Einrichten eines freigegebenen iPads
Gilt für iPadOS 13.4 und höher
Durch die Bereitstellung eines Geräts als freigegebenes iPad wird es so eingerichtet, dass es von mehreren Mitarbeitern oder Kursteilnehmern gemeinsam genutzt werden kann. iPads, die in Intune mit automatisierter Geräteregistrierung und ohne Benutzeraffinität registriert sind, können als freigegebene iPads bereitgestellt werden.
Gemeinsam genutztes iPad erstellt eine vordefinierte Anzahl von Benutzerpartitionen auf dem Gerät. Benutzerpartitionen stellen sicher, dass die Apps, Daten und Einstellungen jedes Benutzers separat auf dem iPad gespeichert werden. Wenn Sie dies zulassen, können diese Partitionen in iCloud gesichert werden, um einen nahtlosen Übergang zwischen anderen freigegebenen iPads in Ihrem organization zu ermöglichen.
Wenn Sie die Microsoft Entra instance Ihrer organization in Apple Business oder School Manager verbinden, kann sich ein Gerätebenutzer mit seinem Microsoft Entra Benutzernamen und Kennwort auf einem freigegebenen iPad anmelden. Dadurch wird automatisch eine verwaltete Apple-ID für den Benutzer erstellt, die mit dem Microsoft Entra Benutzernamen übereinstimmt, wenn er sich zum ersten Mal auf einem freigegebenen iPad anmeldet. Außerdem richtet der Benutzer bei der ersten Anmeldung an einem gemeinsam genutzten iPad einen alphanumerischen Passcode für die Benutzerpartition ein, und die dem Gerät zugewiesenen Apps werden auf der Benutzerpartition installiert. Wenn der Benutzer das nächste Mal auf ein freigegebenes iPad zugreift, muss er nur seine verwaltete Apple-ID (identisch mit dem Microsoft Entra Benutzernamen) und die alphanumerische Kennung angeben.
Konfigurieren eines gemeinsam genutzten iPads
Führen Sie die folgenden Schritte aus, um das freigegebene iPad in Ihrer Umgebung einzurichten.
Wichtig
Freigegebenes iPad wird auf überwachten iPads mit iPadOS 13.3 und höher unterstützt. Eine Gerätezurücksetzung ist erforderlich, wenn ein Registrierungsprofil, das mit freigegebenem iPad aktiviert ist, an ein Gerät gesendet wird, das das freigegebene iPad nicht unterstützt. Freigegebenes iPad wird auf iPhones oder iPads mit iOS/iPadOS Version 13.3 und früher nicht unterstützt.
- Verbinden Sie Ihre Microsoft Entra instance mit Apple Business Manager oder Apple School Manager. Weitere Informationen finden Sie unter Einführung in die verknüpfte Authentifizierung mit Apple Business Manager.
- Erstellen Sie ein Registrierungsprofil.
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wechseln Sie zu Geräte>Nach Plattform>iOS/iPadOS>Registrierung für das Onboarding>von Geräten.
- Wählen Sie unter Massenregistrierungsmethoden die Option Registrierungsprogrammtoken aus.
- Wählen Sie ein Token und dann Profile aus.
- Wählen Sie Profil erstellen>iOS/iPadOS aus.
- Konfigurieren Sie diese Einstellungen im Registrierungsprofil:
- Wechseln Sie zu Verwaltungseinstellungen , und aktivieren Sie Freigegebenes iPad.
- Legen Sie Benutzeraffinität auf Ohne Benutzeraffinität registrieren fest.
- Legen Sie Überwacht auf Ja fest.
- Legen Sie Freigegebenes iPad auf Ja fest.
- Wählen Sie Speichern aus, wenn Sie die Konfiguration des restlichen Profils abgeschlossen haben.
- Weisen Sie Geräte zu, die über Apple Business Manager synchronisiert wurden.
- Wählen Sie das neue Registrierungsprofil aus.
- Wählen Sie Geräte> zuweisenGeräte hinzufügen aus.
- Erstellen Sie eine dynamische Gerätegruppe, um dieses Profil automatisch Geräten zuzuweisen, die in Ihre Regelparameter fallen.
- Wechseln Sie zu Gruppen>Neue Gruppe.
