Freigeben über


Einrichten der automatisierten Geräteregistrierung (ADE) für iOS/iPadOS

Gilt für iOS/iPadOS

Unternehmenseigene Geräte, die über Apple Business Manager oder Apple School Manager erworben wurden, können in Intune mithilfe der automatisierten Geräteregistrierung registriert werden. Bei dieser Registrierungsoption werden die Einstellungen Ihrer Organisation von Apple Business Manager und Apple School Manager angewendet und die Geräte werden registriert, ohne sie berühren zu müssen. iPhones und iPads können direkt an Mitarbeiter*innen und Lernende ausgeliefert werden. Wenn sie ihre Geräte einschalten, führt der Apple Setup-Assistent sie durch das Setup und die Registrierung.

In diesem Artikel wird beschrieben, wie Sie die automatisierte Geräteregistrierung in Microsoft Intune vorbereiten und einrichten.

Übersicht über Eigenschaften

In der folgenden Tabelle sind die Eigenschaften und Szenarien aufgeführt, die bei der automatisierten Geräteregistrierung unterstützt werden.

Feature Verwendung der Registrierungsoption in den folgenden Fällen:
Sie möchten den überwachten Modus verwenden. ✔️

Im überwachten Modus werden unter anderem Softwareupdates bereitgestellt, Features eingeschränkt und Apps zugelassen oder blockiert.
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). ✔️
Geräte befinden sich im Modus für gemeinsam genutzte Geräte. ✔️
Geräte sind persönlich oder BYOD (Bring-Your-Own).

Nicht empfohlen. Anwendungen auf BYOD- oder persönlichen Geräten können mithilfe von MAM oder Benutzer- und Geräteregistrierung verwaltet werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Wenn Sie ein Gerät in Intune vollständig verwalten möchten, müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und sich dann bei Intune registrieren. Alternativ kann MAM verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da diese Geräte der Organisation gehören, empfiehlt es sich, sie in Intune zu registrieren.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Das DEM-Konto wird nicht unterstützt.

Zertifikate

Dieser Registrierungstyp unterstützt das ACME-Protokoll (Automated Certificate Management Environment). Wenn neue Geräte registriert werden, erhält das Verwaltungsprofil von Intune ein ACME-Zertifikat. Das ACME-Protokoll bietet einen besseren Schutz als das SCEP-Protokoll vor nicht autorisierter Zertifikatausstellung durch robuste Validierungsmechanismen und automatisierte Prozesse, wodurch Fehler bei der Zertifikatverwaltung reduziert werden.

Geräte, die bereits registriert sind, erhalten kein ACME-Zertifikat, es sei denn, sie registrieren sich erneut bei Microsoft Intune. ACME wird auf Geräten unterstützt, auf denen Folgendes ausgeführt wird:

  • iOS 16.0 oder höher

  • iPadOS 16.1 oder höher

Voraussetzungen

Bevor Sie das Registrierungsprofil erstellen können, benötigen Sie Folgendes:

Bevor Sie beginnen

Lesen Sie diese Anforderungen und bewährten Methoden für die Registrierung, um für eine erfolgreiche Einrichtung und Bereitstellung gerüstet zu sein.

Auswählen einer Authentifizierungsmethode

Bevor Sie das Registrierungsprofil erstellen, entscheiden Sie, wie sich die Benutzer*innen auf ihren Geräten authentifizieren sollen: über die Intune-Unternehmensportal-App, den Setup-Assistenten (Legacy) oder den Setup-Assistenten mit moderner Authentifizierung. Die Verwendung der Unternehmensportal-App oder des Setup-Assistenten mit moderner Authentifizierung gilt als moderne Authentifizierung und verfügt über Features wie die mehrstufige Authentifizierung.

Intune unterstützt auch die Just-in-Time-Registrierung (JIT-Registrierung) für den Setup-Assistenten mit moderner Authentifizierung, wodurch die Unternehmensportal-App für Microsoft Entra Registrierung und Compliance überflüssig wird. Um die JIT-Registrierung verwenden zu können, müssen Sie eine Gerätekonfigurationsrichtlinie erstellen, bevor Sie das Apple-Registrierungsprofil erstellen und den Setup-Assistenten mit moderner Authentifizierung konfigurieren.

Der Setup-Assistent mit moderner Authentifizierung wird auf Geräten mit iOS/iPadOS 13.0 und höher unterstützt. Für ältere iOS-/iPadOS-Geräte mit diesem Profil wird stattdessen der Setup-Assistent (Legacy) für die Authentifizierung verwendet.

Weitere Informationen zu Ihren Authentifizierungsoptionen finden Sie unter Authentifizierungsmethoden für die automatisierte Geräteregistrierung.

Was ist der überwachte Modus?

Der überwachte Modus bietet mehr Steuerungsmöglichkeiten für die Verwaltung unternehmenseigener Geräte. So können Sie beispielsweise Bildschirmaufnahmen blockieren und AirDrop einschränken.

Unternehmenseigene Geräte mit iOS/iPadOS 11 und höher, die über die automatisierte Geräteregistrierung registriert werden, sollten sich immer im überwachten Modus befinden, den Sie im Registrierungsprofil aktivieren können. Weitere Informationen zum überwachten Modus finden Sie unter Aktivieren des überwachten Modus für iOS-/iPadOS. Microsoft Intune ignoriert das is_supervised-Flag bei Geräten mit iOS/iPadOS 13.0 und höher, da diese zum Zeitpunkt der Registrierung automatisch in den überwachten Modus versetzt werden.

Registrieren von Geräten im Modus für gemeinsam genutzte Geräte

Sie können die automatisierte Geräteregistrierung für Geräte im Modus für gemeinsam genutzte Geräte einrichten. Der Modus für gemeinsam genutzte Geräte ist ein Feature von Microsoft Entra ID, durch das Mitarbeiter*innen in Service und Produktion den ganzen Tag über ein einzelnes Gerät gemeinsam nutzen können, bei dem sie sich je nach Bedarf an- und abmelden. Weitere Informationen zum Aktivieren der Registrierung von Geräten im Microsoft Entra-Modus für gemeinsam genutzte Geräte finden Sie unter Automatisierte Geräteregistrierung für den Modus für gemeinsam genutzte Geräte.

Bereitstellen der Unternehmensportal-App

Wichtig

Es wird davon abgeraten, die App Store-Version der Unternehmensportal-App zu verwenden, da sie nicht mit der automatisierten Geräteregistrierung kompatibel ist und nicht wie bei der Bereitstellung automatische Updates und Verfügbarkeit bietet.

Die Bereitstellung der Intune-Unternehmensportal-App über Intune ist die beste Methode, um die App für Benutzer*innen bereitzustellen, und die einzige Möglichkeit, um Folgendes zu erreichen:

  • Sicherstellen, dass alle ADE-Geräte, einschließlich bereits registrierter Geräte, die App erhalten
  • Aktivieren Sie automatische App-Updates für die Unternehmensportal auf ADE-Geräten.

Stellen Sie die App als erforderliche VPP-App mit Gerätelizenzierung bereit. Informationen zum Synchronisieren, Zuweisen und Verwalten einer VPP-App finden Sie unter Zuweisen einer per Volumenlizenz erworbenen App.

Um automatische App-Updates für das Unternehmensportal zu aktivieren, wechseln Sie im Admin Center zu Ihren App-Tokeneinstellungen, und ändern Sie die Einstellung für Automatische App-Updates in Ja. Die Schritte zum Zugreifen auf Ihre Tokeneinstellungen finden Sie unter Hochladen eines Apple VPP- oder Apple Business Manager-Standorttokens. Wenn Sie keine automatischen Updates aktivieren, muss der Gerätebenutzer manuell selbst danach suchen.

