Authentifizierungsmethoden für die automatisierte Geräteregistrierung in Intune
Gilt für iOS/iPadOS
In diesem Artikel werden die Authentifizierungsmethoden beschrieben, die für iOS-/iPadOS-Geräte verfügbar sind, die über die automatisierte Geräteregistrierung bei Intune registriert sind. Folgende Authentifizierungsmethoden sind verfügbar:
- Intune-Unternehmensportal-App
- Setup-Assistent mit moderner Authentifizierung
- Just-in-Time-Registrierung (JIT) für den Setup-Assistenten mit moderner Authentifizierung
- Setup-Assistent (Legacy)
Alle Methoden sind für unternehmenseigene Geräte mit Benutzeraffinität verfügbar und über Apple Business Manager oder Apple School Manager erworben.
Option 1: Intune-Unternehmensportal-App
Verwenden Sie die Intune-Unternehmensportal-App als Authentifizierungsmethode, wenn Sie Folgendes ausführen möchten:
- Verwenden Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).
- Sie möchten Benutzer zum Ändern ihres Kennworts auffordern, wenn sie sich zum ersten Mal anmelden.
- Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
- Registrieren Sie Geräte in Microsoft Entra ID, und verwenden Sie Features, die mit Microsoft Entra ID verfügbar sind, z. B. bedingten Zugriff.
- Installieren Sie die Unternehmensportal-App während der Registrierung automatisch. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
- Sie sollten das Gerät so lange sperren, bis die Unternehmensportal-App installiert ist.
Achtung
Intune blockiert eine Registrierung, die diese Authentifizierungsmethode verwendet, wenn der Gerätebenutzer einen kontogesteuerten Apple-Benutzerregistrierungsprofiltyp verwendet. Dieses Verhalten wird erwartet. Der Benutzer erhält eine Fehlermeldung, die besagt, dass sein Konto die Registrierung über die Unternehmensportal-App nicht unterstützt und dass er sich über die Unternehmensportal-Website registrieren muss. Um eine erfolgreiche Registrierung über die automatisierte Geräteregistrierung sicherzustellen, verwenden Sie Option 2: Setup-Assistent mit moderner Authentifizierung als Authentifizierungsmethode, wenn Sie mit kontogesteuerten Apple-Benutzerregistrierungsprofiltypen arbeiten.
Option 2: Setup-Assistent mit moderner Authentifizierung
Diese Option bietet die gleiche Sicherheit wie die Intune-Unternehmensportalauthentifizierung, unterscheidet sich jedoch, da sie dem Gerätebenutzer den Zugriff auf Teile des Geräts ermöglicht, auch wenn das Unternehmensportal nicht installiert wurde. Verwenden Sie diese Option für die Authentifizierung in folgenden Fällen:
- Setzen Sie das Gerät zurück.
- Verwenden Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).
- Sie möchten Benutzer zum Ändern ihres Kennworts auffordern, wenn sie sich zum ersten Mal anmelden.
- Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
- Registrieren Sie Geräte in Microsoft Entra ID, und verwenden Sie Features, die mit Microsoft Entra ID verfügbar sind, z. B. bedingten Zugriff.
- Installieren Sie die Unternehmensportal-App während der Registrierung automatisch. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
- Zulassen, dass Benutzer das Gerät auch dann verwenden können, wenn die Unternehmensportal-App nicht installiert ist.
Der Setup-Assistent mit moderner Authentifizierung wird auf Geräten mit iOS/iPadOS 13.0 und höher unterstützt. Ältere iOS-/iPadOS-Geräte, denen dieser Profiltyp zugewiesen ist, greifen auf die Authentifizierung des Setup-Assistenten (Legacy) zurück.
Automatisches Installieren der Unternehmensportal-App
Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren. Um die automatische Installation in Ihrem Registrierungsprofil zu aktivieren , wählen Sie ja für Unternehmensportal mit VPP installieren aus. Es wird empfohlen, diese Option zu verwenden.
Wenn Sie die VPP-Option nicht verwenden, muss der Gerätebenutzer seine Apple-ID während des Setup-Assistenten eingeben oder wenn Intune versucht, das Unternehmensportal zu installieren.
In beiden Szenarien ist die Installationsoption Unternehmensportal für den Gerätebenutzer ausgeblendet, und das Unternehmensportal wird zu einer erforderlichen App auf dem Gerät. Wenn der Benutzer den Startbildschirm erreicht, wendet Intune automatisch die richtige App-Konfigurationsrichtlinie auf das Gerät an.
Achtung
Senden Sie nach der Registrierung mit dem Setup-Assistenten mit moderner Authentifizierung keine separate App-Konfigurationsrichtlinie für iOS-/iPadOS-Geräte an das Unternehmensportal. Dies führt zu einem Fehler.