- Wählen Sie unter Mitgliedschaftstyp die Option Dynamisches Gerät aus.
- Wählen Sie Dynamische Abfrage hinzufügen aus.
- Wählen Sie in der Spalte Eigenschaft die Option enrollmentProfileName aus.
- Geben Sie in der Spalte Wert den Namen Ihres Registrierungsprofils ein.
- Weisen Sie der dynamischen Gerätegruppe alle erforderlichen Apps und Konfigurationsprofile zu.
- Vorbereiten neuer und vorhandener Geräte für die Bereitstellung:
- Schalten Sie neue Geräte ein, und folgen Sie den Anweisungen auf dem Bildschirm, um freigegebenes iPad einzurichten.
- Setzen Sie vorhandene Geräte auf die Werkseinstellungen zurück, und folgen Sie den Anweisungen auf dem Bildschirm, um das freigegebene iPad einzurichten.
Konfigurieren von Einstellungen für geteilte iPads
Sie können freigegebene iPad-Einstellungen in einem Gerätekonfigurationsprofil sowohl für den Geräte- als auch für den Benutzerkontext konfigurieren. Allgemein gilt:
- Gerätespezifische Einstellungen gelten für alle aktiven Benutzer auf einem freigegebenen iPad-Gerät.
- Benutzerspezifische Einstellungen gelten, wenn der Benutzer auf einem freigegebenen iPad-Gerät aktiv ist.
In der folgenden Tabelle werden die Anwendbarkeitsregeln für freigegebene iPad-Einstellungen beschrieben.
Profiltyp | Name der Einstellung | Anwendbarkeit auf Gerätegruppenzuweisung | Anwendbarkeit auf Benutzergruppenzuweisung |
---|---|---|---|
Gerätefeatures | Layout des Startbildschirms | Gerät | Benutzer |
Gerätefeatures | App-Benachrichtigungen | Gerät | Benutzer |
Gerätefeatures | App-Erweiterung für einmaliges Anmelden | Gerät | Benutzer |
Gerätefeatures | AirPrint-Einstellungen | Gerät | Nicht zutreffend |
Gerätefeatures | Sperrbildschirmnachricht | Gerät | Nicht zutreffend |
Gerätefeatures | Webinhaltsfilter | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Temporäre Sitzungen mit freigegebenem iPad blockieren | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Softwareupdates zurückstellen | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Automatische Datums- und Uhrzeiteinstellung erzwingen | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Beitritt zu WLAN-Netzwerken nur unter Verwendung von Konfigurationsprofilen möglich | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Automatische Sperre blockieren | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Benutzern das Starten von Geräten im Wiederherstellungsmodus mit nicht gekoppelten Geräten erlauben | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Siri für Diktat blockieren | Gerät | Nicht zutreffend |
Geräteeinschränkungen | Alle anderen Einstellungen in Geräteeinschränkungen | Gerät | Benutzer |
E-Mails | Alle Einstellungen | Gerät | Benutzer |
VPN, WLAN, Zertifikat | Alle Einstellungen | Gerät | Nicht zutreffend |
Sie sollten wissen
Beachten Sie beim Erstellen des Gerätekonfigurationsprofils für freigegebene iPads Folgendes:
- Ihr Microsoft Entra instance muss in Apple Business Manager zusammengefasst werden, damit eine Benutzergruppenrichtlinienzuweisung erfolgreich ist.
- Alle Einstellungen für das Gerätekonfigurationsprofil gelten gerätespezifisch für temporäre Sitzungen mit geteilten iPads.
- Benutzerseitig zugewiesene Richtlinien gelten für ein freigegebenes iPad, wenn sich der Benutzer mit seinen Verbundanmeldeinformationen Microsoft Entra anmeldet. Weitere Informationen zum Verbinden einer Microsoft Entra instance mit Apple Business Manager finden Sie im Apple Business Manager-Handbuch (öffnet die Apple-Supportwebsite).
- Geräteseitig zugewiesene Richtlinien gelten für ein freigegebenes iPad, wenn Sie eine Gerätesynchronisierung über das Admin Center initiieren oder wenn Intune das Gerät benachrichtigt, sich beim Intune-Dienst einzuchecken. Weitere Informationen zur Häufigkeit von Geräteeinchecks finden Sie unter Richtlinienaktualisierungsintervalle.
