Registrierungshandbuch: Registrieren von iOS- und iPadOS-Geräten in Microsoft Intune
Persönliche und organisationseigene Geräte können bei Intune registriert werden. Nach der Registrierung erhalten diese die von Ihnen erstellten Richtlinien und Profile. Beim Registrieren von iOS/iPadOS-Geräten haben Sie die folgenden Optionen:
Dieser Artikel enthält Registrierungsempfehlungen und eine Übersicht über die Administrator- und Benutzeraufgaben für jede iOS-/iPadOS-Option.
Es gibt auch einen visuellen Leitfaden zu den verschiedenen Registrierungsoptionen für jede Plattform:
PDF-Version herunterladen | Visio-Version herunterladen
Tipp
Dieser Leitfaden ist eine lebendige Sache. Achten Sie also darauf, vorhandene Tipps und Anleitungen hinzuzufügen oder zu aktualisieren, die Sie hilfreich gefunden haben.
Bevor Sie beginnen
Informationen zu allen Intune-spezifischen Voraussetzungen und Konfigurationen, die zum Vorbereiten Ihres Mandanten für die Registrierung erforderlich sind, finden Sie unter Registrierungshandbuch: Microsoft Intune-Registrierung.
Automatische Geräteregistrierung (Automated Device Enrollment, ADE) (überwacht)
Diese Option von Apple wurde früher „Programm zur Geräteregistrierung“ (Device Enrollment Program, DEP) genannt. Sie wird auf Geräten verwendet, die sich im Besitz der Organisation befinden. Diese Option konfiguriert Einstellungen mithilfe von Apple Business Manager (ABM) oder Apple School Manager (ASM). Dabei wird eine große Anzahl von Geräten registriert, ohne dass Sie die Geräte selbst berühren. Diese Geräte werden von Apple gekauft, verfügen über vorkonfigurierte Einstellungen und können direkt an Benutzer oder Schulen geliefert werden. Sie erstellen ein Registrierungsprofil im Intune Admin Center und pushen dieses Profil auf die Geräte.
Genauere Informationen zu diesem Registrierungstyp finden Sie unter:
- Apple Business Manager-Registrierung
- Apple School Manager-Registrierung: Weitere Informationen zu Apple School Manager finden Sie unter Apple Education (öffnet die Website von Apple).
Feature | Verwendung der Registrierungsoption in den folgenden Fällen: |
---|---|
Sie möchten den überwachten Modus verwenden. | ✅ Im überwachten Modus werden unter anderem Softwareupdates bereitgestellt, Features eingeschränkt und Apps zugelassen oder blockiert. |
Die Geräte gehören der Organisation oder der Schule. | ✅ |
Sie verfügen über neue Geräte. | ✅ |
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). | ✅ |
Die Geräte sind einem einzelnen Benutzer zugeordnet. | ✅ |
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). | ✅ |
Es handelt sich um persönliche Geräte oder BYOD-Geräte. | ❌ Nicht empfohlen. Anwendungen auf BYOD- oder persönlichen Geräten können mithilfe von MAM (öffnet einen anderen Microsoft-Artikel) oder der Benutzer- und Geräteregistrierung (in diesem Artikel) verwaltet werden. |
Sie verfügen über vorhandene Geräte. | ❌ Vorhandene Geräte sollten mithilfe von Apple Configurator (in diesem Artikel) registriert werden. |
Die Geräte werden von einem anderen MDM-Anbieter verwaltet. | ❌ Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ kann MAM verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da diese Geräte dem Unternehmen gehören, wird die Registrierung bei Intune empfohlen. |
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager). | ❌ Das DEM-Konto wird nicht unterstützt. |
Aufgaben des ADE-Administrators
Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter Apple Business Manager-Registrierung oder Apple School Manager-Registrierung.
Stellen Sie sicher, dass Ihre Geräte unterstützt werden.
Sie benötigen Zugriff auf das Apple Business Manager-Portal (ABM) oder das Apple School Manager-Portal (ASM).
Stellen Sie sicher, dass das Apple-Token (.p7m) aktiv ist. Genauere Informationen finden Sie unter Abrufen eines Apple ADE-Tokens.
Stellen Sie sicher, dass das Apple MDM-Pushzertifikat zu Intune hinzugefügt und aktiv ist. Dieses Zertifikat ist erforderlich, um iOS/iPadOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple MDM-Pushzertifikats.
Entscheiden Sie, wie sich Benutzer bei ihren Geräten authentifizieren sollen: über die Unternehmensportal-App, den Setup-Assistenten (Legacy) oder den Setup-Assistenten mit moderner Authentifizierung. Treffen Sie diese Entscheidung, bevor Sie das Registrierungsprofil erstellen. Die Verwendung der Unternehmensportal-App oder des Setup-Assistenten mit moderner Authentifizierung wird als moderne Authentifizierung bezeichnet.
Verwenden Sie in folgenden Fällen die Unternehmensportal-App:
- Sie möchten das Gerät zurücksetzen.
- Sie möchten die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden.
- Sie möchten Benutzer dazu auffordern, ihr abgelaufenes Kennwort zu aktualisieren, wenn sie sich zum ersten Mal anmelden.
- Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
- Sie möchten, dass Geräte in Microsoft Entra ID registriert sind. Wenn sie registriert sind, können Sie Features verwenden, die mit microsoft Entra ID verfügbar sind, z. B. bedingter Zugriff.
