Freigeben über


Einrichten von IOS-/iPads-Geräteregistrierung mit Apple-Konfigurator

Intune unterstützt die Registrierung von iOS-/iPadOS-Geräten mithilfe des Tools Apple Configurator, das auf einem Mac-Computer ausgeführt wird. Für die Registrierung mit Apple Configurator müssen Sie jedes iOS-/iPadOS-Gerät über USB mit einem Mac-Computer verbinden, um die Unternehmensregistrierung einzurichten. Sie können Geräte mit Apple Configurator auf zwei Arten bei Intune registrieren:

  • Registrierung mit dem Setup-Assistenten: Setzt das Gerät zurück und bereitet es auf die Registrierung beim Setup-Assistenten vor.
  • Direkte Registrierung : Setzt das Gerät nicht zurück und registriert das Gerät über iOS-/iPadOS-Einstellungen. Diese Methode wird nur von Geräten ohne Benutzeraffinität unterstützt.

Die Registrierungsmethoden von Apple Configurator können beim Geräteregistrierungs-Manager nicht verwendet werden.

Zertifikate

Die Apple Configurator-Registrierung unterstützt das ACME-Protokoll (Automated Certificate Management Environment). Wenn neue Geräte registriert werden, erhält das Verwaltungsprofil auf dem Gerät ein ACME-Zertifikat. Das ACME-Protokoll bietet einen besseren Schutz als das SCEP-Protokoll vor nicht autorisierter Zertifikatausstellung durch robuste Validierungsmechanismen und automatisierte Prozesse, wodurch Fehler bei der Zertifikatverwaltung reduziert werden.

Geräte, die bereits registriert sind, erhalten kein ACME-Zertifikat, es sei denn, sie registrieren sich erneut bei Microsoft Intune. ACME wird auf Geräten unterstützt, auf denen Folgendes ausgeführt wird:

  • iOS 16.0 oder höher

  • iPadOS 16.1 oder höher

Voraussetzungen

Erstellen eines Apple Configurator-Profils für Geräte

Ein Registrierungsprofil für Geräte definiert die Einstellungen, die während der Registrierung angewandt werden. Diese Einstellungen werden nur einmal angewendet. Führen Sie die folgenden Schritte aus, um ein Registrierungsprofil zu erstellen, mit dem iOS-/iPadOS-Geräte mit Apple Configurator registriert werden.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräteregistrierung>.

  3. Wählen Sie die Registerkarte Apple aus.

  4. Wählen Sie unter Massenregistrierungsmethoden die Option Apple Configurator aus.

  5. Wechseln Sie zu Profile>Erstellen.

  6. Geben Sie unter Registrierungsprofil erstellen auf der Registerkarte Grundlagen einen Namen und eine Beschreibung für das Profil ein. Benutzer können diese Informationen nicht sehen. Sie können den Namen verwenden, um eine dynamische Gruppe in Microsoft Entra ID zu erstellen. Verwenden Sie den Profilnamen, um den Parameter „enrollmentProfileName“ zu definieren, um Geräte mit diesem Registrierungsprofil zuzuweisen. Weitere Informationen zum Erstellen einer dynamischen Gruppe mit Regeln finden Sie unter Erstellen einer Gruppenmitgliedschaftsregel.
    Screenshot: Der Bereich „Registrierungsprofil erstellen“ mit ausgewählter Registerkarte „Grundlagen“

  7. Wählen Sie Weiter aus, um zur Seite Einstellungen zu wechseln.

  8. Wählen Sie unter Benutzeraffinität aus, ob sich Geräte mit diesem Profil mit oder ohne einen zugewiesenen Benutzer registrieren müssen.

    • Mit Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die Benutzern gehören und das Unternehmensportal verwenden sollen, um Dienste wie z. B. die Installation von Apps nutzen zu können. Das Gerät muss einem Benutzer mit dem Setup-Assistenten zugeordnet werden und kann dann auf Unternehmensdaten und E-Mails zugreifen. Wird nur für die Registrierung mit dem Setup-Assistenten unterstützt. Benutzeraffinität erfordert den Endpunkt WS-Trust 1.3 Username/Mixed. Weitere Informationen.

    • Ohne Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die keinem einzelnen Benutzer zugeordnet sind. Verwenden Sie diese Option für Geräte, die Aufgaben ohne den Zugriff auf lokale Benutzerdaten ausführen. Apps, die eine Benutzerzugehörigkeit erfordern (einschließlich der Unternehmensportal-App, die für die Installation branchenspezifischer Apps verwendet wird), funktionieren nicht. Dies ist für die direkte Registrierung erforderlich.

