Anforderungen verarbeiten kann.

Hinweis

Die bekannte Ressourcendatei muss ohne Dateierweiterung wie z. B. .json gespeichert werden, damit sie ordnungsgemäß funktioniert.

Erstellen Sie die Datei im JSON-Format, wobei der Inhaltstyp auf application/jsonfestgelegt ist. Wir stellen die folgenden JSON-Beispiele bereit, die Sie kopieren und in Ihre Datei einfügen können. Verwenden Sie die , die ihrer Umgebung entspricht. Ersetzen Sie die Variable YourAADTenantID in der Basis-URL durch die Microsoft Entra Mandanten-ID Ihres organization.

Microsoft Intune Umgebungen:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune für Umgebungen der US-Regierung:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune von 21 Vianet in China betrieben:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Der Rest des JSON-Beispiels wird mit allen informationen aufgefüllt, die Sie benötigen, einschließlich:

  • Version: Die Serverversion ist mdm-byod.
  • BaseURL: Diese URL ist der Speicherort, an dem sich der Intune Dienst befindet.

Tipp

Weitere Informationen zu den technischen Anforderungen für die Dienstermittlung finden Sie unter Implementieren des Benutzerregistrierungsflows für die einfache Authentifizierung in der Apple Developer-Dokumentation .

Bewährte Methoden

Wir empfehlen zusätzliche Konfigurationen, um die Registrierung für Gerätebenutzer zu verbessern. Dieser Abschnitt enthält weitere Informationen zu den einzelnen Empfehlungen.

Bereitstellen Unternehmensportal Web-App

Stellen Sie die Web-App-Version der Intune-Unternehmensportal Website bereit, damit Benutzer schnell auf gerätebezogene status, Geräteaktionen und Konformitätsinformationen zugreifen können. Die Web-App wird auf dem Startbildschirm angezeigt und fungiert als Link zur Unternehmensportal Website. Ohne die Web-App können Gerätebenutzer weiterhin auf die Unternehmensportal Website zugreifen, müssen aber den Browser öffnen und die Adresse in das Suchfeld eingeben. Weitere Informationen zum Hinzufügen einer Web-App finden Sie unter Hinzufügen von Web-Apps zu Microsoft Intune.

Aktivieren der Verbundauthentifizierung

Bei der Apple-Benutzerregistrierung müssen Sie verwaltete Apple-IDs für die Registrierung von Benutzern erstellen und bereitstellen. Wenn Sie die Verbundauthentifizierung aktivieren, die aus dem Verknüpfen von Apple Business Manager mit Microsoft Entra ID besteht, müssen Sie nicht für jeden Benutzer eindeutige Apple-IDs erstellen und bereitstellen. Stattdessen kann sich ein Gerätebenutzer bei seinen Apps mit denselben Anmeldeinformationen anmelden, die er für sein Geschäftskonto verwendet. Weitere Informationen finden Sie unter Einführung in die Verbundauthentifizierung mit Apple Business Manager im Apple Business Manager-Benutzerhandbuch.

Schritt 1: Einrichten der Just-in-Time-Registrierung und Zuweisen von Microsoft Authenticator

Konfigurieren Sie die Just-In-Time-Registrierung, und weisen Sie Microsoft Authenticator als erforderliche App zu. Die Schritte finden Sie unter Einrichten der JIT-Registrierung in Intune. Kehren Sie zu diesem Artikel zurück, wenn Sie fertig sind, damit Sie mit dem nächsten Schritt fortfahren können.

Schritt 2: Erstellen eines Registrierungsprofils

Erstellen Sie ein Registrierungsprofil für Geräte, die sich über die kontogesteuerte Benutzerregistrierung registrieren. Das Registrierungsprofil löst die Registrierung des Gerätebenutzers aus und ermöglicht es dem Benutzer, die Registrierung über die App "Einstellungen" zu initiieren.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräteregistrierung>.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie unter Registrierungsoptionendie Option Registrierungstypen aus.

  4. Wählen Sie Profil erstellen>iOS/iPadOS aus.

  5. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil ein, damit Sie es von anderen Profilen im Admin Center unterscheiden können. Gerätebenutzer sehen diese Details nicht.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie auf der Seite Einstellungen für Registrierungstyp aus, wie Geräte registriert werden sollen. Sie können die Registrierungsmethode auswählen oder Benutzern erlauben, ihre eigene Wahl zu treffen. Ihre Auswahl bestimmt den Registrierungsprozess, der Microsoft Intune durchführt. Dies spiegelt sich auch im Gerätebesitz-Attribut in Microsoft Intune wider. Weitere Informationen zur Benutzeroberfläche des Benutzers und dessen, was während der Registrierung auf dem Bildschirm angezeigt wird, finden Sie unter Einrichten eines persönlichen iOS-Geräts für Arbeit oder Schule.

    Ihre Optionen:

    • Kontogesteuerte Benutzerregistrierung: Zugewiesene Benutzer, die die Registrierung initiieren, werden über die kontogesteuerte Benutzerregistrierung registriert.