- Sie möchten die Unternehmensportal-App während der Registrierung automatisch installieren. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
- Sie sollten das Gerät so lange sperren, bis die Unternehmensportal-App installiert ist. Nach der Installation melden sich Benutzer mit ihrem Microsoft Entra-Konto ihrer Organisation bei der Unternehmensportal-App an. Anschließend wird das Gerät entsperrt, und Benutzer können es verwenden.
Wählen Sie aus folgenden Gründen den Setup-Assistenten (Legacy) aus:
Sie möchten das Gerät zurücksetzen.
Sie möchten keine modernen Authentifizierungsfeatures wie MFA verwenden.
Sie möchten keine Geräte in Microsoft Entra ID registrieren. Der Setup-Assistent (Legacy) authentifiziert den Benutzer mit dem Apple
.p7m
-Token. Wenn es akzeptabel ist, keine Geräte in Microsoft Entra ID zu registrieren, müssen Sie die Unternehmensportal-App nicht installieren. Verwenden Sie weiterhin den Setup-Assistenten (Legacy).Wenn Geräte in Microsoft Entra ID registriert werden sollen, installieren Sie die Unternehmensportal-App . Wenn Sie das Registrierungsprofil erstellen und den Setup-Assistenten (Legacy) verwenden, können Sie die Unternehmensportal-App installieren. Es wird empfohlen, die Unternehmensportal-App während der Registrierung zu installieren.
Wählen Sie den Setup-Assistenten mit moderner Authentifizierung in folgenden Situationen aus:
- Sie möchten das Gerät zurücksetzen.
- Sie möchten die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden.
- Sie möchten Benutzer dazu auffordern, ihr abgelaufenes Kennwort zu aktualisieren, wenn sie sich zum ersten Mal anmelden.
- Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
- Sie möchten, dass Geräte in Microsoft Entra ID registriert sind. Wenn sie registriert sind, können Sie Features verwenden, die mit microsoft Entra ID verfügbar sind, z. B. bedingter Zugriff.
- Sie möchten die Unternehmensportal-App während der Registrierung automatisch installieren. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
- Sie möchten, dass Benutzer das Gerät verwenden, auch wenn die Unternehmensportal-App nicht installiert ist.
Hinweis
Eine Empfehlung von Microsoft ist, für die Authentifizierung des Benutzers die Unternehmensportal-App oder den Setup-Assistenten mit der modernen Authentifizierung zu verwenden.
Welche Option sollten Sie verwenden? Das kommt darauf an.
Wenn Sie das Gerät noch vor der Installation der Unternehmensportal-App verwenden möchten, verwenden Sie den Setup-Assistenten mit moderner Authentifizierung.
Während des Setup-Assistenten müssen Benutzer ihre Microsoft Entra-Anmeldeinformationen für ihre Organisation (
user@contoso.com
) eingeben. Wenn sie ihre Anmeldeinformationen eingeben, wird die Registrierung gestartet, und die Unternehmensportal-App wird installiert. Wenn Sie möchten, können Benutzer auch ihre Apple-ID eingeben, um auf Apple-spezifische Features wie Apple Pay zuzugreifen.Nach Abschluss des Setup-Assistenten können Benutzer das Gerät verwenden. Wenn der Startbildschirm angezeigt wird, ist die Registrierung abgeschlossen, und die Benutzeraffinität wird hergestellt. Das Gerät ist nicht vollständig bei der Microsoft Entra-ID registriert und wird in der Geräteliste eines Benutzers in Microsoft Entra ID als nicht konform angezeigt. Das Gerät wird im Microsoft Intune Admin Center als konform angezeigt.
Nach der Installation der Unternehmensportal-App öffnen Benutzer die Unternehmensportal-App und melden sich erneut mit ihrem Microsoft Entra-Konto (
user@contoso.com
) ihrer Organisation an. Während dieser zweiten Anmeldung werden alle Richtlinien für bedingten Zugriff ausgewertet, und die Microsoft Entra-Registrierung ist abgeschlossen. Benutzer können Organisationsressourcen, einschließlich branchenspezifischer Apps, installieren und nutzen. Das Gerät wird in Microsoft Entra ID als konform angezeigt.Wenn Sie das Gerät nicht vor der Installation der Unternehmensportal-App verwenden möchten, verwenden Sie die Unternehmensportal-App-Option. Die Unternehmensportal-App-Option sperrt das Gerät so lange, bis die Unternehmensportal-App installiert ist. Nach Abschluss der Installation wird die Unternehmensportal-App automatisch geöffnet. Benutzer melden sich mit ihrem Microsoft Entra-Organisationskonto (
user@contoso.com
) an und können das Gerät verwenden.
Wenn Sie die Unternehmensportal-App verwenden, entscheiden Sie, wie die Unternehmensportal-App auf den Geräten installiert wird. Treffen Sie diese Entscheidung, bevor Sie das Registrierungsprofil erstellen.
Hinweis
Das Volume Purchase Program (VPP) wird von Microsoft empfohlen, wenn die Unternehmensportal-App zum Authentifizieren verwendet wird. Dies liegt an der benutzerfreundlicheren Gestaltung für den Endbenutzer.
Installieren Sie die Unternehmensportal-App auf ADE-registrierten Geräten nicht direkt über den App Store. Installieren Sie die Unternehmensportal-App stattdessen mithilfe der folgenden Optionen:
VPP-Token + Registrieren neuer Geräte:Wenn Sie das Volume Purchase Program (VPP) nutzen und neue Geräte registrieren, ist die Unternehmensportal-App darin enthalten. Wenn Sie das Registrierungsprofil im Intune Admin Center erstellen, wählen Sie Unternehmensportal mit VPP installieren aus, machen Sie es zu einer erforderlichen App, und aktivieren Sie automatische App-Updates.