    Hinweis

    Wenn Mit Benutzeraffinität registrieren ausgewählt ist, stellen Sie sicher, dass das Gerät innerhalb der ersten 24 Stunden der Registrierung mit dem Setup-Assistenten einem Benutzer zugeordnet wird. Andernfalls schlägt die Registrierung möglicherweise fehl, und zum Registrieren des Geräts ist eine Zurücksetzung auf die Werkseinstellungen erforderlich.

  9. Wenn Sie Mit Benutzeraffinität registrieren ausgewählt haben, können Sie die Benutzerauthentifizierung über das Unternehmensportal statt über den Setup-Assistenten von Apple erlauben.

    Hinweis

    Wenn Sie einen der folgenden Schritte ausführen möchten, legen Sie Über das Unternehmensportal statt über den Setup-Assistenten von Apple authentifizieren auf Ja fest.

    • Sie möchten die mehrstufige Authentifizierung verwenden.
    • Sie möchten Benutzer zum Ändern ihres Kennworts auffordern, wenn sie sich zum ersten Mal anmelden.
    • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.

    Diese Optionen werden für die Authentifizierung beim Setup-Assistenten von Apple nicht unterstützt.

  10. Wählen Sie Erstellen aus, um das Profil zu speichern.

Bekannte Einschränkungen

Für die Registrierung mit Apple Configuration gelten die folgenden Einschränkungen:

  • Die CSV-Datei kann bis zu 5.000 Geräte enthalten.
  • Die Gesamtzahl der Geräte, einschließlich der in der CSV-Datei aufgeführten Geräte und der Apple Configurator-Geräte, die bereits in Intune vorhanden sind, darf 75.000 nicht überschreiten.

Registrierung mit dem Setup-Assistenten

Hinzufügen von Apple Configurator-Seriennummern

  1. Erstellen Sie in einem Text-Editor eine zweispaltige, durch Trennzeichen getrennte Wertliste (.csv) ohne Kopfzeile. Fügen Sie die Seriennummer in der linken Spalte und gerätedetails in der rechten Spalte im folgenden Format hinzu:

    Serial number,device details

    Sie können jede Art von Details zum Gerät einschließen. Zum Beispiel:

    F7TLWCLBX196,iPad Air (5th generation) - Blue

    Der aktuelle Höchstwert für die Liste ist 5.000 Zeilen. Informationen zum Ermitteln einer iOS-/iPadOS-Geräteseriennummer finden Sie unter Ermitteln der Seriennummer oder IMEI auf Ihrem iPhone, iPad oder iPod touch (öffnet die Apple Support-Website).

  2. Melden Sie sich beim Microsoft Intune Admin Center an.

  3. Wechseln Sie zu Geräteregistrierung>.

  4. Wählen Sie die Registerkarte Apple aus.

  5. Wählen Sie unter Massenregistrierungsmethoden die Option Apple Configurator aus.

  6. Wählen Sie Geräte>Hinzufügen aus.

  7. Wählen Sie ein Registrierungsprofil aus, das Sie auf die importierten Seriennummern anwenden möchten. Wenn die Details der neuen Seriennummer vorhandene Details überschreiben sollen, wählen Sie Hiermit überschreiben Sie Details für vorhandene Bezeichner aus.

  8. Navigieren Sie unter Geräte importieren zu der CSV-Datei mit den Seriennummern, und wählen Sie Hinzufügen aus.

Erneutes Zuweisen eines Profils zu Geräteseriennummern

Sie können ein Registrierungsprofil beim Importieren von iOS-/iPadOS-Seriennummern für die Registrierung mit Apple Configurator zuweisen. Sie können Profile auch über zwei verschiedene Stellen im Azure-Portal zuweisen:

  • Apple Configurator-Geräte
  • AC-Profile

Zuweisen über Apple Configurator-Geräte

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.
  2. Wählen Sie die Registerkarte Apple aus.
  3. Wählen Sie unter Massenregistrierungsmethoden die Option Apple Configurator aus.
  4. Klicken Sie auf Geräte. Wählen Sie dann eine Seriennummer aus.
  5. Wählen Sie Profil zuweisen aus.
  6. Wählen Sie unter Profil zuweisen das Neue Profil aus, das Sie zuweisen möchten, und wählen Sie dann Zuweisen aus.

Zuweisen über Profile

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wechseln Sie zu Geräteregistrierung>.
  3. Wählen Sie die Registerkarte Apple aus.
  4. Wählen Sie unter Massenregistrierungsmethoden die Option Apple Configurator aus.
  5. Wechseln Sie zu Profile. Wählen Sie ein Profil aus.
  6. Wählen Sie im Profil die Option Zugewiesene Geräte aus. Wählen Sie dann Zuweisen aus.
  7. Filtern Sie nach Geräteseriennummern, die Sie dem Profil zuweisen möchten. Wählen Sie dann die Geräte und dann Zuweisen aus.