Konfigurieren temporärer Sitzungen
In iPadOS 13.4 oder höher können Benutzer eine temporäre Sitzung initiieren, indem sie auf dem Anmeldebildschirm des Geräts auf Gast tippen. In einer temporären Sitzung können sich Benutzer als Gast beim Gerät anmelden und müssen keine verwaltete Apple-ID oder ein Kennwort eingeben. Alle Benutzerdaten, einschließlich des Browserverlaufs, werden gelöscht, wenn sich der Benutzer von der Sitzung abmeldet. Temporäre Sitzungen sind standardmäßig mit freigegebenem iPad zulässig. Weitere Informationen finden Sie unter Übersicht über freigegebene iPads (öffnet die Apple-Dokumentation).
Sie können temporäre Sitzungen in einem iOS-Geräteeinschränkungsprofil im Admin Center konfigurieren. Weitere Informationen finden Sie unter Shared iPad – Automatisierte Geräteregistrierung (überwacht).
Hinzufügen von Apps
Sie können per Volumenlizenz erworbene Apps (VPP), Apps, benutzerdefinierte Apps, Branchen-Apps oder Web-Apps auf einem freigegebenen iPad-Gerät bereitstellen.
- Um ein VPP oder eine benutzerdefinierte App im Admin Center hinzuzufügen, fügen Sie die Apps in Apple Business Manager oder Apple School Manager hinzu, und synchronisieren Sie das VPP-Token mit Intune. Weisen Sie ein VPP oder eine benutzerdefinierte App als Gerätelizenz für Microsoft Entra Gerätegruppen in Intune zu. Weitere Informationen finden Sie unter Synchronisieren eines VPP-Tokens.
- Fügen Sie eine branchenspezifische App im Admin Center hinzu, und weisen Sie sie Microsoft Entra Gerätegruppen zu. Weitere Informationen finden Sie unter Hinzufügen von branchenspezifischen iOS-/iPadOS-Apps zu Microsoft Intune.
- Fügen Sie im Admin Center eine Web-App hinzu, die auch als Webclip bezeichnet wird, und weisen Sie sie Microsoft Entra Benutzergruppen zu. Weitere Informationen finden Sie unter Hinzufügen einer Web-App zu Intune.
Die folgende Tabelle zeigt die einzelnen iOS-App-Typen und beschreibt den Typ der Zuweisung, die von freigegebenen iPads unterstützt wird.
App-Typ | Anwendbarkeit auf Gerätegruppenzuweisung | Anwendbarkeit auf Benutzergruppenzuweisung |
---|---|---|
Branchenspezifische App | Gerät | Nicht zutreffend |
Gerätelizenzierte VPP-App oder benutzerdefinierte App | Gerät | Nicht zutreffend |
Benutzerlizenzierte VPP-App oder benutzerdefinierte App | Nicht zutreffend | Nicht zutreffend |
Web-App | Nicht unterstützt | Benutzer |
App Store-App | Nicht zutreffend | Nicht zutreffend |
Konfigurieren Sie Layouteinstellungen für den Startbildschirm in einem Gerätekonfigurationsprofil, um das App-Layout und die Ordner auf dem Startbildschirm und andocken zu organisieren. Weisen Sie das Profil Microsoft Entra Benutzergruppen zu. Weitere Informationen finden Sie unter Layout des Startbildschirms.
Empfohlene Richtlinienzuweisung und App-Zuweisung für geteilte iPads
In der folgenden Tabelle werden verschiedene Bereitstellungsszenarien und unsere Empfehlungen für Konfigurationen beschrieben. Verwenden Sie die Tabelle als Referenz, wenn Sie die Bereitstellung und Konfiguration von freigegebenen iPads in Ihrer Umgebung planen.