Option
- Die richtige Version der Unternehmensportal-App ist darin enthalten.
- Eine einmalige Installation der Unternehmensportal-App.
- Verwendet das Feature Automatische App-Updates , damit Intune App-Updates per Push übertragen kann. Weitere Informationen finden Sie unter Bereitstellen der Unternehmensportal-App – ADE.
Kein VPP-Token + Registrieren neuer Geräte: Keine Administratoraufgaben. Stellen Sie sicher, dass Benutzer ihre Apple-ID im Setup-Assistenten eingeben.
Wenn der Setup-Assistent abgeschlossen ist, versucht die Unternehmensportal-App automatisch, die Installation durchzuführen. Wenn Benutzer ihre Apple-ID (
user@iCloud.com
oderuser@gmail.com
) nicht eingeben, werden sie ständig aufgefordert, ihre Apple-ID einzugeben. Benutzer müssen ihre Apple-ID eingeben, um die Unternehmensportal-App auf Ihren Geräten nutzen zu können. Wenn die Unternehmensportal-App installiert wird, können Benutzer diese öffnen und die Anmeldeinformationen ihrer Organisation eingeben (user@contoso.com
). Wenn sich Benutzer authentifizieren, können sie die von Ihrer Organisation verwendeten Apps einschließlich branchenspezifischer Apps, installieren und verwenden.Bereits registrierte Geräte: Wenn Geräte bereits registriert wurden, können Sie in Abhängigkeit davon, ob Sie das VPP nutzen oder nicht, eine App-Konfigurationsrichtlinie verwenden:
- Fügen Sie im Intune Admin Center die Unternehmensportal-App als erforderliche App und als gerätelizenzierte App hinzu.
- Erstellen Sie eine App-Konfigurationsrichtlinie, die die Unternehmensportal-App als auf dem Gerät lizenzierte App einschließt. Genauere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-DEP-Geräten.
- Stellen Sie die App-Konfigurationsrichtlinie in derselben Gerätegruppe wie das Registrierungsprofil bereit.
- Wenn Geräte beim Intune-Dienst einchecken, erhält dieser Ihr Profil, und die Unternehmensportal-App wird installiert.
Option
- Die richtige Version der Unternehmensportal-App ist darin enthalten.
- Sie müssen ein Registrierungsprofil erstellen und eine App-Konfigurationsrichtlinie erstellen. Legen Sie in der App-Konfigurationsrichtlinie fest, dass dies eine erforderliche App sein soll, damit Sie sicherstellen können, dass die App auf all Ihren Geräten bereitgestellt wird.
- Die Unternehmensportal-App kann automatisch aktualisiert werden, indem Sie Ihre vorhandene App-Konfigurationsrichtlinie ändern.
Erstellen Sie im Intune Admin Center ein Registrierungsprofil:
- Wählen Sie Mit Benutzeraffinität registrieren (dem Gerät einen Benutzer zuordnen) oder Ohne Benutzeraffinität registrieren (Geräte ohne Benutzer oder gemeinsam genutzte Geräte).
- Wählen Sie die Authentifizierungsoptionen der Benutzer aus: die Unternehmensportal-App, der Setup-Assistent (Legacy) oder der Setup-Assistent mit moderner Authentifizierung.
Spezifischere Informationen und Vorschläge finden Sie unter Automatisierte Geräteregistrierung von Apple.
Aufgaben für Endbenutzer bei Verwendung der ADE
Wenn Sie ein Registrierungsprofil im Intune Admin Center erstellen, können Sie dem Gerät einen Benutzer zuordnen (Mit Benutzeraffinität registrieren) oder freigegebene Geräte verwenden (Ohne Benutzeraffinität registrieren). Welche Schritte Sie ausführen, ist davon abhängig, wie Sie das Registrierungsprofil konfigurieren. Bei Shared iPad werden nach der Aktivierung alle Setup-Assistentenbereiche automatisch übersprungen.
Mit Benutzeraffinität registrieren + Unternehmensportal-App:
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
user@iCloud.com
oderuser@gmail.com
) ein. Nach der Eingabe wird die Unternehmensportal-App automatisch über Ihr Registrierungsprofil installiert. Die automatische Installation der Unternehmensportal-App kann einige Zeit in Anspruch nehmen. - Benutzer öffnen die Unternehmensportal-App und melden sich mit ihren Anmeldeinformationen an (
user@contoso.com
). Bei der Anmeldung wird die Registrierung gestartet. Wenn die Registrierung abgeschlossen ist, können Benutzer die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).
Benutzer müssen möglicherweise weitere Informationen eingeben. Spezifischere Endbenutzerschritte finden Sie unter Registrieren Ihres von Ihrer Organisation bereitgestellten iOS-Geräts.
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
Mit Benutzeraffinität registrieren + Setup-Assistent (Legacy) + Unternehmensportal-App:
Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
user@iCloud.com
oderuser@gmail.com
) ein.Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf.
Die Unternehmensportal-App wird automatisch geöffnet, und das Gerät sollte in einer Art Kiosk-Modus gesperrt werden. Das Öffnen der Unternehmensportal-App kann einige Zeit in Anspruch nehmen. Benutzer melden sich mit ihren Anmeldeinformationen für die Organisation an (
user@contoso.com
), und das Gerät wird bei Intune registriert.In diesem Schritt wird das Gerät in der Microsoft Entra-ID registriert. Benutzer können die von Ihrer Organisation verwendeten Apps, einschließlich branchenspezifischer Apps, installieren und verwenden.