Mehrstufige Authentifizierung
Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ist erforderlich, wenn eine Richtlinie für bedingten Zugriff, die sie erfordert, bei der Registrierung oder während der Anmeldung im Unternehmensportal angewendet wird. MFA ist jedoch optional, basierend auf den Microsoft Entra-Einstellungen in der Richtlinie für den gezielten bedingten Zugriff.
Externe Authentifizierungsmethoden werden in Microsoft Entra ID unterstützt. Dies bedeutet, dass Sie Ihre bevorzugte MFA-Lösung verwenden können, um MFA während der Geräteregistrierung zu vereinfachen. Wenn Sie sich für die Verwendung eines MFA-Drittanbieters entscheiden, führen Sie vor dem Bereitstellen von Registrierungsprofilen auf allen Geräten einen Testlauf durch, um sicherzustellen, dass sowohl der Microsoft Entra MFA-Bildschirm als auch die MFA während der Registrierung funktionieren. Weitere Informationen und Supportdetails zu externen Authentifizierungsmethoden finden Sie unter Öffentliche Vorschau: Externe Authentifizierungsmethoden in Microsoft Entra ID.
Unternehmensportalaktion erforderlich
Nachdem er die Bildschirme des Setup-Assistenten durchlaufen hat, gelangt der Gerätebenutzer zur Startseite. An diesem Punkt wird ihre Benutzeraffinität festgestellt. Bis sich der Benutzer jedoch mit seinen Microsoft Entra-Anmeldeinformationen beim Unternehmensportal anmeldet und Begin auswählt, ist das Gerät:
- Wird nicht vollständig mit der Microsoft Entra-ID registriert.
- Wird nicht in der Geräteliste des Benutzers in Microsoft Entra ID angezeigt.
- Es hat keinen Zugriff auf Ressourcen, die durch bedingten Zugriff geschützt sind.
- Die Gerätekonformität wird nicht ausgewertet.
- In anderen Apps erfolgt eine Weiterleitung an das Unternehmensportal, wenn der Benutzer versucht, verwaltete Anwendungen zu öffnen, die durch bedingten Zugriff geschützt sind.
Option 3: Just-in-Time-Registrierung für Setup-Assistent mit moderner Authentifizierung
Diese Option ist identisch mit dem Setup-Assistenten mit moderner Authentifizierung, mit der Ausnahme, dass das Unternehmensportal für die Registrierung oder Compliance von Microsoft Entra nicht erforderlich ist. Stattdessen sind Microsoft Entra-Registrierungs- und Konformitätsprüfungen vollständig in eine bestimmte Microsoft- oder Nicht-Microsoft-App integriert, die mit der App-Erweiterung für einmaliges Anmelden (Single Sign-On, SSO) von Apple konfiguriert ist. Die Erweiterung reduziert Authentifizierungsaufforderungen und richtet einmaliges Anmelden für das gesamte Gerät ein. Die JIT-Registrierung fordert Benutzer auf, sich zweimal zu authentifizieren:
- Eine Authentifizierung verarbeitet die Registrierung und Die Affinität zwischen Benutzer und Gerät und erfolgt, wenn der Gerätebenutzer sein Gerät einschaltet und sich beim Setup-Assistenten anmeldet.
- Eine andere Authentifizierung übernimmt die Microsoft Entra-Registrierung und erfolgt, wenn sich der Benutzer bei der angegebenen App anmeldet. Kompatibilitätsprüfungen werden auch in dieser App durchgeführt.
Hinweis
Wenn Ihre Organisation Microsoft Defender für Endpunkt verwendet, stellen Sie sicher, dass die Microsoft Defender für Endpunkt-App nicht die ersten Benutzer der App ist , damit die JIT-Registrierung und compliance-Korrektur wie erwartet funktioniert.
Sobald der Gerätebenutzer den Startbildschirm erreicht hat, kann er sich bei jeder Geschäfts-, Schul- oder Uni-App anmelden, die mit der SSO-Erweiterung konfiguriert ist, um die Microsoft Entra-Registrierung und Konformitätsprüfungen abzuschließen. SSO signiert den Benutzer bei allen Apps, die Teil Ihrer SSO-Erweiterungsrichtlinie sind. An diesem Punkt können sie sich auch manuell bei jeder App anmelden, die nicht für die Verwendung der SSO-Erweiterung konfiguriert ist.
So richten Sie die JIT-Registrierung mit automatisierter Geräteregistrierung ein:
Erstellen Sie eine Gerätekonfigurationsrichtlinie, und konfigurieren Sie die Einstellungen unter der App-Erweiterungskategorie Einmaliges Anmelden . Die Schritte finden Sie unter Einrichten der Just-in-Time-Registrierung.