    • Bestimmen basierend auf der Benutzerauswahl: Zugewiesene Benutzer, die die Registrierung initiieren, können auswählen, wie sie ihr Gerät registrieren möchten. Ihre Optionen:

      • Ich besitze dieses Gerät: Mit dieser Auswahl werden weitere Einstellungen angezeigt. Der Benutzer hat die Möglichkeit, sein gesamtes Gerät oder nur arbeitsbezogene Apps und Daten zu schützen.

      • (Unternehmen) besitzt dieses Gerät: Das Gerät wird über die Apple-Geräteregistrierung registriert. Weitere Informationen zu dieser Registrierungsmethode finden Sie unter Geräteregistrierung und MDM auf der Apple Support-Website.

  8. Wählen Sie Weiter aus.

  9. Weisen Sie auf der Seite Zuweisungen das Profil allen Benutzern zu, oder wählen Sie bestimmte Gruppen aus. Gerätegruppen werden in Benutzerregistrierungsszenarien nicht unterstützt, da für die Benutzerregistrierung Benutzeridentitäten erforderlich sind.

  10. Wählen Sie Weiter aus.

  11. Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.

Schritt 3: Vorbereiten der Mitarbeiter auf die Registrierung

Um die Geräteregistrierung auf einem persönlichen Gerät zu initiieren, muss der Gerätebesitzer zur App "Einstellungen" wechseln und sich mit dem Geschäfts-, Schul- oder Unikonto anmelden. Wenn sie versuchen, sich mit ihrem Geschäfts-, Schul- oder Unikonto bei einer App anzumelden, benachrichtigt die App sie über die Registrierungsanforderung und teilt ihnen mit, wie sie vorgehen sollen.

In diesem Abschnitt werden die Registrierungsschritte für Gerätebenutzer beschrieben. Es wird empfohlen, diese Informationen in der Geräte-Onboarding-Dokumentation Ihres organization oder zur Problembehandlung und zum Support zu verwenden.

  1. Öffnen Sie die App "Einstellungen" auf Ihrem Gerät.
  2. Wählen Sie Allgemein aus.
  3. Wählen Sie VPN & Geräteverwaltung aus.
  4. Melden Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto oder mit der Apple-ID an, die Ihnen von Ihrem organization bereitgestellt wird.
  5. Wählen Sie Bei iCloud anmelden aus.
  6. Geben Sie das Kennwort für den Benutzernamen ein, der auf dem Bildschirm angezeigt wird. Wählen Sie dann Weiter aus.
  7. Wählen Sie Remoteverwaltung zulassen aus.
  8. Warten Sie einige Minuten, während Ihr Gerät konfiguriert und das Verwaltungsprofil installiert ist.
  9. Um zu bestätigen, dass Ihr Gerät für die Arbeit bereit ist, wechseln Sie zu VPN-& Geräteverwaltung. Vergewissern Sie sich, dass Ihr Geschäftskonto unter VERWALTETES KONTO aufgeführt ist.
  10. Microsoft Authenticator ist für den Zugriff auf Arbeits-Apps erforderlich. Warten Sie einige Minuten nach der Registrierung, bis Authenticator auf Ihrem Gerät installiert wird. Wenn Sie versuchen, sich ohne Authenticator bei einer Arbeits-App anzumelden, wird eine Fehlermeldung angezeigt.
  11. Möglicherweise erhalten Sie weitere Aufforderungen, die Sie um Ihre Genehmigung für die Installation von Arbeits-Apps bitten. Wählen Sie Installieren aus, um die Installation zu genehmigen.

Profilpriorität

Intune wendet Registrierungsprofile in der Reihenfolge an, in der Sie sie priorisieren. So ändern Sie die Reihenfolge, in der sie angewendet werden:

  1. Zurück zu Registrierungstypen, um Ihre Profile anzuzeigen.
  2. Ziehen Sie die Profile in der Liste, und legen Sie sie ab, um ihre Priorität neu anzuordnen.

Wenn ein Konflikt auftritt, weil einem Benutzer mehr als ein Profil zugewiesen ist, wendet Intune das Profil mit der höheren Priorität an.

Entfernen des Geräts aus der Verwaltung

Das Volume und die kryptografischen Schlüssel, die zum Verwalten der Arbeitsdaten auf dem Gerät erstellt wurden, werden gelöscht, wenn die Registrierung des Geräts bei Intune aufgehoben wird.

Bekannte Probleme

In diesem Abschnitt werden die aktuellen bekannten Probleme mit der kontogesteuerten Apple-Benutzerregistrierung und Microsoft Intune beschrieben.

Fehler bei der Registrierung aufgrund der SSO-Anwendung für die Registrierung

Wenn sich die Microsoft Authenticator-App vor Beginn der Registrierung auf dem Gerät befindet, tritt bei der Registrierung ein Fehler auf, wenn der Gerätebenutzer versucht, sich mit ihrem Geschäfts-, Schul- oder Unikonto in der Einstellungs-App anzumelden. Die empfangene Nachricht lautet:

  • Titel: Fehler bei der Anmeldung
  • Beschreibung: Die Anwendung Enrollment SSO wurde auf dem Gerät installiert.

Um dieses Problem zu umgehen, muss der Gerätebenutzer die Microsoft Authenticator-App deinstallieren und die Registrierung neu starten.

Nächste Schritte