Mit Benutzeraffinität registrieren + Setup-Assistent (Legacy) – Unternehmensportal-App:
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
user@iCloud.com
oderuser@gmail.com
) ein. - Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf und registriert das Gerät bei Intune. Das Gerät ist nicht in der Microsoft Entra-ID registriert.
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
Mit Benutzeraffinität registrieren + Setup-Assistent mit moderner Authentifizierung:
Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
user@iCloud.com
oderuser@gmail.com
) und ihre Microsoft Entra-Anmeldeinformationen für ihre Organisation (user@contoso.com
) ein.Wenn Benutzer ihre Microsoft Entra-Anmeldeinformationen eingeben, wird die Registrierung gestartet.
Der Setup-Assistent fordert den Benutzer zur Eingabe von zusätzlichen Informationen auf. Wenn der Startbildschirm angezeigt wird, ist die Einrichtung abgeschlossen. Das Gerät ist vollständig registriert, und die Affinität zwischen Benutzer und Gerät ist eingerichtet. Benutzer können ihre Geräte verwenden sowie Ihre Apps und Richtlinien auf ihren Geräten anzeigen.
An diesem Punkt ist das Gerät nicht vollständig mit der Microsoft Entra-ID registriert und wird in Microsoft Entra ID als nicht konform angezeigt. Das Gerät zeigt im Microsoft Intune Admin Center an, dass es kompatibel ist.
Wenn Sie die Unternehmensportal-App mit VPP installieren (empfohlen), wird die Unternehmensportal-App automatisch installiert. Benutzer öffnen die Unternehmensportal-App und melden sich erneut mit Ihrem Geschäfts-, Schul- oder Unikonto (
user@contoso.com
) an. Sie schließen die Microsoft Entra-Registrierung in der Unternehmensportal-App ab, die das Gerät vollständig mit der Microsoft Entra-ID registriert. Benutzer erhalten dann Zugriff auf Unternehmensressourcen, die durch Richtlinien für bedingten Zugriff geschützt sind, und das Gerät wird in Microsoft Entra ID als konform angezeigt.Wenn Sie die Unternehmensportal-App nicht mit VPP installieren, sie jedoch verwenden möchten, gehen Sie folgendermaßen vor:
Benutzer melden sich mit ihrer Apple-ID (
user@iCloud.com
oderuser@gmail.com
) beim Apple-App Store an. Wenn sie sich anmelden, wird die Unternehmensportal-App automatisch installiert.Dieser zusätzliche Anmeldeschritt verlangsamt die Registrierung, insbesondere wenn sich Benutzer nicht sofort anmelden.
Wenn sie sich nicht beim App Store anmelden, wird die Unternehmensportal-App nicht installiert. Wenn die App nicht installiert ist, können Benutzer das Gerät nicht in microsoft Entra ID registrieren. Da die Registrierung des Geräts nicht abgeschlossen wurde, wird das Gerät in microsoft Entra ID als nicht konform angezeigt. Ressourcen, die vom bedingten Zugriff abhängig sind, sind nicht verfügbar.
Benutzer öffnen die Unternehmensportal-App und melden sich erneut mit Ihrem Geschäfts-, Schul- oder Unikonto (
user@contoso.com
) an. Sie schließen die Microsoft Entra-Registrierung in der Unternehmensportal-App ab, die das Gerät vollständig mit der Microsoft Entra-ID registriert. Beim nächsten Einchecken erhalten Benutzer Zugriff auf Unternehmensressourcen, die durch Richtlinien für bedingten Zugriff geschützt sind.
Registrieren ohne Benutzeraffinität: Keine Aktionen erforderlich. Stellen Sie sicher, dass die Unternehmensportal-App nicht über den Apple App Store installiert wird.
Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungsleitfaden: Schritt 5: Erstellen eines Rolloutplans.
Apple Configurator-Registrierung
Diese Option bezieht sich auf die Verwendung auf Geräten, die sich im Besitz Ihrer Organisation befinden, und umfasst den direkten Beitritt. Sie erfordert, dass Sie iOS-/iPadOS-Geräte über den USB-Anschluss physisch mit einem Mac-Computer verbinden.
Genauere Informationen zu diesem Registrierungstyp finden Sie unter Apple Configurator-Registrierung.
Feature | Verwendung der Registrierungsoption in den folgenden Fällen: |
---|---|
Sie benötigen eine Kabelverbindung, oder es liegen Netzwerkprobleme vor. | ✅ |
Ihre Organisation möchte verhindern, dass Administratoren das ABM- oder ASM-Portal verwenden. Außerdem soll verhindert werden, dass alle Anforderungen eingerichtet werden müssen. | ✅ Das Ziel des Ansatzes, das ABM- oder ASM-Portal nicht zu verwenden, besteht darin, die Kontrolle der Administratoren einzuschränken. |
Ein Land/eine Region unterstützt apple Business Manager (ABM) oder Apple School Manager (ASM) nicht. | ✅ Wenn Ihr Land/Ihre Region ABS oder ASM unterstützt, sollten Geräte mithilfe der automatisierten Geräteregistrierung (in diesem Artikel) registriert werden. |
Die Geräte gehören der Organisation oder der Schule. | ✅ |
Sie verfügen über neue oder vorhandene Geräte. | ✅ |
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). | ✅ Wenn Sie über eine große Anzahl von Geräten verfügen, dauert diese Methode einige Zeit. |
Die Geräte sind einem einzelnen Benutzer zugeordnet. | ✅ |
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). | ✅ |
Es handelt sich um persönliche Geräte oder BYOD-Geräte. | ❌ Nicht empfohlen. Anwendungen auf BYOD- oder persönlichen Geräten können mithilfe von MAM (öffnet einen anderen Microsoft-Artikel) oder der Benutzer- und Geräteregistrierung (in diesem Artikel) verwaltet werden. |
Die Geräte werden von einem anderen MDM-Anbieter verwaltet. | ❌ Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ kann MAM verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da diese Geräte dem Unternehmen gehören, wird die Registrierung bei Intune empfohlen. |
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager). | ❌ Das DEM-Konto wird nicht unterstützt. |
Aufgaben für Administratoren bei Verwendung von Apple Configurator
Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter Apple Configurator-Registrierung.