Das Geräte-Staging wird verwendet, um ein Gerät ohne Benutzeraffinität auf ein Gerät mit Benutzeraffinität zu übertragen. Richten Sie für das Staging eines Geräts die VPP-Bereitstellung wie weiter oben in diesem Abschnitt beschrieben ein. Konfigurieren und stellen Sie dann eine App-Konfigurationsrichtlinie bereit. Stellen Sie sicher, dass die Richtlinie nur auf die ADE-Geräte ohne Benutzeraffinität ausgerichtet ist.

Wichtig

Während der ersten Registrierung pusht Intune automatisch die App-Konfigurationsrichtlinieneinstellungen für Geräte, die mit dem Setup-Assistenten mit moderner Authentifizierung registriert sind. Dies ist unter Konfigurieren der Unternehmensportal-App für die Unterstützung von iOS- und iPadOS-Geräten, die bei der automatisierten Geräteregistrierung registriert sind, konfiguriert, wenn die Registrierungsprofileinstellung Unternehmensportal ist auf Ja festgelegt. Diese Konfiguration sollte nicht manuell für Benutzer*innen bereitgestellt werden, da sie einen Konflikt mit der Konfiguration verursacht, die während der ersten Registrierung gesendet wurde. Wenn beide bereitgestellt werden, fordert Intune Die Gerätebenutzer fälschlicherweise auf, sich beim Unternehmensportal anzumelden und ein bereits installiertes Verwaltungsprofil herunterzuladen.

Einschränkungen

  • Maximale Anzahl von Registrierungsprofilen pro Token: 1.000
  • Maximale Anzahl von Geräten mit automatisierter Geräteregistrierung pro Profil: 200.000 (identisch mit der maximalen Anzahl von Geräten pro Token)
  • Maximale Anzahl von Token für die automatisierte Geräteregistrierung pro Intune-Konto: 2.000
  • Maximale Anzahl von Geräten mit automatisierter Geräteregistrierung pro Token: 200.000
    • Es wird empfohlen, 200.000 Geräte pro Token nicht zu überschreiten. Andernfalls treten möglicherweise Synchronisierungsprobleme auf. Wenn Sie mehr als 200.000 Geräte registrieren, sollten Sie die Geräte auf mehrere ADE-Token aufteilen.
    • Apple Business Manager und Apple School Manager synchronisieren etwa 3.000 Geräte pro Minute mit Intune. Es wird empfohlen, die manuelle Synchronisierung aus dem Admin Center wieder zurückzuhalten, bis genügend Zeit verstreicht, bis die Synchronisierung aller Geräte abgeschlossen ist (Gesamtanzahl der Geräte/3.000 Geräte pro Minute).

Behandeln von Problemen bei der Registrierung

Wenn während des Registrierungsvorgangs Probleme bei der Synchronisierung auftreten, können Sie unter Fehlermeldungen nach Lösungen suchen.

Abrufen eines Tokens für die automatische Geräteregistrierung von Apple

Damit Sie iOS-/iPadOS-Geräte mit der automatischen Geräteregistrierung registrieren können, benötigen Sie ein Token (P7M-Datei) für die automatisierte Geräteregistrierung von Apple. Mit diesem Token kann Intune Informationen zu den ADE-Geräten synchronisieren, die Ihrem Unternehmen gehören. Damit kann Intune außerdem Registrierungsprofile zu Apple hochladen und diesen Profilen Geräte zuweisen.

Verwenden Sie Apple Business Manager (ABM) oder Apple School Manager (ASM), um ein Token zu erstellen und Intune Geräte zur Verwaltung zuzuweisen.

Hinweis

Sie können eines der Apple-Portale verwenden, um ADE zu aktivieren. Der Rest dieses Artikels bezieht sich auf Apple Business Manager, aber die Schritte für Apple School Manager sind die gleichen.

Schritt 1: Herunterladen des öffentlichen Schlüsselzertifikats in Intune

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie Registrierungsprogrammtoken>Hinzufügen.

  4. Auf der Registerkarte Grundlagen:

    1. Wählen Sie Ich stimme zu , um Microsoft die Berechtigung zu erteilen, Benutzer- und Geräteinformationen an Apple zu senden.

      Screenshot, der den Bildschirm „Token für Registrierungsprogramm hinzufügen“ anzeigt

    2. Klicken Sie auf Öffentliches, für die Tokenerstellung erforderliches Intune-Schlüsselzertifikat herunterlade. Mit diesem Schritt wird die Verschlüsselungsschlüsseldatei (.pem) heruntergeladen und lokal gespeichert. Mithilfe der PEM-Datei wird ein Vertrauensstellungszertifikat vom Apple Business Manager-Portal angefordert.

      Später laden Sie in Schritt 2: Wechseln zum Apple Business Manager-Portal diese PEM-Datei in Apple Business Manager hoch.

    3. Lassen Sie diese Registerkarte und Seite des Webbrowsers geöffnet. Wenn Sie die Registerkarte schließen, geschieht Folgendes:

      • Das Zertifikat, das Sie heruntergeladen haben, wird ungültig.
      • Sie müssen die Schritte wiederholen.
      • Auf der Registerkarte Überprüfen und erstellen ist die Schaltfläche Erstellen nicht verfügbar, und Sie können diese Verfahren nicht abschließen.

Schritt 2: Navigieren zum Apple Business Manager-Portal

Erstellen und erneuern Sie Ihr ADE-Token (MDM-Server) im Apple Business Manager-Portal. Dieses Token wird zu Intune hinzugefügt und ist für die Kommunikation zwischen Intune und Apple zuständig.

Hinweis

Die folgenden Schritte geben an, wie Sie in Apple Business Manager vorgehen müssen. Informationen zu den einzelnen Schritten finden Sie in der Apple-Dokumentation. Das Apple Business Manager-Benutzerhandbuch (auf der Website von Apple) kann hilfreich sein.

Herunterladen des Apple-Tokens

  1. Melden Sie sich mit Ihrer Unternehmens-Apple-ID in Apple Business Manager an.

  2. Führen Sie in diesem Portal die folgenden Schritte aus:

    • In den Einstellungen werden alle Tokens angezeigt. Fügen Sie einen MDM-Server hinzu und laden Sie das öffentliche Schlüsselzertifikat (.pem-Datei) hoch, das Sie in Schritt 1: Herunterladen des öffentlichen Intune-Schlüsselzertifikats (in diesem Artikel) aus Intune heruntergeladen haben.

      Der Servername dient der Identifikation des MDM-Servers. Es handelt sich nicht um den Namen oder die URL des Microsoft Intune-Diensts.

    • Nachdem Sie den MDM-Server gespeichert haben, wählen Sie ihn aus, und laden Sie dann das Token (.p7m-Datei) herunter. Später, in Schritt 4: Hochladen Ihres Tokens und Beenden, laden Sie das P7M-Token in Intune hoch.

Zuweisen von Geräten zum Apple-Token (MDM-Server)

  1. Klicken Sie auf Apple Business Manager>Devices (Geräte), und wählen Sie die Geräte aus, die diesem Token zugewiesen werden sollen. Sie können nach verschiedenen Geräteeigenschaften sortieren, z. B. die Seriennummer. Sie können auch mehrere Geräte gleichzeitig auswählen.
  2. Bearbeiten Sie die Geräteverwaltung, und wählen Sie den soeben hinzugefügten MDM-Server aus. In diesem Schritt werden dem Token Geräte zugewiesen.

Schritt 3: Speichern der Apple-ID

  1. Wechseln Sie in Ihrem Webbrowser zurück zur Registerkarte mit der Microsoft Intune Seite Registrierungsprogrammtoken hinzufügen, auf der Sie in Schritt 1: Herunterladen des Intune Öffentlichen Schlüsselzertifikats begonnen haben.