Exportieren des Profils

Nachdem Sie das Profil erstellt und die Seriennummern zugewiesen haben, müssen Sie das Profil aus Intune als URL exportieren. Anschließend importieren Sie es in Apple Configurator auf einem Mac, um es für Geräte bereitzustellen.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie unter Massenregistrierungsmethoden die Option Apple Configurator aus.

  4. Wechseln Sie zu Profile. Wählen Sie ein Zu exportierende Profil aus.

  5. Wählen Sie Profil exportieren aus.

  6. Kopieren Sie die Profil-URL. Sie können sie später in Apple Configurator hinzufügen, um das von iOS-/iPadOS-Geräten verwendete Intune-Profil zu definieren.

    Importieren Sie dieses Profil anschließend mithilfe der folgenden Prozedur in Apple Configurator, um das von iOS-/iPadOS-Geräten verwendete Intune-Profil zu definieren.

Registrieren von Geräten mithilfe des Setup-Assistenten

  1. Öffnen Sie auf einem Mac-Computer Apple Configurator 2. Wählen Sie in der Menüleiste Apple Configurator 2 und dann Voreinstellungen aus.

    Warnung

    Während des Registrierungsprozesses werden Geräte auf die Werkseinstellungen zurückgesetzt. Als bewährte Methode empfiehlt es sich, das Gerät zurückzusetzen und dann einzuschalten. Beim Verbinden des Geräts sollte es auf dem Begrüßungsbildschirm Hallo angezeigt werden. Wenn das Gerät bereits mit dem Apple-ID-Konto registriert wurde, muss das Gerät vor Beginn des Registrierungsprozesses aus der Apple-iCloud gelöscht werden. Der Eingabeaufforderungsfehler „[Gerätename] konnte nicht aktiviert werden“ wird angezeigt.

  2. Wählen Sie im Bereich Voreinstellungen die Option Server und dann das Pluszeichen (+) aus, um den MDM-Server-Assistenten zu starten. Wählen Sie Weiter aus.

  3. Geben Sie den Hostnamen oder die URL und die Registrierungs-URL für den MDM-Server unter „Registrierung von iOS-/iPadOS-Geräten bei Microsoft Intune über den Setup-Assistenten“ ein. Geben Sie für die Registrierungs-URL die aus Intune exportierte Registrierungsprofil-URL ein. Wählen Sie Weiter aus.
    Sie können eine Warnung mit der Meldung "Server-URL ist nicht überprüft" ignorieren. Um fortzufahren, wählen Sie Weiter aus, bis der Assistent abgeschlossen ist.

  4. Verbinden Sie die mobilen iOS-/iPadOS-Geräte über einen USB-Adapter mit dem Mac-Computer.

  5. Wählen Sie die iOS-/iPadOS-Geräte aus, die Sie verwalten möchten, und wählen Sie dann Vorbereiten aus. Wählen Sie im Bereich iOS-/iPadOS-Gerät vorbereiten die Option Manuell und dann Weiter aus.

  6. Wählen Sie im Bereich Beim MDM-Server registrieren den erstellten Servernamen und dann Weiter aus.

  7. Wählen Sie im Bereich Geräte überwachen den Grad der Überwachung und dann Weiter aus.

  8. Wählen Sie im Bereich Organisation erstellen die gewünschte Organisation aus, oder erstellen Sie eine neue Organisation. Wählen Sie dann Weiter aus.

  9. Wählen Sie im Bereich iOS-/iPadOS-Setup-Assistenten konfigurieren die Schritte aus, die dem Benutzer angezeigt werden sollen, und wählen Sie dann Vorbereiten aus. Authentifizieren Sie sich bei der entsprechenden Aufforderung, um die Vertrauenseinstellungen zu aktualisieren.

  10. Trennen Sie das USB-Kabel, wenn die Vorbereitung des iOS-/iPadOS-Geräts abgeschlossen ist.

Verteilen von Geräten

Die Geräte sind jetzt bereit zur Unternehmensregistrierung. Schalten Sie die Geräte aus, und verteilen Sie sie an Benutzer. Wenn die Benutzer die Geräte einschalten, wird der Setup-Assistent gestartet.

Nachdem Benutzer ihre Geräte erhalten haben, müssen sie den Setup-Assistenten ausführen. Auf mit Benutzeraffinität konfigurierten Geräten kann die Unternehmensportal-App installiert und ausgeführt werden, um Apps herunterzuladen und Geräte zu verwalten.

Direkte Registrierung

Wenn Sie iOS-/iPadOS-Geräte direkt mit Apple Configurator registrieren, können Sie ein Gerät registrieren, ohne die Seriennummer des Geräts abrufen zu müssen. Sie können dem Gerät zu Identifikationszwecken auch einen Namen zuweisen, bevor Intune den Gerätenamen während der Registrierung erfasst. Die Unternehmensportal-App wird bei direkt registrierten Geräten nicht unterstützt. Diese Methode setzt das Gerät nicht zurück.

Apps, die eine Benutzerzugehörigkeit erfordern (einschließlich der Unternehmensportal-App für die Installation von branchenspezifischen Apps), können nicht installiert werden.

Exportieren des Profils als MOBILECONFIG-Datei auf iOS-/iPadOS-Geräte

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie unter Massenregistrierungsmethoden die Option Apple Configurator aus.

  4. Wechseln Sie zu Profile. Wählen Sie ein Zu exportierende Profil aus.

  5. Wählen Sie Profil exportieren aus.

  6. Kopieren Sie die Profil-URL. Sie können sie später in Apple Configurator hinzufügen, um das von iOS-/iPadOS-Geräten verwendete Intune-Profil zu definieren.

  7. Wählen Sie unter Direkte Registrierung die Option Profil herunterladen aus, und speichern Sie die Datei. Eine Registrierungsprofildatei ist nur zwei Wochen lang gültig. Danach müssen Sie sie neu erstellen.

  8. Übertragen Sie die Datei auf einen Mac-Computer, auf dem Apple Configurator ausgeführt wird, um sie direkt per Push als Verwaltungsprofil auf iOS-/iPadOS-Geräte zu verschieben.

  9. Bereiten Sie das Gerät mit Apple Configurator mithilfe der folgenden Schritte vor:

    1. Öffnen Sie auf einem Mac-Computer Apple Configurator 2.0.

    2. Verbinden Sie das iOS-/iPadOS-Gerät über ein USB-Kabel mit dem Mac-Computer. Schließen Sie „Fotos“, „iTunes“ und andere Apps, die für das Gerät geöffnet werden, wenn es erkannt wird.

    3. Wählen Sie in Apple Configurator das verbundene iOS-/iPadOS-Gerät und anschließend die Schaltfläche Hinzufügen aus. Optionen, die dem Gerät hinzugefügt werden können, werden in der Dropdownliste angezeigt. Wählen Sie Profile aus.

      Screenshot von „Profil exportieren“ für die Registrierung mit dem Setup-Assistenten; „Profil-URL“ ist hervorgehoben

    4. Verwenden Sie die Dateiauswahl zum Auswählen der aus Intune exportierten MOBILECONFIG-Datei, und wählen Sie dann Hinzufügen aus. Das Profil wird dem Gerät hinzugefügt. Wenn das Gerät nicht überwacht wird, muss der Installation auf dem Gerät zugestimmt werden.

  10. Installieren Sie das Profil nun mit den folgenden Schritte auf dem iOS-/iPadOS-Gerät. Auf dem Gerät muss der Setup-Assistent abgeschlossen sein, und es muss einsatzbereit sein. Wenn bei der Registrierung Apps bereitgestellt werden müssen, sollte auf dem Gerät eine Apple-ID eingerichtet sein, weil Sie für App-Bereitstellungen mit einer Apple-ID beim App Store angemeldet sein müssen.

    1. Entsperren Sie das iOS-/iPadOS-Gerät.
    2. Wählen Sie im Dialogfeld Profil installieren für das Verwaltungsprofil die Option Installieren aus.
    3. Geben Sie die Gerätekennung oder die Apple-ID ein, falls notwendig.
    4. Akzeptieren Sie die Warnung, und wählen Sie Installieren aus.
    5. Akzeptieren Sie die Remotewarnung, und wählen Sie Vertrauen aus.
    6. Wenn mit der Meldung Profil installiert bestätigt wird, dass das Profil installiert wurde, wählen Sie Fertig aus.
  11. Öffnen Sie auf dem iOS-/iPadOS-Gerät Einstellungen, und wechseln Sie zu Allgemein>Geräteverwaltung>Verwaltungsprofil. Vergewissern Sie sich, dass die Profilinstallation aufgelistet ist, und überprüfen Sie die iOS-/iPadOS-Richtlinieneinschränkungen und die installierten Apps. Es kann bis zu 10 Minuten dauern, bis Richtlinieneinschränkungen und Apps auf dem Gerät angezeigt werden.

  12. Verteilen Sie Geräte. Das iOS-/iPadOS-Gerät ist jetzt bei Intune registriert und wird verwaltet.

Nächste Schritte