Hier ist der Zugriff auf einen Mac-Computer über einen USB-Anschluss erforderlich.
Stellen Sie sicher, dass Ihre Geräte unterstützt werden.
Stellen Sie sicher, dass das Apple MDM-Pushzertifikat zu Intune hinzugefügt und aktiv ist. Dieses Zertifikat ist erforderlich, um iOS/iPadOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple MDM-Pushzertifikats.
Entscheiden Sie, ob sich Benutzer mit der Unternehmensportal-App oder dem Setup-Assistenten authentifizieren sollen. Treffen Sie diese Entscheidung, bevor Sie das Registrierungsprofil erstellen. Die Verwendung der Unternehmensportal-App gilt als moderne Authentifizierung. Es wird empfohlen, die Unternehmensportal-App zu verwenden.
Verwenden Sie in den folgenden Fällen die Unternehmensportal-App:
- Sie möchten die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden.
- Sie möchten Benutzer dazu auffordern, ihr abgelaufenes Kennwort zu aktualisieren, wenn sie sich zum ersten Mal anmelden.
- Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
- Sie möchten, dass Geräte in Microsoft Entra ID registriert sind. Wenn sie registriert sind, können Sie Features verwenden, die mit microsoft Entra ID verfügbar sind, z. B. bedingter Zugriff.
- Sie möchten die Unternehmensportal-App während der Registrierung automatisch installieren. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung automatisch installieren.
Verwenden Sie in den folgenden Fällen den Setup-Assistenten:
Sie möchten keine modernen Authentifizierungsfeatures wie MFA verwenden.
Sie möchten das Gerät zurücksetzen.
Sie möchten Seriennummern importieren.
Sie möchten keine Geräte in Microsoft Entra ID registrieren. Der Setup-Assistent authentifiziert den Benutzer bei dem exportierten Registrierungsprofil, das Sie auf das Gerät kopieren. Wenn es akzeptabel ist, keine Geräte in Microsoft Entra ID zu registrieren, müssen Sie die Unternehmensportal-App nicht installieren. Verwenden Sie weiterhin den Setup-Assistenten.
Wenn Geräte in Microsoft Entra ID registriert werden sollen, installieren Sie die Unternehmensportal-App . Wenn Sie das Registrierungsprofil erstellen und den Setup-Assistenten verwenden, können Sie die Unternehmensportal-App installieren. Es wird empfohlen, die Unternehmensportal-App während der Registrierung zu installieren.
Wenn Sie die Unternehmensportal-App verwenden, muss diese mithilfe einer App-Konfigurationsrichtlinie auf Geräten installiert werden. Es wird empfohlen, diese Richtlinie zu erstellen, bevor Sie das Registrierungsprofil erstellen.
Installieren Sie die Unternehmensportal-App auf mit Apple Configurator registrierten Geräten nicht direkt über den App Store. Installieren Sie die Unternehmensportal-App stattdessen mithilfe der folgenden Optionen:
Registrieren neuer Geräte: Keine Administratoraufgaben erforderlich. Stellen Sie sicher, dass Benutzer ihre Apple-ID im Setup-Assistenten eingeben.
Wenn der Setup-Assistent abgeschlossen ist, versucht die Unternehmensportal-App automatisch, die Installation durchzuführen. Wenn Benutzer ihre Apple-ID (
user@iCloud.com
oderuser@gmail.com
) nicht eingeben, werden sie ständig aufgefordert, ihre Apple-ID einzugeben. Benutzer müssen ihre Apple-ID eingeben, um die Unternehmensportal-App auf Ihren Geräten nutzen zu können. Wenn die Unternehmensportal-App installiert wird, können Benutzer diese öffnen und die Anmeldeinformationen ihrer Organisation eingeben (user@contoso.com
). Wenn sich Benutzer authentifizieren, können sie die von Ihrer Organisation verwendeten Apps, einschließlich branchenspezifischer Apps, installieren und verwenden.Bereits registrierte Geräte: Wenn Geräte bereits registriert sind, verwenden Sie eine App-Konfigurationsrichtlinie:
- Fügen Sie im Intune Admin Center die Unternehmensportal-App als erforderliche App und als gerätelizenzierte App hinzu.
- Erstellen Sie eine App-Konfigurationsrichtlinie, die die Unternehmensportal-App als auf dem Gerät lizenzierte App einschließt. Genauere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-DEP-Geräten.
- Stellen Sie die App-Konfigurationsrichtlinie in derselben Gerätegruppe wie das Registrierungsprofil bereit.
- Wenn Geräte beim Intune-Dienst einchecken, erhält dieser Ihr Profil, und die Unternehmensportal-App wird installiert.
Option
- Die richtige Version der Unternehmensportal-App ist darin enthalten.
