Authentifizierungsmethoden für die automatisierte Geräteregistrierung in Intune

  • Artikel

Gilt für iOS/iPadOS

In diesem Artikel werden die Authentifizierungsmethoden beschrieben, die für iOS-/iPadOS-Geräte verfügbar sind, die über die automatisierte Geräteregistrierung bei Intune registriert sind. Folgende Authentifizierungsmethoden sind verfügbar:

  • Intune-Unternehmensportal-App
  • Setup-Assistent mit moderner Authentifizierung
  • Just-in-Time-Registrierung (JIT) für den Setup-Assistenten mit moderner Authentifizierung
  • Setup-Assistent (Legacy)

Alle Methoden sind für unternehmenseigene Geräte mit Benutzeraffinität verfügbar und über Apple Business Manager oder Apple School Manager erworben.

Option 1: Intune-Unternehmensportal App

Verwenden Sie die Intune-Unternehmensportal-App als Authentifizierungsmethode, wenn Sie Folgendes ausführen möchten:

  • Verwenden Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).
  • Sie möchten Benutzer zum Ändern ihres Kennworts auffordern, wenn sie sich zum ersten Mal anmelden.
  • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
  • Registrieren Sie Geräte in Microsoft Entra ID, und verwenden Sie features, die mit Microsoft Entra ID verfügbar sind, z. B. bedingter Zugriff.
  • Installieren Sie die Unternehmensportal-App während der Registrierung automatisch. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
  • Sie sollten das Gerät so lange sperren, bis die Unternehmensportal-App installiert ist.

Achtung

Intune blockiert eine Registrierung, die diese Authentifizierungsmethode verwendet, wenn der Gerätebenutzer einen kontogesteuerten Apple-Benutzerregistrierungsprofiltyp verwendet. Dieses Verhalten wird erwartet. Der Benutzer erhält eine Fehlermeldung, die besagt, dass sein Konto die Registrierung über die Unternehmensportal-App nicht unterstützt und dass er sich über die Unternehmensportal-Website registrieren muss. Um eine erfolgreiche Registrierung über die automatisierte Geräteregistrierung sicherzustellen, verwenden Sie Option 2: Setup-Assistent mit moderner Authentifizierung als Authentifizierungsmethode, wenn Sie mit kontogesteuerten Apple-Benutzerregistrierungsprofiltypen arbeiten.

Option 2: Setup-Assistent mit moderner Authentifizierung

Diese Option bietet die gleiche Sicherheit wie Intune-Unternehmensportal Authentifizierung, unterscheidet sich jedoch, da sie dem Gerätebenutzer den Zugriff auf Teile des Geräts ermöglicht, auch wenn die Unternehmensportal nicht installiert wurde. Verwenden Sie diese Option für die Authentifizierung in folgenden Fällen:

  • Setzen Sie das Gerät zurück.
  • Verwenden Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).
  • Sie möchten Benutzer zum Ändern ihres Kennworts auffordern, wenn sie sich zum ersten Mal anmelden.
  • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
  • Registrieren Sie Geräte in Microsoft Entra ID, und verwenden Sie features, die mit Microsoft Entra ID verfügbar sind, z. B. bedingter Zugriff.
  • Installieren Sie die Unternehmensportal-App während der Registrierung automatisch. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
  • Benutzern erlauben, das Gerät auch dann zu verwenden, wenn die Unternehmensportal-App nicht installiert ist.

Der Setup-Assistent mit moderner Authentifizierung wird auf Geräten mit iOS/iPadOS 13.0 und höher unterstützt. Ältere iOS-/iPadOS-Geräte, denen dieser Profiltyp zugewiesen ist, greifen auf die Authentifizierung des Setup-Assistenten (Legacy) zurück.

Automatisches Installieren Unternehmensportal App

Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren. Um die automatische Installation in Ihrem Registrierungsprofil zu aktivieren, wählen Sie ja für Install Unternehmensportal with VPP (Unternehmensportal mit VPP installieren) aus. Es wird empfohlen, diese Option zu verwenden.

Wenn Sie die VPP-Option nicht verwenden, muss der Gerätebenutzer seine Apple-ID während des Setup-Assistenten eingeben oder wenn Intune versucht, Unternehmensportal zu installieren.

In beiden Szenarien ist die Unternehmensportal-Installationsoption für den Gerätebenutzer ausgeblendet, und die Unternehmensportal wird zu einer erforderlichen App auf dem Gerät. Wenn der Benutzer den Startbildschirm erreicht, wendet Intune automatisch die richtige App-Konfigurationsrichtlinie auf das Gerät an.

Achtung

Senden Sie nach der Registrierung mit dem Setup-Assistenten mit moderner Authentifizierung keine separate App-Konfigurationsrichtlinie für iOS-/iPadOS-Geräte an das Unternehmensportal. Dies führt zu einem Fehler.

Mehrstufige Authentifizierung

Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ist erforderlich, wenn eine Richtlinie für bedingten Zugriff, die sie erfordert, bei der Registrierung oder während Unternehmensportal Anmeldung angewendet wird. MFA ist jedoch optional, basierend auf den Microsoft Entra Einstellungen in der Richtlinie für den gezielten bedingten Zugriff.

Die Multi-Faktor-Authentifizierung (MFA) funktioniert nicht für den Setup-Assistenten mit moderner Authentifizierung, wenn Sie die MFA eines Drittanbieters verwenden, um den MFA-Bildschirm während der Registrierung anzuzeigen. Während der Registrierung funktioniert nur der Bildschirm Microsoft Entra mehrstufige Authentifizierung.

Unternehmensportal Aktion erforderlich

Nachdem er die Bildschirme des Setup-Assistenten durchlaufen hat, gelangt der Gerätebenutzer zur Startseite. An diesem Punkt wird ihre Benutzeraffinität festgestellt. Bis sich der Benutzer jedoch mit seinen Microsoft Entra Anmeldeinformationen beim Unternehmensportal anmeldet und Start auswählt, hat das Gerät Folgendes:

  • Wird nicht vollständig bei Microsoft Entra ID registriert.
  • Wird nicht in der Geräteliste des Benutzers in Microsoft Entra ID angezeigt.
  • Es hat keinen Zugriff auf Ressourcen, die durch bedingten Zugriff geschützt sind.
  • Die Gerätekonformität wird nicht ausgewertet.
  • In anderen Apps erfolgt eine Weiterleitung an das Unternehmensportal, wenn der Benutzer versucht, verwaltete Anwendungen zu öffnen, die durch bedingten Zugriff geschützt sind.

Option 3: Just-in-Time-Registrierung für Setup-Assistent mit moderner Authentifizierung

Diese Option ist identisch mit dem Setup-Assistenten mit moderner Authentifizierung, mit der Ausnahme, dass Unternehmensportal für Microsoft Entra Registrierung oder Compliance nicht erforderlich ist. Stattdessen sind Microsoft Entra Registrierungs- und Konformitätsprüfungen vollständig in eine bestimmte Microsoft- oder Nicht-Microsoft-App integriert, die mit der App-Erweiterung für einmaliges Anmelden (Single Sign-On, SSO) von Apple konfiguriert ist. Die Erweiterung reduziert Authentifizierungsaufforderungen und richtet einmaliges Anmelden für das gesamte Gerät ein. Die JIT-Registrierung fordert Benutzer auf, sich zweimal zu authentifizieren:

  • Eine Authentifizierung verarbeitet die Registrierung und Die Affinität zwischen Benutzer und Gerät und erfolgt, wenn der Gerätebenutzer sein Gerät einschaltet und sich beim Setup-Assistenten anmeldet.
  • Eine andere Authentifizierung übernimmt Microsoft Entra Registrierung und erfolgt, wenn sich der Benutzer bei der angegebenen App anmeldet. Kompatibilitätsprüfungen werden auch in dieser App durchgeführt.

Hinweis

Wenn Ihr organization Microsoft Defender for Endpoint verwendet, stellen Sie sicher, dass die Microsoft Defender for Endpoint App nicht die ersten App-Benutzer geöffnet ist, damit die JIT-Registrierung und Compliancekorrektur wie erwartet funktioniert.

Sobald der Gerätebenutzer den Startbildschirm erreicht hat, kann er sich bei jeder Geschäfts-, Schul- oder Uni-App anmelden, die mit der SSO-Erweiterung konfiguriert ist, um Microsoft Entra Registrierungs- und Konformitätsprüfungen abzuschließen. SSO signiert den Benutzer bei allen Apps, die Teil Ihrer SSO-Erweiterungsrichtlinie sind. An diesem Punkt können sie sich auch manuell bei jeder App anmelden, die nicht für die Verwendung der SSO-Erweiterung konfiguriert ist.

So richten Sie die JIT-Registrierung mit automatisierter Geräteregistrierung ein:

  1. Erstellen Sie eine Gerätekonfigurationsrichtlinie, und konfigurieren Sie die Einstellungen unter der App-Erweiterungskategorie Einmaliges Anmelden . Die Schritte finden Sie unter Einrichten der Just-in-Time-Registrierung.

  2. Erstellen Sie ein Apple-Registrierungsprofil , und wählen Sie Setup-Assistent mit moderner Authentifizierung als Authentifizierungsmethode aus. Ein aktives automatisches Geräteregistrierungstoken von Apple Business Manager oder Apple School Manager muss in Intune vorhanden sein, um diesen Schritt ausführen zu können.

  3. Wenn Sie im Registrierungsprofil zur Seite Zuweisungen gelangen, weisen Sie das Profil den Geräten zu, die von Apple Business Manager und Apple School Manager synchronisiert wurden. Nachdem Sie das Profil zugewiesen haben, können Mitarbeiter und Kursteilnehmer die Einrichtung und Authentifizierung auf ihren Geräten abschließen.

    Hinweis

    Die Unternehmensportal wird weiterhin als erforderliche App an Geräte gesendet, obwohl sie für Microsoft Entra Registrierung oder Compliance nicht erforderlich ist. Gerätebenutzer können die Unternehmensportal-App verwenden, um Protokolle zu sammeln und hochzuladen, wenn probleme in der App auftreten.

Beispiel für eine erfolgreiche Authentifizierung

Die folgende Ereignissequenz beschreibt ein Beispiel dafür, wie eine erfolgreiche Authentifizierung mit JIT-Registrierung für den Setup-Assistenten mit moderner Authentifizierung aussieht. Die Benutzererfahrung Ihrer organization kann je nach Konfiguration der automatisierten Geräteregistrierung unterschiedlich sein.

  1. Der Gerätebenutzer schaltet das Gerät ein.

  2. Der Setup-Assistent beginnt. Der Gerätebenutzer authentifiziert sich mit seinen Microsoft Entra Anmeldeinformationen im Setup-Assistenten.

  3. Der Gerätebenutzer schließt die mehrstufige Authentifizierung ab, wenn dies in der Richtlinie für bedingten Zugriff erforderlich ist.

  4. Die Registrierung des Geräts bei Intune ist abgeschlossen, und die Affinität zwischen Benutzer und Gerät wird eingerichtet.

  5. Der Gerätebenutzer wird auf dem Startbildschirm angezeigt und öffnet Microsoft Teams oder eine andere Office-App und meldet sich mit dem Geschäftskonto an. Wenn das Gerät alle Complianceanforderungen erfüllt, hat der Gerätebenutzer sofort Zugriff auf seine Nachrichten und kalender.

    Hinweis

    Während Microsoft Entra Registrierung wird dem Gerätebenutzer möglicherweise ein kurzer Spinner angezeigt, während Intune die Konformitätsprüfungen abgeschlossen hat. Dieses Verhalten ist normal und beabsichtigt.

  6. Die SSO-Erweiterung richtet einmaliges Anmelden in allen anderen Ziel-Apps und allen Microsoft-Apps ein.

  7. Das Gerät ist mit Microsoft Entra ID registriert und konform. Sie können die status des Geräts im Admin Center und Microsoft Entra ID anzeigen. Der Gerätebenutzer kann die status in Intune-Unternehmensportal anzeigen und Unternehmensportal für Compliance, App-Bestand, Gerätesynchronisierungen und Protokollfreigabe verwenden.

  8. Der Gerätebenutzer öffnet Teams und wird automatisch angemeldet.

Option 4: Setup-Assistent (Legacy)

Verwenden Sie den Legacy-Setup-Assistenten, wenn Sie möchten, dass Benutzer die typische, sofort einsatzbereite Erfahrung für Apple-Produkte nutzen können. Diese Option installiert vorkonfigurierte Standardeinstellungen, wenn das Gerät bei Intune registriert wird. Verwenden Sie diese Option für die Authentifizierung in folgenden Fällen:

  • Sie möchten ein Gerät zurücksetzen.
  • Moderne Authentifizierungsfeatures wie die mehrstufige Authentifizierung sind nicht erwünscht.
  • Sie möchten keine Geräte in Microsoft Entra ID registrieren. Der Setup-Assistent (Legacy) authentifiziert den Benutzer mit dem Apple.p7m-Token.

Wenn Sie Active Directory-Verbunddienste (AD FS) verwenden und zur Authentifizierung den Setup-Assistenten verwenden, ist der Endpunkt WS-Trust 1.3 Username/Mixed erforderlich. Weitere Informationen finden Sie unter Get-AdfsEndpoint in unserem Windows PowerShell Referenzhandbuch.

Nächste Schritte

Nachdem Sie nun wissen, welche Authentifizierungsmethode Sie verwenden, erstellen Sie ein Apple-Registrierungsprofil , und wählen Sie die Authentifizierungsmethode aus, wenn Sie dazu aufgefordert werden. Ein aktives automatisches Geräteregistrierungstoken von Apple Business Manager oder Apple School Manager muss in Intune vorhanden sein, um diesen Schritt ausführen zu können.