Einrichten von IOS-/iPads-Geräteregistrierung mit Apple School Manager

Sie können Intune für die Registrierung von iOS-/iPadOS-Geräten einrichten, die über das Apple School Manager-Programm erworben wurden. Wenn Sie Intune mit Apple School Manager verwenden, können Sie eine große Zahl von iOS-/iPadOS-Geräten registrieren, ohne sie in die Hand nehmen zu müssen. Wenn Lernende oder eine Lehrkraft das Gerät anschalten, wird der Setup-Assistent mit vordefinierten Einstellungen ausgeführt, und das Gerät wird für die Verwaltung registriert.

Um die Registrierung mit Apple School Manager möglich zu machen, müssen Sie die Portale von Intune und Apple School Manager verwenden. Sie benötigen auch eine Liste von Seriennummern oder eine Bestellnummer, um Geräte in Intune zur Verwaltung zuweisen zu können. Sie erstellen ADE-Registrierungsprofile (automatische Geräteregistrierung), die Einstellungen enthalten, die für Geräte während der Registrierung gelten.

Die Apple School Manager-Registrierung kann nicht mit dem Geräteregistrierungs-Manager verwendet werden.

Voraussetzungen

• Pushzertifikat für Apple-MDM (Mobile Device Management, Verwaltung mobiler Geräte)
• MDM-Autorität
• Bei ADFS ist für die Benutzeraffinität Endpunkt WS-Trust 1.3 Username/Mixed erforderlich. Weitere Informationen.
• Geräte, die über das Programm Apple School Management erworben wurden

Abrufen eines Apple-Tokens und Zuweisen von Geräten

Damit Sie unternehmenseigene iOS-/iPadOS-Geräte mit dem Apple School Manager registrieren können, benötigen Sie eine Tokendatei (P7M) von Apple. Mit diesem Token kann Intune Informationen zu Geräten synchronisieren, die zum Apple School Manager-Programm gehören. Damit kann Intune außerdem Registrierungsprofile an Apple übermitteln und diesen Profilen Geräte zuweisen. Im Apple-Portal können Sie auch Geräteseriennummern für die Verwaltung zuweisen.

Schritt 1: Herunterladen des Intune öffentlichen Schlüsselzertifikats, das zum Erstellen eines Apple-Tokens erforderlich ist

1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.
2. Wählen Sie die Registerkarte Apple aus.
3. Wählen Sie Registrierungsprogrammtoken aus.
4. Wählen Sie Hinzufügen.
5. Wählen Sie Ihren öffentlichen Schlüssel herunterladen aus, um die Verschlüsselungsschlüsseldatei (.pem) lokal herunterzuladen und zu speichern. Die PEM-Datei wird verwendet, um ein Vertrauensstellungszertifikat vom Apple School Manager-Portal anzufordern.

Schritt 2: Herunterladen eines Tokens und Zuweisen von Geräten

1. Wählen Sie Token über Apple School Manager erstellen aus, und melden Sie sich mit Ihrer Apple-Unternehmens-ID bei Apple School an. Sie können diese Apple-ID auch zum Erneuern Ihres Apple School Manager-Tokens verwenden.
2. Wechseln Sie im Apple School Manager-Portal zu MDM-Server, und klicken Sie auf MDM-Server hinzufügen (oben rechts).
3. Geben Sie den Namen des MDM-Servers ein. Der Servername dient als Referenz zum Identifizieren des MDM-Servers (mobile device management, Verwaltung mobiler Geräte). Es handelt sich nicht um den Namen oder die URL des Microsoft Intune-Servers.
4. Wählen Sie im Apple-Portal die Option Datei hochladen... aus, navigieren Sie zur PEM-Datei, und wählen Sie MDM-Server speichern (unten rechts) aus.
5. Klicken Sie auf Token abrufen, und laden Sie die Servertokendatei (P7M) auf Ihren Computer herunter.
6. Wechseln Sie zu Gerätezuweisungen. Wählen Sie Ihre Geräte aus, indem Sie deren Seriennummern oder Bestellnummer manuell eingeben.
7. Wählen Sie die Aktion Zu Server zuweisen aus, und wählen Sie den von Ihnen erstellten MDM-Server aus.
8. Geben Sie an Sie Geräte ausgewählt werden, und stellen Sie dann Geräteinformationen sowie Details bereit.
9. Wählen Sie Zu Server zuweisen aus. Wählen Sie den für Microsoft Intune angegebenen <Servernamen> und anschließend OK aus.

Schritt 3: Speichern der Apple-ID, die zum Erstellen dieses Tokens verwendet wurde

Kehren Sie zum Admin Center zurück, und geben Sie die Apple-ID ein.

Schritt 4: Hochladen Ihres Tokens

Navigieren Sie im Feld Apple-Token zur Zertifikatsdatei (PEM), und wählen Sie Öffnen und dann Erstellen aus. Mit dem Pushzertifikat kann Intune iOS-/iPadOS-Geräte registrieren und verwalten, indem die Richtlinie auf registrierte mobile Geräte gepusht wird. Intune synchronisiert Ihre Apple School Manager-Geräte automatisch mit Apple.

Apple-Registrierungsprofil erstellen

Da Sie nun Ihr Token installiert haben, können Sie ein Registrierungsprofil für Apple School-Geräte erstellen. Ein Geräteregistrierungsprofil definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden.

1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

2. Wählen Sie die Registerkarte Apple aus.

3. Wählen Sie unter Massenregistrierungsmethoden die Option Registrierungsprogrammtoken aus.

4. Wählen Sie ein Token aus.

5. Wählen Sie Profile>Create Profil>iOS/iPadOS aus.

6. Geben Sie zu administrativen Zwecken unter Profil erstellen einen Namen und eine Beschreibung für das Profil ein. Benutzer können diese Informationen nicht sehen. Sie können dieses Feld Name verwenden, um eine dynamische Gruppe in Microsoft Entra ID zu erstellen. Verwenden Sie den Profilnamen, um den Parameter „enrollmentProfileName“ zu definieren, um Geräte mit diesem Registrierungsprofil zuzuweisen. Erfahren Sie mehr über Microsoft Entra dynamische Gruppen.

   

7. Wählen Sie unter Benutzeraffinität aus, ob sich Geräte mit diesem Profil mit oder ohne einen zugewiesenen Benutzer registrieren müssen.

   • Mit Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die Benutzern gehören und das Unternehmensportal verwenden sollen, um Dienste wie z. B. die Installation von Apps nutzen zu können. Mit dieser Option können Benutzer ihre Geräte auch über das Unternehmensportal authentifizieren. Bei ADFS ist für die Benutzeraffinität Endpunkt WS-Trust 1.3 Username/Mixed erforderlich. Weitere Informationen. Der Apple School Manager-Modus „Gemeinsam genutztes iPad“ erfordert, dass Benutzer sich ohne Affinität zwischen Benutzer und Gerät registrieren.

   • Ohne Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die keinem einzelnen Benutzer zugeordnet sind, z. B. ein gemeinsam genutztes Gerät. Verwenden Sie diese Option für Geräte, die Aufgaben ohne Zugriff auf lokale Benutzerdaten ausführen. Apps wie die Unternehmensportal-App funktionieren nicht.

8. Wenn Sie Mit Benutzeraffinität registrieren ausgewählt haben, können Sie Benutzern die Authentifizierung mit Unternehmensportal, dem Setup-Assistenten (Legacy) und dem Setup-Assistenten mit moderner Authentifizierung ermöglichen. Wählen Sie die Option aus. Weitere Informationen zu Authentifizierungsmethoden finden Sie unter Authentifizierungsmethoden für die automatisierte Geräteregistrierung in Intune.

   Hinweis

   Wenn Sie einen der folgenden Schritte ausführen möchten, legen Sie Über das Unternehmensportal statt über den Setup-Assistenten von Apple authentifizieren auf Ja fest.

   • Sie möchten die mehrstufige Authentifizierung verwenden.
   • Sie möchten Benutzer zum Ändern ihres Kennworts auffordern, wenn sie sich zum ersten Mal anmelden.
   • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.

   Diese Optionen werden nicht unterstützt, wenn die Authentifizierung über den Setup-Assistenten von Apple erfolgt.

9. Klicken Sie auf Geräteverwaltungseinstellungen, und geben Sie an, ob Geräte mit diesem Profil überwacht werden sollen. Bei überwachten Geräten stehen mehr Verwaltungsfunktionen zur Verfügung, und die Aktivierungssperre ist standardmäßig deaktiviert. Microsoft empfiehlt, ADE als Mechanismus zur Aktivierung des überwachten Modus von Intune zu verwenden. Dies gilt insbesondere für Organisationen, die eine große Anzahl von iOS-/iPadOS-Geräten bereitstellen.

   Die Benutzer werden auf zweierlei Weise benachrichtigt, dass ihre Geräte überwacht werden:

   • Auf dem Sperrbildschirm wird angezeigt: „This iPhone is managed by Contoso (Dieses iPhone wird von Contoso verwaltet)“.

   • Auf dem unter Einstellungen>Allgemein>Info angezeigten Bildschirm steht: „This iPhone is supervised. Contoso can monitor your Internet traffic and locate this device.“ (Dieses iPhone wird überwacht. Contoso kann Ihren Internetdatenverkehr überwachen und dieses Gerät suchen.)

     Hinweis

     Ein Gerät, das ohne Überwachung registriert wurde, kann nur mithilfe von Apple Configurator auf den Status „Überwacht“ zurückgesetzt werden. Wenn Sie das Gerät auf diese Weise zurücksetzen möchten, müssen Sie ein iOS-/iPadOS-Gerät über ein USB-Kabel mit einem Mac verbinden. Erfahren Sie mehr über dieses Thema in der Dokumentation zum Apple Configurator.

10. Wählen Sie aus, ob für Geräte mit diesem Profil die gesperrte Registrierung verwendet werden soll. Wenn Gesperrte Registrierung aktiviert ist, sind die iOS-/iPadOS-Einstellungen deaktiviert, mit denen das Verwaltungsprofil aus dem Menü Einstellungen entfernt werden kann. Nach der Geräteregistrierung können Sie diese Einstellung nicht ändern, ohne das Gerät zurückzusetzen. Bei solchen Geräten muss der Verwaltungsmodus Überwacht auf Ja festgelegt sein.

11. Mithilfe einer verwalteten Apple-ID können Sie mehreren Benutzern ermöglichen, sich bei registrierten iPads anzumelden. Wählen Sie dazu unter Gemeinsam genutztes iPad die Option Ja aus (für diese Option ist Registrieren ohne Benutzeraffinität und überwachter Modus auf Jafestgelegt.) Verwaltete Apple-IDs werden im Apple School Manager-Portal erstellt. Weitere Informationen zu gemeinsam genutzten iPads finden Sie in den Apple-Anforderungen für gemeinsam genutzte iPads.

12. Wählen Sie aus, ob für Geräte, für die dieses Profil verwendet wird, die Option Mit Computern synchronisieren verfügbar sein soll. Alle verweigern bedeutet, dass alle Geräte, die dieses Profil verwenden, keine Daten mit Daten auf einem beliebigen Computer synchronisieren können. Wenn Sie Apple Configurator nach Zertifikat zulassen auswählen, müssen Sie unter Apple Configurator-Zertifikate ein Zertifikat auswählen.

13. Wenn Sie im vorherigen Schritt Apple Configurator nach Zertifikat zulassen ausgewählt haben, müssen Sie ein Apple Configurator-Zertifikat zum Importieren auswählen.

14. Sie können ein Benennungsformat für Geräte angeben, das bei deren Registrierung automatisch angewendet wird. Wählen Sie hierzu unter Vorlage für Gerätenamen anwenden die Option Ja aus. Geben Sie dann in das Feld Vorlage für Gerätenamen den Namen der Vorlage ein, die für die Geräte verwendet werden soll, für die dieses Profil verwendet wird. Sie können ein Vorlagenformat angeben, das den Gerätetyp und die Seriennummer enthält.

15. Wählen Sie OK aus.

16. Wählen Sie Einstellungen des Setup-Assistenten aus, um die folgenden Profileinstellungen zu konfigurieren:

    Einstellung	Beschreibung
    Abteilungsname	Wird angezeigt, wenn der Benutzer während der Aktivierung auf Info zur Konfiguration tippt.
    Abteilungstelefonnummer	Wird angezeigt, wenn der Benutzer während der Aktivierung auf die Schaltfläche Benötigen Sie Hilfe? klickt.
    Setup-Assistent-Optionen	Die folgenden optionalen Einstellungen können später im iOS-/iPadOS-Menü Einstellungen eingerichtet werden.
    Kenncode	Fordert während der Aktivierung zur Eingabe des Kennung auf. Verlangen Sie für ungesicherte Geräte grundsätzlich einen Code, es sei denn, der Zugriff wird auf andere Weise gesteuert (z. B. einen Kioskmodus, der das Gerät auf die Verwendung einer einzigen Anwendung beschränkt).
    Standortdienste	Falls aktiviert, fordert der Setup-Assistent während der Aktivierung zur Ausführung dieses Dienstes auf.
    Wiederherstellen	Falls aktiviert, fordert der Setup-Assistent während der Aktivierung die iCloud-Sicherung an.
    iCloud- und Apple-ID	Falls aktiviert, fordert der Setup-Assistent den Benutzer auf, sich mit einer Apple-ID anzumelden, und im Bildschirm „Apps und Daten“ kann das Gerät von einer iCloud-Sicherung wiederhergestellt werden.
    Geschäftsbedingungen	Falls aktiviert, fordert der Setup-Assistenten während der Aktivierung den Benutzer auf, die Apple-Geschäftsbedingungen zu akzeptieren.
    Touch-ID	Falls aktiviert, fordert der Setup-Assistent während der Aktivierung zur Ausführung dieses Dienstes auf.
    Apple Pay	Falls aktiviert, fordert der Setup-Assistent während der Aktivierung zur Ausführung dieses Dienstes auf.
    Zoom	Falls aktiviert, fordert der Setup-Assistent während der Aktivierung zur Ausführung dieses Dienstes auf.
    Siri	Falls aktiviert, fordert der Setup-Assistent während der Aktivierung zur Ausführung dieses Dienstes auf.
    Diagnosedaten	Falls aktiviert, fordert der Setup-Assistent während der Aktivierung zur Ausführung dieses Dienstes auf.

17. Wählen Sie OK aus.

18. Wählen Sie Erstellen aus, um das Profil zu speichern.

Synchronisieren verwalteter Geräte

Nachdem Intune die Berechtigung zum Verwalten Ihrer Apple School Manager-Geräte zugewiesen wurde, synchronisieren Sie Intune mit dem Apple-Dienst, um Ihre verwalteten Geräte in Intune anzuzeigen.

1. Kehren Sie zu Registrierungsprogrammtoken zurück.
2. Wählen Sie ein Token in der Liste aus.
3. Wählen Sie Geräte>synchronisieren aus.
   

Um die Apple-Bedingungen für akzeptablen Datenverkehr im Registrierungsprogramm zu befolgen, erzwingt Intune die folgenden Einschränkungen:

• Eine vollständige Synchronisierung kann nicht öfter als einmal alle sieben Tage erfolgen. Während einer vollständigen Synchronisierung aktualisiert Intune jede Seriennummer von Apple, die Intune zugewiesen ist. Wenn eine vollständige Synchronisierung innerhalb von sieben Tagen nach der vorherigen vollständigen Synchronisierung versucht wird, aktualisiert Intune nur Seriennummern, die nicht bereits in Intune aufgeführt werden.
• Synchronisierungsanforderungen müssen innerhalb von 15 Minuten abgeschlossen sein. Während dieser Zeit oder bis zum erfolgreichen Erfüllen der Anforderung wird die Schaltfläche Synchronisieren deaktiviert.
• Intune synchronisiert alle 24 Stunden neue und entfernte Geräte für Apple.

Hinweis

Sie können auch über das Blatt Geräte des Registrierungsprogramms Apple School Manager-Seriennummern zu Profilen zuweisen.

Zuweisen eines Profils zu Geräten

Apple School Manager-Geräten, die von Intune verwaltet werden, muss vor der Registrierung ein Registrierungsprofil zugewiesen werden.

1. Kehren Sie zu Registrierungsprogrammtoken zurück.
2. Wählen Sie ein Token in der Liste aus.
3. Wählen Sie Geräte und dann Ihre Geräte aus.
4. Wählen Sie Profil zuweisen aus. Wählen Sie dann ein Profil für die Geräte aus.
5. Wählen Sie Zuweisen aus.

Verteilen von Geräten an Benutzer

Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune aktiviert und ein Profil zugewiesen, mit dem Sich Ihre Apple School-Geräte registrieren können. Sie können jetzt Geräte an Benutzer verteilen. Wenn ein iOS-/iPadOS-Apple School Manager-Gerät eingeschaltet wird, wird es für die Verwaltung durch Intune registriert. Profile können nicht auf aktivierte Geräte angewendet werden, die derzeit verwendet werden, bis das Gerät gelöscht wird.