- Sie müssen ein Registrierungsprofil erstellen und eine App-Konfigurationsrichtlinie erstellen. Legen Sie in der App-Konfigurationsrichtlinie fest, dass dies eine erforderliche App sein soll, damit Sie sicherstellen können, dass die App auf all Ihren Geräten bereitgestellt wird.
- Die Unternehmensportal-App kann automatisch aktualisiert werden, indem Sie Ihre vorhandene App-Konfigurationsrichtlinie ändern.
Erstellen Sie im Intune Admin Center ein Registrierungsprofil:
Klicken Sie auf Mit Benutzeraffinität registrieren (dem Gerät einen Benutzer zuordnen) oder Ohne Benutzeraffinität registrieren (Geräte ohne Benutzer oder gemeinsam genutzte Geräte).
Bei der Option Ohne Benutzeraffinität registrieren verwenden Sie automatisch den direkten Beitritt. Denken Sie daran:
- Sie verwenden die Einstellungen aus einem vorhandenen macOS-Registrierungsprofil.
- Benutzer können keine Apps verwenden, die einen Benutzer erfordern (einschließlich der Unternehmensportal-App). Die Unternehmensportal-App wird bei Registrierungen ohne Benutzeraffinität nicht verwendet, benötigt oder unterstützt. Stellen Sie sicher, dass Benutzer die Unternehmensportal-App nicht aus dem Apple App Store installieren.
Wenn das Registrierungsprofil bereit für die Verwendung ist, verbinden Sie die Geräte über den USB-Anschluss mit dem Mac, und öffnen Sie die App Apple Configurator. Wenn die App geöffnet wird, wird das über den USB-Anschluss verbundene Gerät erkannt, und das von Ihnen erstellte Intune-Registrierungsprofil wird bereitgestellt.
Weitere Informationen zu dieser Registrierungsoption und ihren Voraussetzungen findest du unter Apple Configurator-Registrierung.
Aufgaben für Endbenutzer bei Verwendung von Apple Configurator
Die Aufgaben hängen von der Option ab, die Sie im Registrierungsprofil konfiguriert haben.
Mit Benutzeraffinität registrieren + Unternehmensportal-App:
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
user@iCloud.com
oderuser@gmail.com
) ein. Nach der Eingabe wird die Unternehmensportal-App automatisch über den App Store installiert. Die automatische Installation der Unternehmensportal-App kann einige Zeit in Anspruch nehmen. - Öffnen Sie die Unternehmensportal-App, und melden sich mit Ihren Anmeldeinformationen an (
user@contoso.com
). Wenn sich Benutzer anmelden, wird die Registrierung gestartet. Wenn die Registrierung abgeschlossen ist, können Benutzer die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).
Benutzer müssen möglicherweise weitere Informationen eingeben. Spezifischere Schritte finden Sie unter Registrieren eines von Ihrer Organisation bereitgestellten iOS-Geräts.
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (
Mit Benutzeraffinität registrieren + Setup-Assistent + Unternehmensportal-App:
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben die Anmeldeinformationen ihrer Organisation ein (
user@contoso.com
). Durch diesen Schritt wird das Gerät bei Intune registriert. - Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf, einschließlich der Apple-ID (
user@iCloud.com
oderuser@gmail.com
). - Die Unternehmensportal-App wird automatisch über den App Store installiert. Benutzer öffnen die Unternehmensportal-App und melden sich mit ihren Anmeldeinformationen an (
user@contoso.com
). In diesem Schritt wird das Gerät in der Microsoft Entra-ID registriert. Benutzer können die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben die Anmeldeinformationen ihrer Organisation ein (
Mit Benutzeraffinität registrieren + Setup-Assistent – Unternehmensportal-App:
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben die Anmeldeinformationen ihrer Organisation ein (
user@contoso.com
). Durch diesen Schritt wird das Gerät bei Intune registriert. - Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf, einschließlich der Apple-ID (
user@iCloud.com
oderuser@gmail.com
). Bei diesem Schritt wird das Intune-Verwaltungsprofil mithilfe von Push auf das Gerät übertragen. - Benutzer installieren das Verwaltungsprofil. Das Profil checkt beim Intune-Dienst ein und registriert das Gerät. Das Gerät ist nicht in der Microsoft Entra-ID registriert.
- Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben die Anmeldeinformationen ihrer Organisation ein (
Registrieren ohne Benutzeraffinität: Sie nutzen die direkte Registrierung. Es sind keine Aktionen erforderlich. Stellen Sie sicher, dass die Unternehmensportal-App nicht über den Apple App Store installiert wird.
Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungsleitfaden: Schritt 5: Erstellen eines Rolloutplans.
BYOD: Benutzer- und Geräteregistrierung
Bei diesen iOS/iPadOS-Geräten handelt es sich um persönliche Geräte oder BYOD-Geräte (Bring Your Own Device), die auf Organisations-E-Mails, Apps und andere Daten zugreifen können. Ab iOS 13 ist diese Registrierungsoption für Benutzer oder Geräte vorgesehen. Das Zurücksetzen der Geräte ist nicht erforderlich.
Wenn Sie das Registrierungsprofil erstellen, werden Sie aufgefordert, Benutzerregistrierung im Unternehmensportal, Geräteregistrierung im Unternehmensportal, Kontogesteuerte Benutzerregistrierung oder Anhand der Benutzerauswahl bestimmen auszuwählen.
Informationen zu den spezifischen Registrierungsschritten und den Voraussetzungen finden Sie unter Einrichten der iOS-/iPadOS-Benutzerregistrierung und Einrichten der iOS-/iPadOS-Geräteregistrierung.