  2. Geben Sie unter Apple ID Ihre ID ein. In diesem Schritt wird die ID gespeichert. Die ID kann in Zukunft verwendet werden.

    Screenshot mit dem App-ID-Feld auf der Registerkarte Basics (Grundlagen)

Schritt 4: Hochladen Ihres Tokens und Beenden

  1. Navigieren Sie in Apple-Token zur .p7m-Zertifikatsdatei, und wählen Sie dann Open (Öffnen) aus.

    Tipp

    Sie haben das Token in Schritt 2: Wechseln zum Apple Business Manager-Portal heruntergeladen.

  2. Wählen Sie Weiter aus.

  3. Klicken Sie auf der Registerkarte Bewerten + erstellen auf Erstellen.

Mit dem Pushzertifikat kann Intune iOS-/iPadOS-Geräte registrieren und verwalten, indem Richtlinien auf registrierte mobile Geräte gepusht wird. Intune führt eine automatische Synchronisierung mit Apple durch, um auf Ihr Registrierungsprogrammkonto zuzugreifen.

Apple-Registrierungsprofil erstellen

Nachdem Sie Ihr Token nun installiert haben, können Sie ein Registrierungsprofil für die automatisierte Geräteregistrierung erstellen. Ein Geräteregistrierungsprofil definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden. Es besteht ein Limit von 1.000 Registrierungsprofilen pro Registrierungstoken.

Hinweis

Die Registrierung von Geräten wird blockiert, wenn nicht genügend Unternehmensportal Lizenzen für ein VPP-Token vorhanden sind oder wenn das Token abläuft. Intune benachrichtigt Sie, wenn ein Token bald abläuft oder die Lizenzen knapp werden.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie Registrierungsprogrammtoken aus.

  4. Wählen Sie ein Token und dann Profile aus.

  5. Wählen Sie Profil erstellen>iOS/iPadOS aus.

  6. Geben Sie für Allgemeine Informationen dem Profil einen Namen und eine Beschreibung für administrative Zwecke. Benutzer können diese Informationen nicht sehen.

  7. Wählen Sie Weiter aus.

    Wichtig

    Sie müssen Ihren Geräten eine Registrierungsrichtlinie zuweisen, bevor die Geräte aktiv werden. Es wird empfohlen, so bald wie möglich eine Standardregistrierungsrichtlinie festzulegen, damit Geräte bei der Synchronisierung von Apple Business Manager oder Apple School Manager und anschließender Aktivierung über die automatische Geräteregistrierung ordnungsgemäß registriert werden können. Wenn einem Gerät, das Sie von Apple synchronisiert haben, keine Registrierungsrichtlinie zugewiesen ist und sie von jemandem aktiviert wird, um es einzurichten, schlägt die Registrierung fehl.

    Wichtig

    Wenn Sie Änderungen an einem vorhandenen Registrierungsprofil vornehmen, werden die neuen Einstellungen auf den zugewiesenen Geräten erst dann wirksam, nachdem diese auf die Werkseinstellungen zurückgesetzt und reaktiviert wurden. Die Einstellung für Gerätenamenvorlagen ist die einzige Einstellung, die Sie ändern können, ohne dass eine Zurücksetzung auf die Werkseinstellungen erforderlich ist. Änderungen an der Namensvorlage werden beim nächsten Einchecken wirksam.

  8. Wählen Sie in der Liste Benutzeraffinität eine Option aus, die bestimmt, ob sich Geräte mit diesem Profil mit oder ohne einen zugewiesenen Benutzer registrieren müssen.

    • Mit Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die Benutzern gehören, die die Unternehmensportal für Dienste wie die Installation von Apps verwenden möchten.

    • Ohne Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte, die nicht einem einzelnen Benutzer zugeordnet sind. Verwenden Sie diese Option für Geräte, die nicht auf lokale Benutzerdaten zugreifen. Diese Option wird in der Regel für Kioskgeräte, Verkaufsstellengeräte oder gemeinsam genutzte Geräte verwendet.

      In einigen Situationen möchten Sie möglicherweise einen primären Benutzer geräten zuordnen, die ohne Benutzeraffinität registriert sind. Zum Durchführen dieser Aufgabe können Sie den IntuneUDAUserlessDevice-Schlüssel in einer App-Konfigurationsrichtlinie für verwaltete Geräte an die Unternehmensportal-App senden. Der erste Benutzer, der sich bei der Unternehmensportal-App anmeldet wird als primärer Benutzer festgelegt. Wenn sich der erste Benutzer abmeldet und ein anderer Benutzer anmeldet, bleibt der erste Benutzer der primäre Benutzer des Geräts. Weitere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-ADE-Geräten.

    • Mit Microsoft Entra ID-Modus für gemeinsame Nutzung registrieren: Wählen Sie diese Option, um Geräte zu registrieren, die sich im Modus für die gemeinsame Nutzung befinden.

  9. Wenn Sie im Feld Benutzeraffinität die Option Mit Benutzeraffinität registrieren ausgewählt haben, haben Sie die Möglichkeit, die Authentifizierungsmethode auszuwählen, die von den Benutzer*innen verwendet werden soll. Weitere Informationen zu den einzelnen Authentifizierungsmethoden finden Sie unter Authentifizierungsmethoden für die automatisierte Geräteregistrierung.

    Screenshot: Optionen der Authentifizierungsmethode

    Folgende Optionen sind verfügbar:

    • Unternehmensportal
    • Setup-Assistent (Legacy)
    • Setup-Assistent mit moderner Authentifizierung
  10. Wenn Sie Setup-Assistent (Legacy) als Authentifizierungsmethode ausgewählt haben, aber auch den bedingen Zugriff verwenden oder Unternehmens-Apps auf den Geräten bereitstellen möchten, müssen Sie das Unternehmensportal auf den Geräten installieren und sich anmelden, um die Microsoft Entra-Registrierung abzuschließen. Wählen Sie hierzu Ja für Unternehmensportal installieren aus. Wenn Sie möchten, dass Benutzer Unternehmensportal erhalten, ohne sich beim App Store authentifizieren zu müssen, wählen Sie unter Installieren von Unternehmensportal mit VPP ein VPP-Token aus. Vergewissern Sie sich, dass das Token nicht abläuft, und dass Sie über genügend Gerätelizenzen für die Unternehmensportal-App verfügen, um eine ordnungsgemäße Bereitstellung zu ermöglichen.

  11. Wenn Sie ein Token für Unternehmensportal mit VPP installieren ausgewählt haben, können Sie das Gerät unmittelbar nach Beendigung des Setup-Assistenten in den Einzelanwendungsmodus (insbesondere die Unternehmensportal-App) sperren. Wählen Sie für Run Company Portal in Single App Mode until authentication (Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen) Ja aus, um diese Option festzulegen. Um das Gerät verwenden zu können, muss sich der Benutzer zuerst authentifizieren, indem er sich beim Unternehmensportal anmeldet.

    Hinweis

    Mehrstufige Authentifizierung wird auf einem einzelnen Gerät, das im Einzelanwendungsmodus gesperrt ist, nicht unterstützt. Diese Einschränkung gibt es, weil das Gerät nicht zu einer anderen App wechseln kann, um den zweiten Authentifizierungsfaktor abzuschließen. Daher muss sich der zweite Faktor, wenn Sie mehrstufige Authentifizierung auf einem Einzelanwendungsmodus-Gerät verwenden möchten, auf einem anderen Gerät befinden.

    Dieses Feature wird nur für iOS/iPadOS 11.3.1 und höher unterstützt.