Szenario | Administratorkonfiguration | Verhalten des geteilten iPad | Beispiel |
---|---|---|---|
Alle Benutzer auf einem freigegebenen iPad haben dieselbe Rolle. Alle Benutzer auf einem freigegebenen iPad verwenden temporäre Sitzungen. |
Weisen Sie alle Apps und Profile Microsoft Entra Gerätegruppe zu, die freigegebene iPads enthält. | Alle Apps und Profile gelten für alle aktiven Benutzer auf dem freigegebenen iPad oder für temporäre Sitzungen mit freigegebenem iPad. | Sie weisen eine Wi-Fi Profil, Geräteeinschränkungen, VPP-Apps und Startbildschirmlayout einer Microsoft Entra Gerätegruppe zu, die ein freigegebenes iPad enthält. Diese Profile gelten für alle Benutzer, die sich auf dem freigegebenen iPad anmelden. |
Benutzer auf einem freigegebenen iPad haben unterschiedliche Rollen. |
|
Wenn sich ein Benutzer auf einem freigegebenen iPad anmeldet, schafft die Kombination aus gerätespezifischen Profilen und benutzerorientierten Profilen eine angepasste Erfahrung für den aktiven Benutzer. Nur Apps und Profile, die dem Gerät zugewiesen sind, gelten für temporäre Sitzungen mit freigegebenem iPad. |
Sie weisen einer Gerätegruppe, die ein freigegebenes iPad enthält, ein allgemeines Wi-Fi-Profil und alle VPP-Apps zu. Anschließend weisen Sie verschiedenen Rollen unterschiedliche Layouts auf dem Startbildschirm zu, indem Sie Microsoft Entra Benutzergruppen verwenden. Dadurch wird die Benutzeroberfläche für freigegebene iPads für Benutzer in jeder Rolle angepasst. |
Wenden Sie verschiedene Geräteeinschränkungen auf verschiedene Benutzer auf einem freigegebenen iPad an. |
|
Wenn sich ein Benutzer auf einem freigegebenen iPad anmeldet, führt die Kombination aus gerätespezifischen Einschränkungen und benutzerspezifischen Einschränkungen zu einer angepassten Erfahrung für den aktiven Benutzer. Nur Geräteeinschränkungen, die Gerätegruppen zugewiesen sind, gelten für temporäre Sitzungen mit freigegebenem iPad. |
Sie möchten verhindern, dass alle Benutzer des freigegebenen iPads AirDrop verwenden. Sie möchten jedoch nur, dass Manager Wi-Fi auf freigegebenen iPads deaktivieren können. Sie weisen einem Gerätekonfigurationsprofil, das AirDrop blockiert, einer Gerätegruppe zu, die ein freigegebenes iPad enthält. Anschließend weisen Sie einer Benutzergruppe, die Nicht-Manager-Mitarbeiter enthält, ein Gerätekonfigurationsprofil zu, für das Wi-Fi immer aktiviert sein muss. |
Anzeigen/Ausblenden verschiedener Apps für verschiedene Benutzer auf einem freigegebenen iPad. |
|
Wenn sich ein Benutzer auf einem freigegebenen iPad anmeldet, gilt das vom Benutzer zugewiesene Startbildschirmlayout für das Ein-/Ausblenden der Apps, wie in Microsoft Intune konfiguriert. Alle Apps, die dem Gerät zugewiesen sind, werden in temporären Sitzungen des freigegebenen iPads angezeigt. |
Sie weisen Microsoft Outlook, Microsoft Teams und Safari einer Gerätegruppe zu, die ein freigegebenes iPad enthält. Anschließend weisen Sie ein Startbildschirmlayout zu, in dem Teams nur einer Benutzergruppe angezeigt wird, die Benutzer enthält, die Teams nur bei Verwendung des freigegebenen iPads benötigen. Sie weisen ein weiteres Startbildschirmlayout mit Outlook, Teams und Safari einer Benutzergruppe zu, die Manager enthält, die Zugriff auf alle drei Apps benötigen, wenn Sie ein freigegebenes iPad verwenden. |
Blenden Sie unnötige System-Apps auf einem freigegebenen iPad aus. | Erstellen Sie ein Startbildschirmlayout, das die gewünschten System-Apps und verwalteten Apps enthält. Weisen Sie das Layout des Startbildschirms der Microsoft Entra Gerätegruppe zu, die freigegebene iPads enthält. | Das gleiche Startbildschirmlayout gilt für alle Benutzer, die sich auf dem freigegebenen iPad anmelden, und für temporäre Sitzungen mit freigegebenem iPad. | Sie erstellen ein Startbildschirmlayout, das unnötige System-Apps wie Einstellungen, App Store und Uhr ausschließt, und weisen das Layout einer Gerätegruppe zu, die ein freigegebenes iPad enthält. |
Es wird empfohlen, eine Einstellung nur einmal für freigegebenes iPad zu konfigurieren. Konfigurieren Sie nicht mehrere Werte einer Einstellung für ein freigegebenes iPad. Wenn mehrere Werte einer Einstellung konfiguriert sind, kann die angewendete Einstellung nicht vorab festgelegt werden. Wenn Intune den Konflikt erkennt, wird die erste Einstellung angewendet, die dem Gerät zugewiesen ist. Wenn einer Microsoft Entra Gerätegruppe und einer Microsoft Entra Benutzergruppe eine Einstellung zugewiesen wird, die sowohl geräte- als auch benutzerseitig anwendbar ist, wird der angewendete Wert der Einstellung vom Betriebssystem ausgewählt.
Bekannte Einschränkungen
In Intune für freigegebenes iPad gelten die folgenden Einschränkungen:
- Deaktivierte Einstellungen und System-Apps: Eine begrenzte Anzahl von Einstellungen und System-Apps ist mit dem freigegebenen iPad verfügbar. Weitere Informationen zu nicht verfügbaren Einstellungen und Apps finden Sie unter Verwenden eines freigegebenen iPads mit verwalteten Apple-IDs.
- App Store Installationen deaktiviert: Die App Store ist standardmäßig für freigegebene iPads verfügbar, die App-Installation ist jedoch deaktiviert, sodass Benutzer keine Apps aus dem App Store installieren können. Es wird empfohlen, die App Store in einem Intune-Konfigurationsprofil zu deaktivieren, um Verwechslungen mit Benutzern zu vermeiden.
- Unternehmensportal und verfügbaren Apps werden nicht unterstützt: Intune-Unternehmensportal-App und die Intune-Unternehmensportal-Website werden mit freigegebenen iPads nicht unterstützt.
- App-Zuweisungsanforderungen: Sie müssen Apps nach Bedarf Gerätegruppen zuweisen. Verfügbare Apps werden mit dem freigegebenen iPad nicht unterstützt.
- Die Komplexität der Kennung kann nicht mit freigegebenem iPad verwaltet werden: Freigegebene iPad-Kennungen müssen acht alphanumerische Zeichen enthalten und können in Apple Business Manager nicht geändert werden. Die in Intune Gerätekonfigurationsprofilen verfügbaren Einstellungen für Kennungskomplexität und -länge gelten nicht für freigegebene iPads. Ein MDM-Administrator kann die Toleranzperiode festlegen, die die Anzahl der Minuten angibt, die ein Benutzer zum Entsperren des iPads ohne Kennung hat.
- Einige Richtlinien werden nicht unterstützt: Diese Intune Richtlinien werden für freigegebene iPads nicht unterstützt: App-basierte und gerätebasierte Richtlinien für bedingten Zugriff, App-Schutzrichtlinien und Konformitätsrichtlinien.
- Email Profil wird nicht unterstützt: Email Profile werden für freigegebene iPads nicht unterstützt. Ein Fehler tritt auf, wenn Sie einem freigegebenen iPad-Gerät ein E-Mail-Profil zuweisen.
- Benutzerseitig zugewiesene Richtlinien werden nicht in Berichten angezeigt: Intune meldet keine Geräte-status oder Benutzer-status in Berichten für freigegebene iPad-Apps und Profile, die Microsoft Entra Benutzergruppen zugewiesen sind.
- Microsoft Entra Verbundanforderung nicht erzwungen: Die Microsoft Entra Verbundanforderung wird nicht erzwungen. Wenn die verwaltete Apple-ID mit dem Microsoft Entra UPN übereinstimmt und dem Microsoft Entra Benutzer ein benutzerspezifisches Gerätekonfigurationsprofil zugewiesen wird, gilt das Profil für den Benutzer, wenn er sich mit seiner verwalteten Apple-ID bei einem freigegebenen iPad anmeldet.