Erstellen Sie ein Apple-Registrierungsprofil , und wählen Sie Setup-Assistent mit moderner Authentifizierung als Authentifizierungsmethode aus. Ein aktives automatisches Geräteregistrierungstoken von Apple Business Manager oder Apple School Manager muss in Intune vorhanden sein, um diesen Schritt ausführen zu können.
Wenn Sie im Registrierungsprofil zur Seite Zuweisungen gelangen, weisen Sie das Profil den Geräten zu, die von Apple Business Manager und Apple School Manager synchronisiert wurden. Nachdem Sie das Profil zugewiesen haben, können Mitarbeiter und Kursteilnehmer die Einrichtung und Authentifizierung auf ihren Geräten abschließen.
Hinweis
Das Unternehmensportal wird weiterhin als erforderliche App an Geräte gesendet, obwohl es für die Registrierung oder Compliance von Microsoft Entra nicht erforderlich ist. Gerätebenutzer können die Unternehmensportal-App verwenden, um Protokolle zu sammeln und hochzuladen , wenn probleme in der App auftreten.
Beispiel für eine erfolgreiche Authentifizierung
Die folgende Ereignissequenz beschreibt ein Beispiel dafür, wie eine erfolgreiche Authentifizierung mit JIT-Registrierung für den Setup-Assistenten mit moderner Authentifizierung aussieht. Die Erfahrung Ihrer Organisation kann je nach ihren konfigurationen für die automatische Geräteregistrierung unterschiedlich sein.
Der Gerätebenutzer schaltet das Gerät ein.
Der Setup-Assistent beginnt. Der Gerätebenutzer authentifiziert sich mit seinen Microsoft Entra-Anmeldeinformationen im Setup-Assistenten.
Der Gerätebenutzer schließt die mehrstufige Authentifizierung ab, wenn dies in der Richtlinie für bedingten Zugriff erforderlich ist.
Die Registrierung des Geräts bei Intune ist abgeschlossen, und die Affinität zwischen Benutzer und Gerät wird eingerichtet.
Der Gerätebenutzer wird auf dem Startbildschirm angezeigt und öffnet Microsoft Teams oder eine andere Office-App und meldet sich mit dem Geschäftskonto an. Wenn das Gerät alle Complianceanforderungen erfüllt, hat der Gerätebenutzer sofort Zugriff auf seine Nachrichten und kalender.
Hinweis
Während der Microsoft Entra-Registrierung wird dem Gerätebenutzer möglicherweise ein kurzer Spinner angezeigt, während Intune die Konformitätsprüfungen abgeschlossen hat. Dieses Verhalten ist normal und beabsichtigt.
Die SSO-Erweiterung richtet einmaliges Anmelden in allen anderen Ziel-Apps und allen Microsoft-Apps ein.
Das Gerät ist mit der Microsoft Entra-ID registriert und konform. Sie können den Status des Geräts im Admin Center und der Microsoft Entra-ID anzeigen. Der Gerätebenutzer kann den Status im Intune-Unternehmensportal anzeigen und das Unternehmensportal für Compliance, App-Bestand, Gerätesynchronisierungen und Protokollfreigabe verwenden.
Der Gerätebenutzer öffnet Teams und wird automatisch angemeldet.
Option 4: Setup-Assistent (Legacy)
Verwenden Sie den Legacy-Setup-Assistenten, wenn Sie möchten, dass Benutzer die typische, sofort einsatzbereite Erfahrung für Apple-Produkte nutzen können. Diese Option installiert vorkonfigurierte Standardeinstellungen, wenn das Gerät bei Intune registriert wird. Verwenden Sie diese Option für die Authentifizierung in folgenden Fällen:
- Sie möchten ein Gerät zurücksetzen.
- Moderne Authentifizierungsfeatures wie die mehrstufige Authentifizierung sind nicht erwünscht.
- Sie möchten keine Geräte in Microsoft Entra ID registrieren. Der Setup-Assistent (Legacy) authentifiziert den Benutzer mit dem Apple.p7m-Token.
Wenn Sie Active Directory-Verbunddienste (AD FS) verwenden und zur Authentifizierung den Setup-Assistenten verwenden, ist der Endpunkt WS-Trust 1.3 Username/Mixed erforderlich. Weitere Informationen finden Sie unter Get-AdfsEndpoint in unserem Windows PowerShell-Referenzhandbuch.
Nächste Schritte
Nachdem Sie nun wissen, welche Authentifizierungsmethode Sie verwenden, erstellen Sie ein Apple-Registrierungsprofil , und wählen Sie die Authentifizierungsmethode aus, wenn Sie dazu aufgefordert werden. Ein aktives automatisches Geräteregistrierungstoken von Apple Business Manager oder Apple School Manager muss in Intune vorhanden sein, um diesen Schritt ausführen zu können.