Feature | Verwendung der Registrierungsoption in den folgenden Fällen: |
---|---|
Es handelt sich um persönliche Geräte oder BYOD-Geräte. | ✅ |
Sie möchten ein bestimmtes Feature auf dem Gerät schützen (z. B. „Pro-App-VPN“). | ✅ |
Sie verfügen über neue oder vorhandene Geräte. | ✅ |
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). | ✅ |
Die Geräte sind einem einzelnen Benutzer zugeordnet. | ✅ |
Die Geräte werden von einem anderen MDM-Anbieter verwaltet. | ❌ Wenn ein Gerät registriert wird, installieren MDM-Anbieter Zertifikate und andere Dateien. Diese Dateien müssen entfernt werden. Die schnellste Möglichkeit ist möglicherweise, die Registrierung aufzuheben oder die Geräte auf Werkseinstellungen zurückzusetzen. Wenn Sie das Gerät nicht auf die Werkseinstellungen zurücksetzen möchten, wenden Sie sich an den MDM-Anbieter. |
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager). | ✅ |
Die Geräte gehören der Organisation oder der Schule. | ❌ Nicht empfohlen. Unternehmenseigene Geräte sollten mithilfe der automatischen Geräteregistrierung (in diesem Artikel) oder mit Apple Configurator (in diesem Artikel) registriert werden. |
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). | ❌ Normalerweise befinden sich Geräte ohne Benutzer oder gemeinsam genutzte Geräte im Besitz der Organisation. Diese Geräte sollten mithilfe der automatischen Geräteregistrierung (in diesem Artikel) oder mit Apple Configurator (in diesem Artikel) registriert werden. |
Aufgaben für Administratoren bei der Benutzer- und Geräteregistrierung
Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter Einrichten der iOS/iPadOS- und iPadOS-Benutzerregistrierung.
Stellen Sie sicher, dass Ihre Geräte unterstützt werden.
Stellen Sie sicher, dass das Apple MDM-Pushzertifikat zu Intune hinzugefügt und aktiv ist. Dieses Zertifikat ist erforderlich, um iOS/iPadOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple MDM-Pushzertifikats.
Erstellen Sie im Intune Admin Center das Registrierungsprofil. Wenn Sie das Registrierungsprofil erstellen, haben Sie die folgenden Optionen:
Geräteregistrierung beim Unternehmensportal: Diese Option ist eine typische Registrierung in der Unternehmensportal-App für persönliche Geräte. Nicht nur einzelne Apps oder Features, sondern das gesamte Gerät wird verwaltet. Bei dieser Option sollten Sie die folgenden Informationen beachten:
- Sie können Zertifikate bereitstellen, die für das gesamte Gerät gelten.
- Benutzer müssen Updates installieren. Nur Geräte, die mithilfe der automatischen Geräteregistrierung (ADE) registriert wurden, können Updates mithilfe von MDM-Richtlinien oder -Profilen empfangen.
- Dem Gerät muss ein Benutzer zugeordnet sein. Bei diesem Benutzer kann es sich um ein DEM-Konto (Device Enrollment Manager, Geräteregistrierungs-Manager) handeln.
Webbasierte Geräteregistrierung: Ab iOS 15 und höher. Diese Option ist genau wie die Geräteregistrierung beim Unternehmensportal, aber die Registrierung erfolgt in der Webversion des Intune-Unternehmensportals, sodass die App nicht mehr benötigt wird. Darüber hinaus ermöglicht diese Option Mitarbeitern und Kursteilnehmern ohne verwaltete Apple-IDs die Registrierung von Geräten und den Zugriff auf per Volumenlizenz erworbene Apps.
Basierend auf Benutzerauswahl festlegen: Bietet Endbenutzern bei der Registrierung eine Auswahl. Abhängig von dieser Auswahl wird entweder die Benutzerregistrierung oder die Geräteregistrierung genutzt.
Benutzerregistrierung: Beginnend mit iOS 13 und höher. Mit dieser Option werden bestimmte Features und Organisations-Apps konfiguriert, z. B. Kennwort, Pro-App-VPN, WLAN und Siri. Wenn Sie die Benutzerregistrierung verwenden und zum Schutz von Apps und deren Daten beitragen möchten, empfiehlt es sich, auch App-Schutzrichtlinien zu verwenden.
Eine vollständige Liste der Möglichkeiten und Nicht-Aktionen finden Sie unter Intune-Aktionen und -Optionen, die von der Apple-Benutzerregistrierung unterstützt werden. Die spezifischen Schritte zur Benutzerregistrierung finden Sie unter Einrichten der iOS-/iPadOS-Benutzerregistrierung.
Hinweis
BYOD-Geräte können zu unternehmenseigenen Geräten werden. Um diese Geräte unternehmensintern zu gestalten, wechseln Sie zu Identifizieren von Geräten als unternehmenseigene Geräte.
Die Benutzerregistrierung gilt als benutzerfreundlicher für Endbenutzer. Möglicherweise werden jedoch nicht die von Administratoren benötigten Features und Sicherheitsfeatures bereitgestellt. In einigen Szenarien ist die Benutzerregistrierung möglicherweise nicht die beste Option. Betrachten Sie dazu die folgenden Szenarien:
Bei der Benutzerregistrierung wird eine Arbeitspartition auf den Geräten erstellt. Die Features und Sicherheitsfunktionen, die Sie im Benutzerregistrierungsprofil konfigurieren, sind nur in der Arbeitspartition vorhanden. Sie sind nicht in der Benutzerpartition vorhanden. Benutzer können die Arbeitspartition nicht auf die Werkseinstellungen zurücksetzen. -Administratoren können. Benutzer können die persönliche Partition auf die Werkseinstellungen zurücksetzen. Administratoren können dies nicht.