    Screenshot mit der Option „Run Company Portal in Single App Mode“ (Unternehmensportal im Einzelanwendungsmodus ausführen)

  12. Wenn Geräte, die dieses Profil verwenden, überwacht werden sollen , wählen Sie ja in der Liste Überwacht aus.

    Screenshot mit der Option „Überwacht“

    Bei überwachten Geräten stehen mehr Verwaltungsfunktionen zur Verfügung, und die Aktivierungssperre ist standardmäßig deaktiviert. Microsoft empfiehlt, die automatische Geräteregistrierung als Mechanismus zur Aktivierung des überwachten Modus zu verwenden. Dies gilt insbesondere, wenn Sie eine große Anzahl von iOS-/iPadOS-Geräten bereitstellen. Apple Shared iPad for Business-Geräte müssen überwacht werden.

    Die Benutzer*innen werden in der Einstellungen-App darüber benachrichtigt, dass ihre Geräte überwacht werden. In der App am oberen Rand ihres Bildschirms wird eine statische Meldung dazu angezeigt, dass das iPhone von <your organization> überwacht und verwaltet wird.

    Hinweis

    Wenn ein Gerät ohne Überwachung registriert ist, müssen Sie Apple Configurator verwenden, wenn Sie es auf „Überwacht“ festlegen möchten. Um das Gerät auf diese Weise zurückzusetzen, müssen Sie es mit einem USB-Kabel mit einem Mac verbinden. Weitere Informationen finden Sie unter Apple Configurator – Hilfe.

  13. Wählen Sie in der Liste Gesperrte Registrierung die Option Ja oder Nein aus. Bei gesperrter Registrierung sind die iOS-/iPadOS-Einstellungen deaktiviert, über die das Verwaltungsprofil entfernt werden kann. Wenn Sie die gesperrte Registrierung aktivieren, wird die Schaltfläche in der Einstellungen-App, über die die Benutzer*innen ein Verwaltungsprofil entfernen können, ausgeblendet, und die Benutzer*innen können die Registrierung ihres Geräts nicht aufheben. Wenn Sie Geräte im Microsoft Entra ID-Modus für die gemeinsame Nutzung einrichten, wählen Sie Ja aus.

    Die gesperrte Registrierung funktioniert zunächst etwas anders auf Geräten, die nicht ursprünglich über Apple Business Manager erworben wurden, aber später als Teil der automatisierten Geräteregistrierung hinzugefügt wurden: Benutzer auf diesen Geräten können die Schaltfläche "Verwaltung entfernen" in der App "Einstellungen" für die ersten 30 Tage nach der Aktivierung ihres Geräts sehen. Nach ablauf dieses vorläufigen Zeitraums ist diese Option ausgeblendet. Weitere Informationen finden Sie unter Manuelles Vorbereiten von Geräten (die Apple Configurator-Hilfedokumentation wird geöffnet).

    Wichtig

    Diese Einstellung unterscheidet sich von den Optionen zum Entfernen und Zurücksetzen in der Unternehmensportal-App. Unabhängig davon, wie Sie die gesperrte Registrierung konfigurieren, sind die Optionen Gerät entfernen oder Auf Werkseinstellungen zurücksetzen in der Unternehmensportal-App auf Geräten, die mittels automatisierter Geräteregistrierung registriert wurden, nicht verfügbar. Die Benutzer*innen können das Gerät auch nicht über die Unternehmensportal-Website entfernen. Weitere Informationen zu den Self-Service-Aktionen, die auf registrierten Geräten verfügbar sind, finden Sie unter Self-Service-Aktionen.

  14. Wenn Sie sich in den vorherigen Schritten für die Optionen Ohne Benutzeraffinität registrieren und Überwacht entschieden haben, müssen Sie sich entscheiden, ob die Geräte als Apple Shared iPad for Business-Geräte konfiguriert werden sollen oder nicht. Wählen Sie Ja für Freigegebenes iPad aus, um mehreren Benutzern die Anmeldung bei einem einzelnen Gerät zu ermöglichen. Benutzer authentifizieren sich mithilfe ihrer verwalteten Apple-IDs und Verbundauthentifizierungskonten oder mithilfe einer temporären Sitzung (z. B. dem Gastkonto). Für diese Option ist iOS/iPadOS 13.4 oder höher erforderlich. Bei einem freigegebenen iPad werden alle Setup-Assistentenbereiche nach der Aktivierung automatisch übersprungen.

    Hinweis

    • Ein Zurücksetzen des Geräts ist erforderlich, wenn ein iOS-/iPadOS-Registrierungsprofil mit aktivierter gemeinsamer iPad-Nutzung an ein nicht unterstütztes Gerät gesendet wird. Nicht unterstützte Geräte umfassen alle iPhone-Modelle und iPads, auf denen iPadOS/iOS 13.3 und früher ausgeführt wird. Zu den unterstützten Geräten gehören iPads mit iPadOS 13.3 und höher.
    • Zum Einrichten von Apple Shared iPad for Business konfigurieren Sie die folgenden Einstellungen:
      • Wählen Sie in der Liste Benutzeraffinität die Option Ohne Benutzeraffinität registrieren aus.
      • Wählen Sie in der Liste Überwacht die Option Ja aus.
      • Wählen Sie in der Liste Shared iPad die Option Ja aus.

    Wenn Sie „Apple Shared iPad for Business-Geräte einrichten, konfigurieren Sie auch Folgendes:

    • Maximal zwischengespeicherte Benutzer:Geben Sie die Anzahl der Benutzer ein, von denen Sie erwarten, dass sie das freigegebene iPad verwenden. Sie können bis zu 24 Benutzer auf einem Gerät mit 32 GB oder 64 GB zwischenspeichern. Wenn Sie eine niedrige Anzahl auswählen, kann es eine Weile dauern, bis die Daten Ihrer Benutzer auf ihren Geräten angezeigt werden, nachdem sie sich angemeldet haben. Wenn Sie eine hohe Anzahl auswählen, könnte den Benutzern der Speicherplatz ausgehen.

    • Maximale Anzahl an Sekunden nach der Bildschirmsperre, bevor das Kennwort erforderlich ist: Geben Sie die Zeitspanne in Sekunden an. Zulässige Werte sind: 0, 60, 300, 900, 3.600 und 14.400. Wenn die Bildschirmsperre diese Zeit überschreitet, ist ein Gerätekennwort erforderlich, um das Gerät zu entsperren. Verfügbar für Geräte im Modus "Gemeinsam genutztes iPad", auf denen iPadOS 13.0 und höher ausgeführt wird.

    • Maximale Anzahl an Inaktivitätssekunden, bis sich die Benutzersitzung abmeldet:Der zulässige Mindestwert für diese Einstellung ist 30. Wenn nach dem definierten Zeitraum keine Aktivität mehr erfolgt, wird die Benutzersitzung beendet und der Benutzer abgemeldet. Wenn Sie den Eintrag leer lassen oder auf 0 (0) festlegen, wird die Sitzung nie aufgrund von Inaktivität beendet. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

    • Nur temporäre Sitzung für freigegebenes iPad erforderlich: Konfiguriert das Gerät so, dass Benutzern nur die Gastversion der Anmeldeumgebung angezeigt wird und sie sich als Gäste anmelden müssen. Sie können sich nicht mit einer verwalteten Apple-ID anmelden. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

      Wenn diese Einstellung auf Ja festgelegt ist, werden die folgenden Einstellungen für gemeinsam genutzte iPads aufgehoben, da sie in temporären Sitzungen nicht anwendbar sind:

      • Maximale Anzahl zwischengespeicherter Benutzer
      • Maximaler Zeitraum der Bildschirmsperre (in Sekunden) bis zur Anforderung eines Kennworts
      • Maximale Anzahl von Sekunden der Inaktivität, bis die Benutzersitzung abgemeldet wird
    • Maximale Anzahl von Sekunden der Inaktivität, bis sich die Benutzersitzung abmeldet: Der zulässige Mindestwert für diese Einstellung ist 30. Wenn nach dem definierten Zeitraum keine Aktivität mehr vorhanden ist, wird die temporäre Sitzung beendet und der Benutzer wird abgemeldet. Wenn Sie den Eintrag leer lassen oder auf 0 (0) festlegen, wird die Sitzung nie aufgrund von Inaktivität beendet. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

      Diese Einstellung ist verfügbar, wenn Nur eine temporäre iPad-Sitzung erfordern auf Ja festgelegt ist.

    Hinweis

    • Wenn temporäre Sitzungen aktiviert sind, werden alle Daten des Benutzers gelöscht, wenn er sich bei der Sitzung abmeldet. Dies bedeutet, dass alle benutzerorientierten Richtlinien und Apps beim Anmelden an den Benutzer weitergegeben werden und gelöscht werden, wenn sich der Benutzer abmeldet.
    • Um eine Konfiguration für freigegebene iPads so zu ändern oder zu modifizieren, dass keine temporären Sitzungen vorhanden sind, muss das Gerät vollständig zurückgesetzt werden, und ein neues Registrierungsprofil mit den aktualisierten Konfigurationen muss an das iPad gesendet werden.
  15. Wählen Sie in der Liste Mit Computern synchronisieren eine Option für die Geräte aus, die dieses Profil verwenden. Wenn Sie Apple Configurator nach Zertifikat zulassen auswählen, müssen Sie unter Apple Configurator-Zertifikate ein Zertifikat auswählen.

    Hinweis

    Wenn Mit Computern synchronisieren auf Alle ablehnen festgelegt ist, wird der Port auf iOS- und iPadOS-Geräten beschränkt. Der Port wird ausschließlich auf den Ladevorgang beschränkt. Die Verwendung von iTunes oder Apple Configurator 2 wird blockiert.

    Wenn Sync with computers (Mit Computern synchronisieren) auf Apple Configurator nach Zertifikat zulassen festgelegt ist, stellen Sie sicher, dass Sie eine lokale Kopie des Zertifikats speichern, die Sie später verwenden können. Sie können keine Änderungen an der hochgeladenen Kopie vornehmen. Es ist daher wichtig, eine Kopie dieses Zertifikats beizubehalten. Wenn Sie eine Verbindung mit dem iOS/iPadOS-Gerät über ein Mac-Gerät herstellen möchten, muss dasselbe Zertifikat auf dem Gerät installiert sein, von dem die Verbindung mit dem iOS/iPadOS-Gerät ausgeht.

  16. Wenn Sie im vorherigen Schritt Apple Configurator nach Zertifikat zulassen ausgewählt haben, müssen Sie ein Apple Configurator-Zertifikat zum Importieren auswählen. Der Grenzwert beträgt 10 Zertifikate.

  17. Für Auf endgültige Konfiguration warten stehen folgende Optionen zur Auswahl:

    • Ja: Aktivieren Sie am Ende des Setup-Assistenten eine gesperrte Oberfläche, um sicherzustellen, dass Ihre wichtigsten Gerätekonfigurationsrichtlinien auf dem Gerät installiert werden. Unmittelbar vor dem Laden des Startbildschirms wird der Setup-Assistent angehalten und Intune checkt beim Gerät ein. Die Oberfläche für die Endbenutzer*innen wird gesperrt, während auf endgültige Konfigurationen gewartet wird.

      Die Zeitspanne, die Benutzer*innen warten müssen, während auf dem Bildschirm "Auf endgültige Konfiguration warten“ angezeigt wird, variiert und hängt von der Gesamtzahl der Richtlinien und Apps ab, die auf das Gerät angewendet werden. Je mehr Richtlinien und Apps dem Gerät zugewiesen sind, desto länger ist die Wartezeit. Setup-Assistent und Microsoft Intune erzwingen während dieses Setupteils kein Mindest- oder Höchstzeitlimit. Während der Produktvalidierung wurden die meisten von uns getesteten Geräte freigegeben und konnten innerhalb von 15 Minuten auf den Startbildschirm zugreifen. Wenn Sie dieses Feature aktivieren und eine Person außerhalb von Microsoft verwenden, um Geräte bereitzustellen, informieren Sie sie über das Potenzial für eine längere Bereitstellungszeit.

      Hinweis

      Nur Gerätekonfigurationsrichtlinien werden während des letzten Konfigurationsbildschirms installiert, und Anwendungen sind nicht enthalten.

      Die gesperrte Oberfläche funktioniert auf Geräten, auf die neue und bestehende Registrierungsprofile ausgerichtet sind. Zu den unterstützten Geräten gehören:

      • Geräte mit iOS/iPadOS 13 und höher, die über den Setup-Assistenten mit moderner Authentifizierung registriert werden
      • Geräte mit iOS/iPadOS 13 und höher, die ohne Benutzeraffinität registriert werden
      • Geräte mit iOS/iPadOS 13 und höher, die im Microsoft Entra ID-Modus für die gemeinsame Nutzung registriert werden

      Diese Einstellung wird einmal während der standardmäßigen automatisierten Geräteregistrierung im Setup-Assistenten angewendet. Den Gerätebenutzer*innen wird dies nicht erneut angezeigt, es sei denn, sie registrieren ihr Gerät erneut. Ja ist die Standardeinstellung für neue Registrierungsprofile.

    • Nein: Auf dem Gerät wird unabhängig vom Status der Richtlinieninstallation der Startbildschirm angezeigt, nachdem der Setup-Assistent beendet wurde. Gerätebenutzer können möglicherweise auf den Startbildschirm zugreifen oder Geräteeinstellungen ändern, bevor alle Richtlinien installiert werden. Nein ist die Standardeinstellung für bestehende Registrierungsprofile.

    Die "Warten"-Konfigurationseinstellung ist in Profilen mit der folgenden Kombination von Konfigurationen nicht verfügbar:

    • Benutzeraffinität: Ohne Benutzeraffinität registrieren (Schritt 6 in diesem Abschnitt)
    • Gemeinsam genutztes iPad: Ja (Schritt 12 in diesem Abschnitt)
  18. Erstellen Sie optional eine Gerätenamenvorlage, um Geräte, denen dieses Profil zugewiesen wurde, schnell im Admin Center zu identifizieren. Intune verwendet Ihre Vorlage zum Erstellen und Formatieren von Gerätenamen. Die Namen werden den Geräten bei der Registrierung und bei jedem aufeinanderfolgenden Check-in zugewiesen. So erstellen Sie eine Vorlage:

  19. Wählen Sie unter Gerätenamenvorlage anwenden die Option Ja aus.

  20. Geben Sie im Feld Gerätenamenvorlage die Vorlage ein, die zum Erstellen von Gerätenamen verwendet werden soll. Die Vorlage kann den Gerätetyp und die Seriennummer enthalten. Sie darf nicht mehr als 63 Zeichen enthalten, einschließlich der Variablen. Beispiel: {{DEVICETYPE}}-{{SERIAL}}

  21. Sie können einen mobilen Datenplan aktivieren. Diese Einstellung gilt für Geräte mit iOS/iPadOS 13.0 und höher. Wenn Sie diese Option konfigurieren, wird ein Befehl zum Aktivieren von Mobilfunktarifen für Ihre eSim-fähigen Mobilfunkgeräte gesendet. Ihr Netzbetreiber muss Aktivierungen für Ihre Geräte bereitstellen, bevor Sie mithilfe dieses Befehls Datenpläne aktivieren können. Um den Mobilfunkdatentarif zu aktivieren, wählen Sie Ja aus, und geben Sie dann die URL des Aktivierungsservers Ihres Netzbetreibers ein.

  22. Wählen Sie Weiter aus.

  23. Konfigurieren Sie auf der Registerkarte Setup-Assistent die folgenden Profileinstellungen:

    Abteilungseinstellungen Beschreibung
    Department Wird angezeigt, wenn der Benutzer während der Aktivierung auf Info zur Konfiguration tippt.
    Abteilungstelefonnummer Diese Einstellung wird angezeigt, wenn Benutzer während der Aktivierung auf Need help (Hilfe) tippen.

    Sie können die Bildschirme des Setup-Assistenten während des Benutzer-Setups auf dem Gerät ausblenden. Eine Beschreibung aller Bildschirme finden Sie in der Referenz zu den Bildschirmen des Setup-Assistenten (in diesem Artikel).

    • Wenn Sie Ausblenden auswählen, wird der Bildschirm während des Setups nicht angezeigt. Nach dem Setup des Geräts kann der Benutzer weiterhin zum Menü Einstellungen navigieren, um das Feature einzurichten.
    • Wenn Sie Anzeigen auswählen, wird der Bildschirm während des Setups angezeigt, aber nur, wenn nach der Wiederherstellung oder nach dem Softwareupdate Schritte ausgeführt werden müssen. Gelegentlich können Benutzer den Bildschirm überspringen, ohne weitere Maßnahmen ergreifen zu müssen. Sie können aber später zum Gerätemenü Einstellungen navigieren, um das Feature einzurichten.
    • Bei freigegebenem iPad werden alle Setup-Assistentenbereiche nach der Aktivierung unabhängig von der Konfiguration automatisch übersprungen.
  24. Wählen Sie Weiter aus.

  25. Wählen Sie Erstellen aus, um das Profil zu speichern.

Dynamische Gruppen in Microsoft Entra ID

Sie können das Registrierungsfeld Name zum Erstellen einer dynamischen Gruppe in Microsoft Entra ID verwenden. Weitere Informationen finden Sie unter Dynamische Microsoft Entra-Gruppen.

Sie können den Profilnamen zum Definieren des Parameters enrollmentProfileName verwenden, um Geräte mit diesem Registrierungsprofil zuzuweisen.

Stellen Sie vor der Geräteeinrichtung sicher, dass der registrierende Benutzer Mitglied einer Microsoft Entra Benutzergruppe ist, um eine schnelle Übermittlung an Geräte mit Benutzeraffinität sicherzustellen.

Das Zuweisen dynamischer Gruppen zu Registrierungsprofilen kann zu einer gewissen Verzögerung bei der Bereitstellung von Anwendungen und Richtlinien auf Geräten nach der Registrierung führen.

Referenz zu den Bildschirmen des Setup-Assistenten

In der folgenden Tabelle werden die Bildschirme des Setup-Assistenten beschrieben, die während der automatisierten Geräteregistrierung von iOS/iPadOS-Geräten angezeigt werden. Sie können diese Bildschirme auf unterstützten Geräten während der Registrierung ein- oder ausblenden. Weitere Informationen dazu, wie sich die einzelnen Bildschirme des Setup-Assistenten auf die Benutzererfahrung auswirken, finden Sie in den folgenden Apple-Ressourcen:

Bildschirm "Setup-Assistent" Was geschieht, wenn es angezeigt wird
Kenncode Zeigt den Kennungs- und Kennwortsperrbereich für Benutzer an und fordert Benutzer zur Eingabe einer Kennung auf. Für unsichere Geräte ist immer eine Kennung erforderlich, es sei denn, der Zugriff wird auf andere Weise gesteuert (z. B. über eine Kioskmoduskonfiguration, die das Gerät auf eine App beschränkt). Dieser Bildschirm ist mit einigen Einschränkungen für iOS/iPadOS 7.0 und höher verfügbar. Weitere Informationen finden Sie unter Einschränkungen in diesem Artikel.
Standortdienste Zeigt den Einrichtungsbereich der Standortdienste an, in dem Benutzer Standortdienste auf ihrem Gerät aktivieren können. Dies gilt für iOS/iPadOS 7.0 und höher.
Wiederherstellen Zeigt den Bereich für die Einrichtung von Apps und Daten an. Auf diesem Bildschirm können Benutzer, die Geräte einrichten, Daten aus iCloud Backup wiederherstellen oder übertragen. Dies gilt für iOS/iPadOS 7.0 und höher.
Apple-ID Zeigt den Apple ID-Setupbereich an, in dem Benutzer die Option erhalten, sich mit ihrer Apple-ID anzumelden und iCloud zu verwenden. Dies gilt für iOS/iPadOS 7.0 und höher.
Geschäftsbedingungen Zeigt den Bereich "Geschäftsbedingungen" von Apple an, und benutzer müssen sie akzeptieren. Dies gilt für iOS/iPadOS 7.0 und höher.
Touch ID und Face ID Zeigt den Bereich für die biometrische Einrichtung an, in dem Benutzer die Möglichkeit haben, fingerabdruck- oder gesichtsidentifikation auf ihren Geräten einzurichten. Für iOS/iPadOS 8.1 und höher mit einigen Einschränkungen. Weitere Informationen finden Sie unter Einschränkungen in diesem Artikel.
Apple Pay Zeigt den Apple Pay-Setupbereich an, in dem Benutzer die Möglichkeit haben, Apple Pay auf ihren Geräten einzurichten. Dies gilt für iOS/iPadOS 7.0 und höher.
Zoom Zeigt den Zoom-Setupbereich an, in dem Benutzer die Option zum Konfigurieren von Zoomeinstellungen erhalten. Für iOS/iPadOS 8.3 und höher und in iOS/iPadOS 17 veraltet.
Siri Zeigt den Siri-Setupbereich für Benutzer an. Dies gilt für iOS/iPadOS 7.0 und höher.
Diagnosedaten Zeigt den Diagnose Bereich an, in dem Benutzer sich für das Senden von Diagnosedaten an Apple anmelden können. Dies gilt für iOS/iPadOS 7.0 und höher.
Display Tone Zeigt den Bereich zum Einrichten des Anzeigetons an, in dem Benutzer die Einstellungen für den Weißabgleich der Anzeige konfigurieren können. Für iOS/iPadOS 9.3.2 und höher und in iOS/iPadOS 15 veraltet.
Datenschutz Zeigt dem Benutzer den Bereich zum Einrichten des Datenschutzes an. Für iOS/iPadOS 11.3 und höher.
Android-Migration Zeigt einen Setupbereich an, der für frühere Android-Benutzer bestimmt ist. Auf diesem Bildschirm können Benutzer Daten von einem Android-Gerät migrieren. Dies gilt für iOS/iPadOS 9.0 und höher.
iMessage & FaceTime Zeigt den Setupbereich für iMessage und FaceTime an. Dies gilt für iOS/iPadOS 9.0 und höher.
Onboarding Zeigt Onboarding-Informationsbildschirme für Die Benutzerschulung an, z. B. Deckblatt und Multitasking und Kontrollcenter. Dies gilt für iOS/iPadOS 11.0 und höher.
Screen Time Zeigt den Bildschirm "Bildschirmzeit" an. Dies gilt für iOS/iPadOS 12.0 und höher.
SIM-Setup Zeigt den Bereich "Mobilfunkeinrichtung" an, in dem Benutzer einen Mobilfunktarif hinzufügen können. Dies gilt für iOS/iPadOS 12.0 und höher.
Softwareupdate Zeigt den Bildschirm für das obligatorische Softwareupdate an. Dies gilt für iOS/iPadOS 12.0 und höher.
Apple Watch-Migration Zeigt den Apple Watch-Migrationsbereich an, in dem Benutzer Daten von einer Apple Watch migrieren können. Dies gilt für iOS/iPadOS 11.0 und höher.
Erscheinungsbild Zeigt den Setupbereich der Darstellung an. Dies gilt für iOS/iPadOS 13.0 und höher.
Migration von Gerät zu Gerät Zeigt den Bereich "Gerät-zu-Gerät-Migration" an. Auf diesem Bildschirm können Benutzer Daten von einem alten Gerät auf ihr aktuelles Gerät übertragen. Die Option zum direkten Übertragen von Daten von einem Gerät ist für Geräte mit iOS 13 oder höher nicht verfügbar.
Wiederherstellung abgeschlossen Zeigt Benutzern den Bildschirm „Wiederherstellung abgeschlossen“ an, nachdem eine Sicherung und Wiederherstellung während des Setup-Assistenten durchgeführt wurde.
Softwareupdate abgeschlossen Zeigt Benutzern alle Softwareupdates an, die während des Setup-Assistenten ausgeführt werden.
Erste Schritte Zeigt Benutzern die Willkommensseite „Erste Schritte“ an.
Anredeoptionen Zeigt den Bereich "Adressbedingungen" an, in dem Benutzer auswählen können, wie sie im gesamten System angesprochen werden sollen: weiblich, maskulin oder neutral. Dieses Apple-Feature ist für ausgewählte Sprachen verfügbar. Weitere Informationen finden Sie unter Wichtige Features und Verbesserungen (die Apple-Website wird geöffnet). Für iOS/iPadOS 16.0 und höher.
Notfall-SOS Zeigt den Sicherheitseinrichtungsbereich an. Für iOS/iPadOS 16.0 und höher.
Schaltfläche "Aktion" Zeigt den Konfigurationsbereich für die Aktionsschaltfläche an. Für iOS/iPadOS 17.0 und höher.
Intelligence Zeigt den Apple Intelligence-Setupbereich an, in dem Benutzer Apple Intelligence-Features konfigurieren können. Für iOS/iPadOS 18.0 und höher.

Synchronisieren verwalteter Geräte

Nachdem Intune nun die Berechtigung zum Verwalten Ihrer Geräte besitzt, können Sie Intune mit Apple synchronisieren, um Ihre verwalteten Geräte in Intune im Azure-Portal anzuzeigen.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie Registrierungsprogrammtoken aus.

  4. Wählen Sie ein Token in der Liste und dann Geräte>synchronisieren aus.

    Screenshot mit der Darstellung, wie iOS- und iPadOS-Geräte mit einem Registrierungsprogrammtoken registriert werden

    Um die Apple-Bedingungen für akzeptablen Datenverkehr im Registrierungsprogramm zu befolgen, erzwingt Intune die folgenden Einschränkungen:

    • Eine vollständige Synchronisierung kann nicht öfter als einmal alle sieben Tage erfolgen. Während einer vollständigen Synchronisierung ruft Intune die vollständig aktualisierte Liste der Seriennummern auf, die dem mit Intune verbundenen Apple MDM-Server zugewiesen sind.

      Wichtig

      Wenn ein Gerät aus Intune gelöscht wird, aber dem ADE-Registrierungstoken im ASM/ABM-Portal zugewiesen bleibt, wird es bei der nächsten vollständigen Synchronisierung wieder in Intune angezeigt. Wenn das Gerät nicht erneut in Intune angezeigt werden soll, heben Sie die Zuweisung vom Apple MDM-Server im ABM/ASM-Portal auf.

    • Wenn ein Gerät von ABM/ASM freigegeben wird, kann es bis zu 45 Tage dauern, bis es automatisch in Intune von den Geräteseiten gelöscht wird. Sie können freigegebene Geräte bei Bedarf nacheinander manuell aus Intune löschen. Freigegebene Geräte werden genau als aus ABM/ASM in Intune entfernt gemeldet, bis sie innerhalb von 30 bis 45 Tagen automatisch gelöscht werden.
    • Eine Deltasynchronisierung wird alle 12 Stunden automatisch ausgeführt. Sie können eine Deltasynchronisierung auch manuell auslösen, indem Sie die Schaltfläche Synchronisierung auswählen (nicht öfter als einmal alle 15 Minuten). Alle Synchronisierungsanforderungen haben 15 Minuten Zeit, bis sie abgeschlossen sind. Die Schaltfläche Synchronisieren wird inaktiv, bis die Synchronisierung abgeschlossen ist. Die Synchronisierung aktualisiert das vorhandene Gerät status und importiert neue Geräte, die dem Apple MDM-Server zugewiesen sind. Wenn eine Deltasynchronisierung aus irgendeinem Grund fehlschlägt, ist die nächste Synchronisierung eine vollständige Synchronisierung und kann alle Probleme beheben.

Zuweisen eines Registrierungsprofils an Geräte

Bevor Geräte registriert werden können, müssen Sie ihnen ein Registrierungsprofil zuweisen.

Hinweis

Sie können auch im Bereich Apple-Seriennummern Profilen Seriennummern zuweisen.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.
  2. Wählen Sie die Registerkarte Apple aus.
  3. Wählen Sie Registrierungsprogrammtoken aus.
  4. Wählen Sie ein Registrierungstoken aus.
  5. Klicken Sie auf Geräte.
  6. Wählen Sie alle Geräte aus, die Sie zuweisen möchten, und wählen Sie dann Profil zuweisen aus.
  7. Wählen Sie unter Profil zuweisen das Profil für die automatisierte Geräteregistrierung aus, das Sie für die Geräte erstellt haben, und wählen Sie dann Zuweisen aus.

Zuweisen eines Standardprofils

Sie können ein Standardprofil auswählen, das auf alle Geräte angewendet wird, die sich mit einem bestimmten Token registrieren.

  1. Kehren Sie im Admin Center zu Registrierungsprogrammtoken zurück.
  2. Wählen Sie ein Registrierungstoken aus.
  3. Wählen Sie Standardprofil festlegen aus.
  4. Wählen Sie ein Profil aus der Liste und dann Speichern aus. Von hier aus wendet Intune das Profil auf alle Geräte an, die sich mit dem ausgewählten Registrierungstoken registrieren.

Hinweis

Stellen Sie sicher, dass die Standardrichtlinie Alle Benutzer für Gerätetypeinschränkungen unter Registrierungseinschränkungen nicht so festgelegt ist, dass die iOS-/iPadOS-Plattform blockiert wird. Diese Einstellung führt dazu, dass bei der automatisierten Registrierung ein Fehler auftritt und Ihr Gerät unabhängig vom Benutzernachweis als ungültiges Profil angezeigt wird. Um die Registrierung nur für vom Unternehmen verwaltete Geräte zuzulassen, blockieren Sie nur persönliche Geräte, damit Unternehmensgeräte sich registrieren können. Microsoft definiert ein Unternehmensgerät als ein Gerät, das über ein Programm zur Geräteregistrierung registriert wird, oder als ein Gerät, das unter Bezeichner von Unternehmensgeräten manuell eingegeben wird.

Verteilen von Geräten

Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune aktiviert und ein Profil zugewiesen, damit Ihre ADE-Geräte registriert werden können. Nun können Sie die Geräte an Benutzer verteilen. Folgendes sollten Sie beachten:

  • Um Geräte verwenden zu können, die mit Benutzeraffinität registriert sind, muss Benutzern eine Intune Lizenz zugewiesen sein.

  • Geräte, die ohne die Benutzeraffinität registriert wurden, verfügen in der Regel über keine zugeordneten Benutzer. Diese Geräte müssen über eine Intune-Gerätelizenz verfügen. Wenn ein Gerät ohne Benutzeraffinität von einem Intune lizenzierten Benutzer verwendet wird, ist keine Gerätelizenz erforderlich.

    Zusammenfassend gilt: Wenn ein Gerät über einen Benutzer verfügt, muss dem Benutzer eine Intune-Lizenz zugewiesen sein. Wenn das Gerät keinen Benutzer mit Intune-Lizenz hat, muss das Gerät selbst über eine Intune-Gerätelizenz verfügen.

    Weitere Informationen zur Intune-Lizenzierung finden Sie unter Microsoft Intune-Lizenzen und im Intune-Planungsleitfaden.

  • Ein bereits aktiviertes Gerät muss zurückgesetzt werden, bevor es sich bei der automatischen Geräteregistrierung ordnungsgemäß registrieren kann. Nachdem Sie es zurückgesetzt haben, aber vor der erneuten Aktivierung können Sie das Registrierungsprofil anwenden. Weitere Informationen finden Sie unter Ein vorhandenes iPhone, iPad oder einen vorhandenen iPod touch einrichten.

  • Bei der Registrierung mit ADE und Benutzeraffinität kann während des Setups der folgende Fehler auftreten:

    The SCEP server returned an invalid response.

    Sie können diesen Fehler beheben, indem Sie versuchen, die Verwaltung innerhalb von 15 Minuten erneut herunterzuladen. Nach 15 Minuten müssen Sie das Gerät auf die Werkseinstellungen zurücksetzen, um den Fehler zu beheben. Dieser Fehler tritt aufgrund eines Zeitlimits von 15 Minuten für SCEP-Zertifikate auf, das aus Sicherheitsgründen erzwungen wird.

Weitere Informationen zum Ablauf für Endbenutzer finden Sie unter Registrieren Ihres iOS-/iPadOS-Geräts bei Intune mithilfe von ADE.

Erneutes Registrieren eines Geräts

Führen Sie diese Schritte aus, um ein Gerät erneut zu registrieren, das bereits die automatisierte Geräteregistrierung durchlaufen hat.

  1. Es gibt zwei Optionen zum Zurücksetzen des Geräts:
    • Das Gerät im Microsoft Intune Admin Center zurücksetzen
    • Das Gerät im Admin Center außer Betrieb nehmen und es anschließend mithilfe der Einstellungen-App, Apple Configurator 2 oder iTunes auf die Werkseinstellungen zurücksetzen
  2. Schalten Sie das Gerät ein, und führen Sie die auf dem Bildschirm im Setup-Assistenten angegebenen Schritte aus, um das Remoteverwaltungsprofil abzurufen.

Erneuern eines Tokens für die automatische Geräteregistrierung

Es ist wichtig, ihr Registrierungsprogrammtoken jährlich zu erneuern. Im Intune Admin Center wird das Ablaufdatum angezeigt.

  • Wenn das Apple-ID-Kennwort für den Benutzer geändert wird, der das Token in Apple Business Manager eingerichtet hat, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.
  • Wenn der Benutzer, der das Token in Apple Business Manager eingerichtet hat, die Organisation verlässt, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.
  • Wenn Sie die Apple-ID ändern, die zum Erstellen des ADE-Tokens verwendet wird, wirkt sich die Änderung nicht auf aktuell registrierte Geräte mit diesem Token aus, bis sie sich erneut registrieren. Dieses Verhalten unterscheidet sich vom Apple-APNS-Zertifikat (Push Notification Service), das für den Mandanten verwendet wird. Das APNS-Zertifikat kann mithilfe des Apple-Supports geändert werden. Andernfalls müssen alle Geräte erneut registriert werden, um Änderungen vorzunehmen.

Erneuern von Token

  1. Wechseln Sie zu business.apple.com, und melden Sie sich mit einem Konto an, das über die Rolle „Administrator“ oder „Geräteregistrierungs-Manager“ verfügt.

  2. Wählen Sie Einstellungen aus. Wählen Sie unter MDM-Server den MDM-Server aus, der der Tokendatei zugeordnet ist, die Sie erneuern möchten. Wählen Sie Token herunterladen aus.

    Screenshot, der zeigt, wie ein Apple-Token in Apple Business Manager erneuert und heruntergeladen wird

  3. Wählen Sie Servertoken herunterladen aus.

    Hinweis

    Wählen Sie, wie in der Eingabeaufforderung beschrieben, Server Token herunterladen nicht aus, wenn Sie das Token nicht erneuern möchten. Dadurch wird das Token, das von Intune (oder einer anderen MDM-Lösung) verwendet wird, ungültig. Wenn Sie das Token bereits heruntergeladen haben, stellen Sie sicher, dass Sie mit den nächsten Schritten fortfahren, bis das Token erneuert wird.

  4. Nachdem Sie das Token heruntergeladen haben, wechseln Sie zum Microsoft Intune Admin Center.

  5. Wählen Sie Geräte>Registrierung aus.

  6. Wählen Sie Registrierungsprogrammtoken aus.

  7. Wählen Sie das Token aus.

  8. Wählen Sie Token erneuern aus. Geben Sie die Apple-ID ein, die zum Erstellen des ursprünglichen Tokens verwendet wurde (sofern es noch nicht ausgefüllt ist):

    Screenshot, der die Seite zum Erneuern des Tokens anzeigt

  9. Laden Sie das neu heruntergeladene Token hoch.

  10. Wählen Sie Weiter aus, um zur Seite Bereichstags zu gelangen. Weisen Sie Bereichstags zu, wenn Sie möchten.

  11. Wählen Sie Token erneuern aus. Warten Sie auf die Bestätigung, dass die Tokenerneuerung abgeschlossen wurde.

    Screenshot mit der Bestätigungsmeldung

Löschen eines Tokens für die automatische Geräteregistrierung aus Intune

Sie können Token des Registrierungsprofils aus Intune löschen, solange Folgendes gilt:

  • Dem Token sind keine Geräte zugewiesen.
  • Dem Standardprofil sind keine Geräte zugewiesen.
  • Unter diesem Token sind keine Registrierungsprofile vorhanden.

So löschen Sie ein Registrierungsprofiltoken:

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.
  2. Wählen Sie die Registerkarte Apple aus.
  3. Wählen Sie Registrierungsprogrammtoken aus.
  4. Wählen Sie das Token aus, und wählen Sie dann Geräte aus.
  5. Löschen Sie alle Geräte, die dem Token zugewiesen sind.
  6. Kehren Sie zu Registrierungsprogrammtoken zurück. Wählen Sie das Token aus, und wählen Sie dann Profile aus.
  7. Wenn ein Standardprofil oder ein anderes Registrierungsprofil vorhanden ist, müssen diese alle gelöscht werden.
  8. Kehren Sie zu Registrierungsprogrammtoken zurück. Wählen Sie das Token aus, und wählen Sie dann Löschen aus.

Begrenzungen

Diese Bildschirme des Setup-Assistenten funktionieren auf Geräten mit iOS/iPadOS 14.5 und höher nicht ordnungsgemäß:

  • Kenncode
  • Touch ID und Face ID

Blenden Sie beide Bildschirme auf Geräten mit iOS/iPadOS 14.5 und höher aus. Wenn Sie Kennungen auf diesen Geräten benötigen möchten, erstellen Sie eine Gerätekonfigurationsrichtlinie oder eine Konformitätsrichtlinie mit Kennungsanforderungen. Nachdem sich der Benutzer registriert hat und die Richtlinie erhält, tritt die Kennungsanforderung auf.

Nächste Schritte

Eine Übersicht über die Anforderungen für Gerätebenutzer finden Sie unter Aufgaben von ADE-Endbenutzern.