Wenn Benutzer in erster Linie Microsoft-Apps oder mit dem Intune App SDK erstellte Apps verwenden, sollten sie diese Apps aus dem Apple App Store herunterladen. Anschließend verwenden Sie App-Schutzrichtlinien, um diese Apps zu schützen. In diesem Szenario benötigen Sie keine Benutzerregistrierung.
Bei branchenspezifischen Apps kann die Benutzerregistrierung eine Option sein, da diese Apps auf der Arbeitspartition bereitgestellt werden. Die mobile Anwendungsverwaltung (MAM) unterstützt keine LOB-Apps. Wenn Sie also LOB-Apps benötigen, verwenden Sie die Benutzerregistrierung.
Wenn Geräte mithilfe der Benutzerregistrierung registriert werden, können Sie nicht zur Geräteregistrierung wechseln. Bei der Benutzerregistrierung ist es nicht möglich, eine App von einem nicht verwalteten auf ein verwaltetes Gerät zu verschieben. Benutzer müssen die Benutzerregistrierung aufheben und dann das Gerät über die Geräteregistrierung erneut registrieren.
Wenn Sie Apps installieren, bevor das Benutzerregistrierungsprofil angewendet wird, werden diese nicht geschützt oder vom Benutzerregistrierungsprofil verwaltet.
Beispiel: Ein Benutzer lädt die Outlook-App aus dem Apple App Store herunter. Die App wird automatisch in der Benutzerpartition auf dem Gerät installiert. Der Benutzer konfiguriert Outlook für seine persönliche E-Mail-Adresse. Wenn Benutzer ihre Organisations-E-Mails konfigurieren, werden sie durch bedingten Zugriff blockiert und zur Registrierung aufgefordert. Wenn er sich registriert hat, wird ein Benutzerregistrierungsprofil bereitgestellt.
Da die Outlook-App vor dem Benutzerregistrierungsprofil installiert wurde, tritt beim Benutzerregistrierungsprofil ein Fehler auf. Die Outlook-App kann nicht verwaltet werden, da sie in der Benutzerpartition und nicht der Arbeitspartition installiert und konfiguriert ist. Benutzer müssen die Outlook-App manuell deinstallieren.
Nach der Deinstallation können Benutzer das Gerät manuell synchronisieren und das Benutzerregistrierungsprofil möglicherweise erneut anwenden. Oder Sie müssen möglicherweise eine App-Konfigurationsrichtlinie erstellen, um Outlook bereitzustellen und es zu einer erforderlichen App zu machen. Danach stellen Sie eine App-Schutzrichtlinie bereit, um die App und ihre Daten zu schützen.
Weisen Sie den Benutzergruppen das Registrierungsprofil zu. Weisen Sie es keinen Gerätegruppen zu.
Aufgaben für Endbenutzer bei der Benutzer- und Geräteregistrierung
Die Benutzer müssen die folgenden Schritte ausführen. Für die spezifische Benutzeroberfläche wechseln Sie zu Registrieren des Geräts.
Navigieren Sie zum Apple App Store, und installieren Sie die Intune-Unternehmensportal-App.
Öffnen Sie die Unternehmensportal-App, und melden sich mit Ihren Anmeldeinformationen an (
user@contoso.com
). Nachdem sie sich angemeldet haben, gilt Ihr Registrierungsprofil für das Gerät.Benutzer müssen möglicherweise weitere Informationen eingeben. Spezifischere Schritte finden Sie unter Registrieren des Geräts.
Benutzer mit aktivierten App-Benachrichtigungen erhalten eine Aufforderung, zur Unternehmensportal-App zurückzukehren, um die erforderliche Geräteregistrierung abzuschließen. Benutzer mit deaktivierten App-Benachrichtigungen werden nicht auf diese Anforderung hingewiesen. Wenn Sie dynamische Gruppen verwenden, die auf der Geräteregistrierung basieren, um zu funktionieren, ist es wichtig, dass Benutzer die Geräteregistrierung abschließen. Planen Sie, diese Schritte den Endbenutzern mitzuteilen. Wenn Sie Richtlinien für bedingten Zugriff (Ca) verwenden, ist keine Aktion erforderlich, da benutzer von einer Zertifizierungsstelle geschützte Apps, die versuchen, sich anzumelden, sie auffordern, zum Unternehmensportal zurückzukehren, um die Geräteregistrierung abzuschließen.
Nach Abschluss der Registrierung installiert Intune automatisch ein Profilsignaturzertifikat auf dem Gerät. Dieses Zertifikat ist ein Jahr lang gültig. Am Jahresende, wenn das Zertifikat abläuft, verlängert Intune das Zertifikat. Wenn dieser Verlängerungsvorgang fehlschlägt, wird auf dem Gerät die Einstellungs-App >Allgemeines>VPN & Geräteverwaltungs-Verwaltungsprofil>der Status Nicht überprüft angezeigt. Mit diesem Status sind Endbenutzer nicht betroffen, und Geräte checken weiterhin bei Intune ein und erhalten Richtlinienupdates.
Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungsleitfaden: Schritt 5: Erstellen eines Rolloutplans.
Tipp
Es gibt ein kurzes Video mit den einzelnen Schritten, das Ihre Benutzer beim Registrieren ihrer Geräte bei Intune unterstützen soll: