Einrichten der automatisierten Geräteregistrierung in Intune

  • Artikel

Gilt für iOS/iPadOS

Unternehmenseigene Geräte, die über Apple Business Manager oder Apple School Manager erworben wurden, können in Intune mithilfe der automatisierten Geräteregistrierung registriert werden. Bei dieser Registrierungsoption werden die Einstellungen Ihrer Organisation von Apple Business Manager und Apple School Manager angewendet und die Geräte werden registriert, ohne sie berühren zu müssen. iPhones und iPads können direkt an Mitarbeiter*innen und Lernende ausgeliefert werden. Wenn sie ihre Geräte einschalten, führt der Apple-Setup-Assistent sie durch Einrichtung und Registrierung.

In diesem Artikel wird beschrieben, wie Sie die automatisierte Geräteregistrierung in Microsoft Intune vorbereiten und einrichten.

Übersicht über Eigenschaften

In der folgenden Tabelle sind die Eigenschaften und Szenarien aufgeführt, die bei der automatisierten Geräteregistrierung unterstützt werden.

Feature Verwendung der Registrierungsoption in den folgenden Fällen:
Sie möchten den überwachten Modus verwenden. ✔️

Im überwachten Modus werden unter anderem Softwareupdates bereitgestellt, Features eingeschränkt und Apps zugelassen oder blockiert.
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). ✔️
Geräte befinden sich im Modus für gemeinsam genutzte Geräte. ✔️
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Nicht empfohlen. Anwendungen auf BYOD- oder persönlichen Geräten können mithilfe von MAM oder Benutzer- und Geräteregistrierung verwaltet werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ kann MAM verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da diese Geräte der Organisation gehören, empfiehlt es sich, sie in Intune zu registrieren.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Das DEM-Konto wird nicht unterstützt.

Voraussetzungen

Bevor Sie das Registrierungsprofil erstellen können, benötigen Sie Folgendes:

Bevor Sie beginnen

Lesen Sie diese Anforderungen und bewährten Methoden für die Registrierung, um für eine erfolgreiche Einrichtung und Bereitstellung gerüstet zu sein.

Auswählen einer Authentifizierungsmethode

Bevor Sie das Registrierungsprofil erstellen, entscheiden Sie, wie sich die Benutzer*innen auf ihren Geräten authentifizieren sollen: über die Intune-Unternehmensportal-App, den Setup-Assistenten (Legacy) oder den Setup-Assistenten mit moderner Authentifizierung. Die Verwendung der Unternehmensportal-App oder des Setup-Assistenten mit moderner Authentifizierung wird als moderne Authentifizierung betrachtet und bietet Features wie die Multi-Faktor-Authentifizierung.

Intune unterstützt auch die Just-in-Time-Registrierung für den Setup-Assistenten mit moderner Authentifizierung. In diesem Fall wird die Unternehmensportal-App für Microsoft Entra-Registrierung und Compliance nicht benötigt. Um die JIT-Registrierung nutzen zu können, müssen Sie eine Gerätekonfigurationsrichtlinie erstellen, bevor Sie das Apple-Registrierungsprofil erstellen und den Setup-Assistenten mit moderner Authentifizierung konfigurieren.

Der Setup-Assistent mit moderner Authentifizierung wird auf Geräten mit iOS/iPadOS 13.0 und höher unterstützt. Für ältere iOS-/iPadOS-Geräte mit diesem Profil wird stattdessen der Setup-Assistent (Legacy) für die Authentifizierung verwendet.

Weitere Informationen zu Ihren Authentifizierungsoptionen finden Sie unter Authentifizierungsmethoden für die automatisierte Geräteregistrierung.

Was ist der überwachte Modus?

Der überwachte Modus bietet mehr Steuerungsmöglichkeiten für die Verwaltung unternehmenseigener Geräte. So können Sie beispielsweise Bildschirmaufnahmen blockieren und AirDrop einschränken.

Unternehmenseigene Geräte mit iOS/iPadOS 11 und höher, die über die automatisierte Geräteregistrierung registriert werden, sollten sich immer im überwachten Modus befinden, den Sie im Registrierungsprofil aktivieren können. Weitere Informationen zum überwachten Modus finden Sie unter Aktivieren des überwachten Modus für iOS-/iPadOS. Microsoft Intune ignoriert das is_supervised-Flag bei Geräten mit iOS/iPadOS 13.0 und höher, da diese zum Zeitpunkt der Registrierung automatisch in den überwachten Modus versetzt werden.

Registrieren von Geräten im Modus für gemeinsam genutzte Geräte

Sie können die automatisierte Geräteregistrierung für Geräte im Modus für gemeinsam genutzte Geräte einrichten. Der Modus für gemeinsam genutzte Geräte ist ein Feature von Microsoft Entra ID, durch das Mitarbeiter*innen in Service und Produktion den ganzen Tag über ein einzelnes Gerät gemeinsam nutzen können, bei dem sie sich je nach Bedarf an- und abmelden. Weitere Informationen zum Aktivieren der Registrierung von Geräten im Microsoft Entra-Modus für gemeinsam genutzte Geräte finden Sie unter Automatisierte Geräteregistrierung für den Modus für gemeinsam genutzte Geräte.

Bereitstellen der Unternehmensportal-App

Wichtig

Es wird davon abgeraten, die App Store-Version der Unternehmensportal-App zu verwenden, da sie nicht mit der automatisierten Geräteregistrierung kompatibel ist und nicht wie bei der Bereitstellung automatische Updates und Verfügbarkeit bietet.

Die Bereitstellung der Intune-Unternehmensportal-App über Intune ist die beste Methode, um die App für Benutzer*innen bereitzustellen, und die einzige Möglichkeit, um Folgendes zu erreichen:

  • Sicherstellen, dass alle ADE-Geräte, einschließlich bereits registrierter Geräte, die App erhalten
  • Aktivieren automatischer App-Updates für das Unternehmensportal auf ADE-Geräten

Stellen Sie die App als erforderliche VPP-App mit Gerätelizenzierung bereit. Informationen zum Synchronisieren, Zuweisen und Verwalten einer VPP-App finden Sie unter Zuweisen einer per Volumenlizenz erworbenen App.

Um automatische App-Updates für das Unternehmensportal zu aktivieren, wechseln Sie im Admin Center zu Ihren App-Tokeneinstellungen, und ändern Sie die Einstellung für Automatische App-Updates in Ja. Die Schritte zum Zugreifen auf Ihre Tokeneinstellungen finden Sie unter Hochladen eines Apple VPP- oder Apple Business Manager-Standorttokens. Wenn Sie die automatischen Updates nicht aktivieren, müssen die Gerätebenutzer*innen selbst manuell danach suchen.

Das Gerätestaging wird verwendet, um ein Gerät ohne Benutzeraffinität in ein Gerät mit Benutzeraffinität umzuwandeln. Richten Sie für das Staging eines Geräts die VPP-Bereitstellung wie weiter oben in diesem Abschnitt beschrieben ein. Konfigurieren und stellen Sie dann eine App-Konfigurationsrichtlinie bereit. Stellen Sie sicher, dass die Richtlinie nur auf die ADE-Geräte ohne Benutzeraffinität ausgerichtet ist.

Wichtig

Während der ersten Registrierung überträgt Intune automatisch die App-Konfigurationsrichtlinieneinstellungen für Geräte, die mit dem Setup-Assistenten mit moderner Authentifizierung registriert wurden, die unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-Geräten, die mittels automatisierter Geräteregistrierung registriert wurden konfiguriert wurden, wenn die Registrierungsprofileinstellung Unternehmensportal installieren auf "Ja" festgelegt ist. Diese Konfiguration sollte nicht manuell für Benutzer*innen bereitgestellt werden, da sie einen Konflikt mit der Konfiguration verursacht, die während der ersten Registrierung gesendet wurde. Wenn beide bereitgestellt werden, fordert Intune die Gerätebenutzer*innen fälschlicherweise auf, sich beim Unternehmensportal anzumelden und ein bereits installiertes Verwaltungsprofil herunterzuladen.

Einschränkungen

  • Maximale Anzahl von Registrierungsprofilen pro Token: 1.000
  • Maximale Anzahl von Geräten mit automatisierter Geräteregistrierung pro Profil: 200.000 (identisch mit der maximalen Anzahl von Geräten pro Token)
  • Maximale Anzahl von Token für die automatisierte Geräteregistrierung pro Intune-Konto: 2.000
  • Maximale Anzahl von Geräten mit automatisierter Geräteregistrierung pro Token: 200.000
    • Es wird empfohlen, 200.000 Geräte pro Token nicht zu überschreiten. Andernfalls können Probleme mit der Synchronisierung auftreten. Wenn Sie mehr als 200.000 Geräte registrieren, sollten Sie die Geräte auf mehrere ADE-Token aufteilen.
    • Apple Business Manager und Apple School Manager synchronisieren etwa 3.000 Geräte pro Minute mit Intune. Es wird empfohlen, mit der erneuten manuellen Synchronisierung vom Admin Center aus so lange zu warten, bis genug Zeit für die vollständige Synchronisierung aller Geräte verstrichen ist (Gesamtanzahl der Geräte/3.000 Geräte pro Minute).

Behandeln von Problemen bei der Registrierung

Wenn während des Registrierungsvorgangs Probleme bei der Synchronisierung auftreten, können Sie unter Fehlermeldungen nach Lösungen suchen.

Abrufen eines Tokens für die automatische Geräteregistrierung von Apple

Damit Sie iOS-/iPadOS-Geräte mit der automatischen Geräteregistrierung registrieren können, benötigen Sie ein Token (P7M-Datei) für die automatisierte Geräteregistrierung von Apple. Mit diesem Token kann Intune Informationen zu den ADE-Geräten synchronisieren, die Ihrem Unternehmen gehören. Damit kann Intune außerdem Registrierungsprofile zu Apple hochladen und diesen Profilen Geräte zuweisen.

Verwenden Sie Apple Business Manager (ABM) oder Apple School Manager (ASM), um ein Token zu erstellen und Intune Geräte zur Verwaltung zuzuweisen.

Hinweis

Sie können entweder das ABM-Portal oder das ASM-Portal verwenden, um ADE zu aktivieren. Der Rest dieses Artikels bezieht sich auf das ABM-Portal, die Schritte sind jedoch für beide Portale identisch.

Schritt 1: Herunterladen des öffentlichen Schlüsselzertifikats in Intune

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie Registrierungsprogrammtoken>Hinzufügen.

  4. Auf der Registerkarte Grundlagen:

    1. Wählen Sie Ich stimme zu aus, um Microsoft die Berechtigung zu erteilen, Benutzer- und Geräteinformationen an Apple zu senden:

      Screenshot, der den Bildschirm „Token für Registrierungsprogramm hinzufügen“ anzeigt

    2. Klicken Sie auf Öffentliches, für die Tokenerstellung erforderliches Intune-Schlüsselzertifikat herunterlade. Mit diesem Schritt wird die Verschlüsselungsschlüsseldatei (.pem) heruntergeladen und lokal gespeichert. Mithilfe der PEM-Datei wird ein Vertrauensstellungszertifikat vom Apple Business Manager-Portal angefordert.

      Sie laden diese PEM-Datei im Apple Business Manager in Schritt 2 hoch: Wechseln Sie zum Apple Business Manager-Portal (in diesem Artikel).

    3. Lassen Sie diese Registerkarte und Seite des Webbrowsers geöffnet. Wenn Sie die Registerkarte schließen, geschieht Folgendes:

      • Das Zertifikat, das Sie heruntergeladen haben, wird ungültig.
      • Sie müssen die Schritte wiederholen.
      • Auf der Registerkarte Überprüfen und erstellen ist die Schaltfläche Erstellen nicht verfügbar, und Sie können diese Verfahren nicht abschließen.

Schritt 2: Navigieren zum Apple Business Manager-Portal

Erstellen und erneuern Sie Ihr ADE-Token (MDM-Server) im Apple Business Manager-Portal. Dieses Token wird zu Intune hinzugefügt und ist für die Kommunikation zwischen Intune und Apple zuständig.

Hinweis

Die folgenden Schritte geben an, wie Sie in Apple Business Manager vorgehen müssen. Informationen zu den einzelnen Schritten finden Sie in der Apple-Dokumentation. Der Leitfaden für Apple Business Manager (auf der Apple-Website) ist möglicherweise hilfreich.

Herunterladen des Apple-Tokens

  1. Melden Sie sich mit Ihrer Unternehmens-Apple-ID in Apple Business Manager an.

  2. Führen Sie in diesem Portal die folgenden Schritte aus.

    • In den Einstellungen werden alle Tokens angezeigt. Fügen Sie einen MDM-Server hinzu und laden Sie das öffentliche Schlüsselzertifikat (.pem-Datei) hoch, das Sie in Schritt 1: Herunterladen des öffentlichen Intune-Schlüsselzertifikats (in diesem Artikel) aus Intune heruntergeladen haben.

      Der Servername dient der Identifikation des MDM-Servers. Es handelt sich nicht um den Namen oder die URL des Microsoft Intune-Diensts.

    • Nachdem Sie den MDM-Server gespeichert haben, wählen Sie ihn aus, und laden Sie dann das Token (.p7m-Datei) herunter. Sie laden dieses .p7m-Token in Intune in Schritt 4 hoch: Hochladen und Abschließen Ihres Tokens (in diesem Artikel).

Zuweisen von Geräten zum Apple-Token (MDM-Server)

  1. Klicken Sie auf Apple Business Manager>Devices (Geräte), und wählen Sie die Geräte aus, die diesem Token zugewiesen werden sollen. Sie können nach verschiedenen Geräteeigenschaften sortieren, z. B. die Seriennummer. Sie können auch mehrere Geräte gleichzeitig auswählen.
  2. Bearbeiten Sie die Geräteverwaltung, und wählen Sie den soeben hinzugefügten MDM-Server aus. In diesem Schritt werden dem Token Geräte zugewiesen.

Schritt 3: Speichern der Apple-ID

  1. Wechseln Sie in Ihrem Webbrowser zurück zur Intune-Seite Token für Registrierungsprogramm hinzufügen. Sie sollten diese Seite geöffnet gehalten haben, wie in Schritt 1: Herunterladen des öffentlichen Intune-Schlüsselzertifikats (in diesem Artikel).

  2. Geben Sie unter Apple ID Ihre ID ein. In diesem Schritt wird die ID gespeichert. Die ID kann in Zukunft verwendet werden.

    Screenshot mit dem App-ID-Feld auf der Registerkarte Basics (Grundlagen)

Schritt 4: Hochladen Ihres Tokens und Beenden

  1. Navigieren Sie in Apple-Token zur .p7m-Zertifikatsdatei, und wählen Sie dann Open (Öffnen) aus.

    Sie haben dieses .p7m-Token in Schritt 2 heruntergeladen: Wechseln Sie zum Apple Business Manager-Portal.

  2. Wählen Sie Weiter aus.

  3. Klicken Sie auf der Registerkarte Bewerten + erstellen auf Erstellen.

Mit dem Pushzertifikat kann Intune iOS-/iPadOS-Geräte registrieren und verwalten, indem Richtlinien auf registrierte mobile Geräte gepusht wird. Intune führt eine automatische Synchronisierung mit Apple durch, um auf Ihr Registrierungsprogrammkonto zuzugreifen.

Apple-Registrierungsprofil erstellen

Nachdem Sie Ihr Token nun installiert haben, können Sie ein Registrierungsprofil für die automatisierte Geräteregistrierung erstellen. Ein Geräteregistrierungsprofil definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden. Es besteht ein Limit von 1.000 Registrierungsprofilen pro Registrierungstoken.

Hinweis

Die Registrierung von Geräten wird blockiert, wenn nicht genügend Unternehmensportal-Lizenzen für ein VPP-Token vorhanden sind oder wenn das Token abläuft. Intune benachrichtigt Sie, wenn ein Token bald abläuft oder die Lizenzen knapp werden.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie Registrierungsprogrammtoken aus.

  4. Wählen Sie ein Token und dann Profile aus.

  5. Wählen Sie Profil erstellen>iOS/iPadOS aus.

  6. Geben Sie für Allgemeine Informationen dem Profil einen Namen und eine Beschreibung für administrative Zwecke. Benutzer können diese Informationen nicht sehen.

  7. Wählen Sie Weiter aus.

    Wichtig

    Wenn Sie Änderungen an einem vorhandenen Registrierungsprofil vornehmen, werden die neuen Einstellungen auf den zugewiesenen Geräten erst dann wirksam, nachdem diese auf die Werkseinstellungen zurückgesetzt und reaktiviert wurden. Die Einstellung für Gerätenamenvorlagen ist die einzige Einstellung, die Sie ändern können, ohne dass eine Zurücksetzung auf die Werkseinstellungen erforderlich ist. Änderungen an der Namensvorlage werden beim nächsten Einchecken wirksam.

  8. Wählen Sie in der Liste Benutzeraffinität eine Option aus, die bestimmt, ob sich Geräte mit diesem Profil mit oder ohne einen zugewiesenen Benutzer registrieren müssen.

    • Mit Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die Benutzer*innen gehören, die das Unternehmensportal verwenden sollen, um Dienste wie z. B. die Installation von Apps nutzen zu können.

    • Ohne Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte, die nicht einem einzelnen Benutzer zugeordnet sind. Verwenden Sie diese Option für Geräte, die nicht auf lokale Benutzerdaten zugreifen. Diese Option wird in der Regel für Kioskgeräte, Verkaufsstellengeräte oder gemeinsam genutzte Geräte verwendet.

      In manchen Situationen sollten Sie einen primären Benutzer für Geräte zuordnen, die ohne Benutzeraffinität registriert wurden. Zum Durchführen dieser Aufgabe können Sie den IntuneUDAUserlessDevice-Schlüssel in einer App-Konfigurationsrichtlinie für verwaltete Geräte an die Unternehmensportal-App senden. Der erste Benutzer, der sich bei der Unternehmensportal-App anmeldet wird als primärer Benutzer festgelegt. Wenn sich der erste Benutzer abmeldet und ein anderer Benutzer anmeldet, bleibt der erste Benutzer der primäre Benutzer des Geräts. Weitere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-ADE-Geräten.

    • Mit Microsoft Entra ID-Modus für gemeinsame Nutzung registrieren: Wählen Sie diese Option, um Geräte zu registrieren, die sich im Modus für die gemeinsame Nutzung befinden.

  9. Wenn Sie im Feld Benutzeraffinität die Option Mit Benutzeraffinität registrieren ausgewählt haben, haben Sie die Möglichkeit, die Authentifizierungsmethode auszuwählen, die von den Benutzer*innen verwendet werden soll. Weitere Informationen zu den einzelnen Authentifizierungsmethoden finden Sie unter Authentifizierungsmethoden für die automatisierte Geräteregistrierung.

    Screenshot: Optionen der Authentifizierungsmethode

    Folgende Optionen sind verfügbar:

    • Unternehmensportal
    • Setup-Assistent (Legacy)
    • Setup-Assistent mit moderner Authentifizierung

  10. Wenn Sie Setup-Assistent (Legacy) als Authentifizierungsmethode ausgewählt haben, aber auch den bedingen Zugriff verwenden oder Unternehmens-Apps auf den Geräten bereitstellen möchten, müssen Sie das Unternehmensportal auf den Geräten installieren und sich anmelden, um die Microsoft Entra-Registrierung abzuschließen. Wählen Sie hierzu Ja für Unternehmensportal installieren aus. Wenn Sie möchten, dass Benutzer das Unternehmensportal erhalten, ohne sich beim App Store authentifizieren zu müssen, wählen Sie Unternehmensportal mit VPP installieren aus, und wählen Sie ein VPP-Token aus. Vergewissern Sie sich, dass das Token nicht abläuft, und dass Sie über genügend Gerätelizenzen für die Unternehmensportal-App verfügen, um eine ordnungsgemäße Bereitstellung zu ermöglichen.

  11. Wenn Sie ein Token für Unternehmensportal mit VPP installieren ausgewählt haben, können Sie das Gerät unmittelbar nach Beendigung des Setup-Assistenten in den Einzelanwendungsmodus (insbesondere die Unternehmensportal-App) sperren. Wählen Sie für Run Company Portal in Single App Mode until authentication (Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen) Ja aus, um diese Option festzulegen. Der Benutzer muss sich erst authentifizieren, indem er sich über das Unternehmensportal anmeldet, um das Gerät zu verwenden.

    Hinweis

    Mehrstufige Authentifizierung wird auf einem einzelnen Gerät, das im Einzelanwendungsmodus gesperrt ist, nicht unterstützt. Diese Einschränkung gibt es, weil das Gerät nicht zu einer anderen App wechseln kann, um den zweiten Authentifizierungsfaktor abzuschließen. Daher muss sich der zweite Faktor, wenn Sie mehrstufige Authentifizierung auf einem Einzelanwendungsmodus-Gerät verwenden möchten, auf einem anderen Gerät befinden.

    Dieses Feature wird nur für iOS/iPadOS 11.3.1 und höher unterstützt.

    Screenshot mit der Option „Run Company Portal in Single App Mode“ (Unternehmensportal im Einzelanwendungsmodus ausführen)

  12. Wenn Sie möchten, dass Geräte, die dieses Profil verwenden, überwacht werden, wählen Sie Ja in der Liste für Überwacht aus:

    Screenshot mit der Option „Überwacht“

    Bei überwachten Geräten stehen mehr Verwaltungsfunktionen zur Verfügung, und die Aktivierungssperre ist standardmäßig deaktiviert. Microsoft empfiehlt, die automatische Geräteregistrierung als Mechanismus zur Aktivierung des überwachten Modus zu verwenden. Dies gilt insbesondere, wenn Sie eine große Anzahl von iOS-/iPadOS-Geräten bereitstellen. Apple Shared iPad for Business-Geräte müssen überwacht werden.

    Die Benutzer*innen werden in der Einstellungen-App darüber benachrichtigt, dass ihre Geräte überwacht werden. In der App am oberen Rand ihres Bildschirms wird eine statische Meldung dazu angezeigt, dass das iPhone von <your organization> überwacht und verwaltet wird.

    Hinweis

    Wenn ein Gerät ohne Überwachung registriert ist, müssen Sie Apple Configurator verwenden, wenn Sie es auf „Überwacht“ festlegen möchten. Um das Gerät auf diese Weise zurückzusetzen, müssen Sie es mit einem USB-Kabel mit einem Mac verbinden. Weitere Informationen finden Sie unter Apple Configurator – Hilfe.

  13. Wählen Sie in der Liste Gesperrte Registrierung die Option Ja oder Nein aus. Bei gesperrter Registrierung sind die iOS-/iPadOS-Einstellungen deaktiviert, über die das Verwaltungsprofil entfernt werden kann. Wenn Sie die gesperrte Registrierung aktivieren, wird die Schaltfläche in der Einstellungen-App, über die die Benutzer*innen ein Verwaltungsprofil entfernen können, ausgeblendet, und die Benutzer*innen können die Registrierung ihres Geräts nicht aufheben. Wenn Sie Geräte im Microsoft Entra ID-Modus für die gemeinsame Nutzung einrichten, wählen Sie Ja aus.

    Die gesperrte Registrierung funktioniert zunächst etwas anders auf Geräten, die nicht ursprünglich über Apple Business Manager erworben wurden, aber später für die automatisierte Geräteregistrierung hinzugefügt wurden: Den Benutzer*innen wird auf diesen Geräten in den ersten 30 Tagen nach deren Aktivierung die Schaltfläche "Verwaltung entfernen" in der Einstellungen-App angezeigt. Nach Ablauf dieses Übergangszeitraums wird die Option ausgeblendet. Weitere Informationen finden Sie unter Manuelles Vorbereiten von Geräten (die Apple Configurator-Hilfedokumentation wird geöffnet).

    Wichtig

    Diese Einstellung unterscheidet sich von den Optionen zum Entfernen und Zurücksetzen in der Unternehmensportal-App. Unabhängig davon, wie Sie die gesperrte Registrierung konfigurieren, sind die Optionen Gerät entfernen oder Auf Werkseinstellungen zurücksetzen in der Unternehmensportal-App auf Geräten, die mittels automatisierter Geräteregistrierung registriert wurden, nicht verfügbar. Die Benutzer*innen können das Gerät auch nicht über die Unternehmensportal-Website entfernen. Weitere Informationen zu den Self-Service-Aktionen, die auf registrierten Geräten verfügbar sind, finden Sie unter Self-Service-Aktionen.

  14. Wenn Sie sich in den vorherigen Schritten für die Optionen Ohne Benutzeraffinität registrieren und Überwacht entschieden haben, müssen Sie sich entscheiden, ob die Geräte als Apple Shared iPad for Business-Geräte konfiguriert werden sollen oder nicht. Wählen Sie Ja für Freigegebenes iPad aus, um mehreren Benutzern die Anmeldung bei einem einzelnen Gerät zu ermöglichen. Benutzer authentifizieren sich mit ihren verwalteten Apple-IDs und ihren föderierten Authentifizierungskonten oder über eine temporäre Sitzung (z. B. mit einem Gastkonto). Für diese Option ist iOS/iPadOS 13.4 oder höher erforderlich. Bei einem freigegebenen iPad werden alle Setup-Assistentenbereiche nach der Aktivierung automatisch übersprungen.

    Hinweis

    • Ein Zurücksetzen des Geräts ist erforderlich, wenn ein iOS-/iPadOS-Registrierungsprofil mit aktivierter gemeinsamer iPad-Nutzung an ein nicht unterstütztes Gerät gesendet wird. Nicht unterstützte Geräte umfassen alle iPhone-Modelle und iPads, auf denen iPadOS/iOS 13.3 und früher ausgeführt wird. Zu den unterstützten Geräten gehören iPads mit iPadOS 13.3 und höher.
    • Zum Einrichten von Apple Shared iPad for Business konfigurieren Sie die folgenden Einstellungen:
      • Wählen Sie in der Liste Benutzeraffinität die Option Ohne Benutzeraffinität registrieren aus.
      • Wählen Sie in der Liste Überwacht die Option Ja aus.
      • Wählen Sie in der Liste Shared iPad die Option Ja aus.

    Wenn Sie „Apple Shared iPad for Business-Geräte einrichten, konfigurieren Sie auch Folgendes:

    • Maximal zwischengespeicherte Benutzer:Geben Sie die Anzahl der Benutzer ein, von denen Sie erwarten, dass sie das freigegebene iPad verwenden. Sie können bis zu 24 Benutzer auf einem Gerät mit 32 GB oder 64 GB zwischenspeichern. Wenn Sie eine niedrige Anzahl auswählen, kann es eine Weile dauern, bis die Daten Ihrer Benutzer auf ihren Geräten angezeigt werden, nachdem sie sich angemeldet haben. Wenn Sie eine hohe Anzahl auswählen, könnte den Benutzern der Speicherplatz ausgehen.

    • Maximale Anzahl an Sekunden nach der Bildschirmsperre, bevor das Kennwort erforderlich ist: Geben Sie die Zeitspanne in Sekunden an. Zulässige Werte sind: 0, 60, 300, 900, 3.600 und 14.400. Wenn die Bildschirmsperre diese Zeit überschreitet, ist ein Gerätekennwort erforderlich, um das Gerät zu entsperren. Verfügbar für Geräte im Modus "Gemeinsam genutztes iPad", auf denen iPadOS 13.0 und höher ausgeführt wird.

    • Maximale Anzahl an Inaktivitätssekunden, bis sich die Benutzersitzung abmeldet:Der zulässige Mindestwert für diese Einstellung ist 30. Wenn nach dem definierten Zeitraum keine Aktivität erfolgt, wird die Benutzersitzung beendet und der/die Benutzer*in wird abgemeldet. Wenn Sie den Eintrag leer lassen oder auf null (0) festlegen, wird die Sitzung nicht aufgrund von Inaktivität beendet. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

    • Nur temporäre Sitzung für freigegebenes iPad erforderlich: Konfiguriert das Gerät so, dass Benutzern nur die Gastversion der Anmeldeumgebung angezeigt wird und sie sich als Gäste anmelden müssen. Sie können sich nicht mit einer verwalteten Apple-ID anmelden. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

      Wenn diese Einstellung auf Ja festgelegt ist, werden die folgenden Einstellungen für gemeinsam genutzte iPads aufgehoben, da sie in temporären Sitzungen nicht anwendbar sind:

      • Maximale Anzahl zwischengespeicherter Benutzer
      • Maximaler Zeitraum der Bildschirmsperre (in Sekunden) bis zur Anforderung eines Kennworts
      • Maximale Anzahl von Sekunden der Inaktivität, bis die Benutzersitzung abgemeldet wird

    • Maximale Anzahl von Sekunden der Inaktivität, bis sich die Benutzersitzung abmeldet: Der zulässige Mindestwert für diese Einstellung ist 30. Wenn nach dem definierten Zeitraum keine Aktivität erfolgt, wird die temporäre Sitzung beendet und der/die Benutzer*in wird abgemeldet. Wenn Sie den Eintrag leer lassen oder auf null (0) festlegen, wird die Sitzung nicht aufgrund von Inaktivität beendet. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

      Diese Einstellung ist verfügbar, wenn Nur eine temporäre iPad-Sitzung erfordern auf Ja festgelegt ist.

    Hinweis

    • Wenn temporäre Sitzungen aktiviert sind, werden alle Daten des Benutzers gelöscht, wenn er sich bei der Sitzung abmeldet. Dies bedeutet, dass alle benutzerorientierten Richtlinien und Apps beim Anmelden an den Benutzer weitergegeben werden und gelöscht werden, wenn sich der Benutzer abmeldet.
    • Um eine Konfiguration für freigegebene iPads so zu ändern oder zu modifizieren, dass keine temporären Sitzungen vorhanden sind, muss das Gerät vollständig zurückgesetzt werden, und ein neues Registrierungsprofil mit den aktualisierten Konfigurationen muss an das iPad gesendet werden.

  15. Wählen Sie in der Liste Mit Computern synchronisieren eine Option für die Geräte aus, die dieses Profil verwenden. Wenn Sie Apple Configurator nach Zertifikat zulassen auswählen, müssen Sie unter Apple Configurator-Zertifikate ein Zertifikat auswählen.

    Hinweis

    Wenn Mit Computern synchronisieren auf Alle ablehnen festgelegt ist, wird der Port auf iOS- und iPadOS-Geräten beschränkt. Der Port wird ausschließlich auf den Ladevorgang beschränkt. Die Verwendung von iTunes oder Apple Configurator 2 wird blockiert.

    Wenn Sync with computers (Mit Computern synchronisieren) auf Apple Configurator nach Zertifikat zulassen festgelegt ist, stellen Sie sicher, dass Sie eine lokale Kopie des Zertifikats speichern, die Sie später verwenden können. Sie können keine Änderungen an der hochgeladenen Kopie vornehmen. Es ist daher wichtig, eine Kopie dieses Zertifikats beizubehalten. Wenn Sie eine Verbindung mit dem iOS/iPadOS-Gerät über ein Mac-Gerät herstellen möchten, muss dasselbe Zertifikat auf dem Gerät installiert sein, von dem die Verbindung mit dem iOS/iPadOS-Gerät ausgeht.

  16. Wenn Sie im vorherigen Schritt Apple Configurator nach Zertifikat zulassen ausgewählt haben, müssen Sie ein Apple Configurator-Zertifikat zum Importieren auswählen.

  17. Für Auf endgültige Konfiguration warten stehen folgende Optionen zur Auswahl:

    • Ja: Aktivieren Sie am Ende des Setup-Assistenten eine gesperrte Oberfläche, um sicherzustellen, dass Ihre wichtigsten Gerätekonfigurationsrichtlinien auf dem Gerät installiert werden. Unmittelbar vor dem Laden des Startbildschirms wird der Setup-Assistent angehalten und Intune checkt beim Gerät ein. Die Oberfläche für die Endbenutzer*innen wird gesperrt, während auf endgültige Konfigurationen gewartet wird.

      Die Zeitspanne, die Benutzer*innen warten müssen, während auf dem Bildschirm "Auf endgültige Konfiguration warten“ angezeigt wird, variiert und hängt von der Gesamtzahl der Richtlinien und Apps ab, die auf das Gerät angewendet werden. Je mehr Richtlinien und Apps dem Gerät zugewiesen sind, desto länger ist die Wartezeit. Weder der Setup-Assistent noch Intune erzwingen während dieses Teils des Setups ein Mindest- oder Höchstzeitlimit. Während der Produktvalidierung wurden die meisten von uns getesteten Geräte innerhalb von fünfzehn Minuten freigegeben und es konnte auf den Startbildschirm zugegriffen werden. Wenn Sie dieses Feature aktivieren und für die Bereitstellung von Geräten die Hilfe eines Drittanbieters in Anspruch nehmen, informieren Sie ihn über die eventuell längere Bereitstellungszeit.

      Die gesperrte Oberfläche funktioniert auf Geräten, auf die neue und bestehende Registrierungsprofile ausgerichtet sind. Zu den unterstützten Geräten gehören:

      • Geräte mit iOS/iPadOS 13 und höher, die über den Setup-Assistenten mit moderner Authentifizierung registriert werden
      • Geräte mit iOS/iPadOS 13 und höher, die ohne Benutzeraffinität registriert werden
      • Geräte mit iOS/iPadOS 13 und höher, die im Microsoft Entra ID-Modus für die gemeinsame Nutzung registriert werden

      Diese Einstellung wird einmal während der standardmäßigen automatisierten Geräteregistrierung im Setup-Assistenten angewendet. Den Gerätebenutzer*innen wird dies nicht erneut angezeigt, es sei denn, sie registrieren ihr Gerät erneut. Ja ist die Standardeinstellung für neue Registrierungsprofile.

    • Nein: Auf dem Gerät wird unabhängig vom Status der Richtlinieninstallation der Startbildschirm angezeigt, nachdem der Setup-Assistent beendet wurde. Die Gerätebenutzer*innen können u. U. auf den Startbildschirm zugreifen oder Geräteeinstellungen ändern, bevor alle Richtlinien installiert wurden. Nein ist die Standardeinstellung für bestehende Registrierungsprofile.

    Die "Warten"-Konfigurationseinstellung ist in Profilen mit der folgenden Kombination von Konfigurationen nicht verfügbar:

    • Benutzeraffinität: Ohne Benutzeraffinität registrieren (Schritt 6 in diesem Abschnitt)
    • Gemeinsam genutztes iPad: Ja (Schritt 12 in diesem Abschnitt)

  18. Erstellen Sie optional eine Gerätenamenvorlage, um Geräte, denen dieses Profil zugewiesen wurde, schnell im Admin Center zu identifizieren. Intune verwendet Ihre Vorlage zum Erstellen und Formatieren von Gerätenamen. Die Namen werden den Geräten bei der Registrierung und bei jedem aufeinanderfolgenden Check-in zugewiesen. So erstellen Sie eine Vorlage:

  19. Wählen Sie unter Gerätenamenvorlage anwenden die Option Ja aus.

  20. Geben Sie im Feld Gerätenamenvorlage die Vorlage ein, die zum Erstellen von Gerätenamen verwendet werden soll. Die Vorlage kann den Gerätetyp und die Seriennummer enthalten. Sie darf nicht mehr als 63 Zeichen enthalten, einschließlich der Variablen. Beispiel: {{DEVICETYPE}}-{{SERIAL}}

  21. Sie können einen mobilen Datenplan aktivieren. Diese Einstellung gilt für Geräte mit iOS/iPadOS 13.0 und höher. Wenn Sie diese Option konfigurieren, wird ein Befehl zum Aktivieren von mobilen Datenplänen für Ihre eSim-fähigen Mobilfunkgeräte gesendet. Ihr Netzbetreiber muss Aktivierungen für Ihre Geräte bereitstellen, bevor Sie mithilfe dieses Befehls Datenpläne aktivieren können. Klicken Sie zum Aktivieren des mobilen Datenplans auf Ja, und geben Sie dann die URL des Aktivierungsservers Ihres Netzbetreibers ein.

  22. Wählen Sie Weiter aus.

  23. Konfigurieren Sie auf der Registerkarte Setup-Assistent die folgenden Profileinstellungen:

    Abteilungseinstellungen Beschreibung
    Department Wird angezeigt, wenn der Benutzer während der Aktivierung auf Info zur Konfiguration tippt.
    Abteilungstelefonnummer Diese Einstellung wird angezeigt, wenn Benutzer während der Aktivierung auf Need help (Hilfe) tippen.

    Sie können die Bildschirme des Setup-Assistenten während des Benutzer-Setups auf dem Gerät ausblenden. Eine Beschreibung aller Bildschirme finden Sie in der Referenz zu den Bildschirmen des Setup-Assistenten (in diesem Artikel).

    • Wenn Sie Ausblenden auswählen, wird der Bildschirm nicht während des Setups angezeigt. Nach dem Setup des Geräts kann der Benutzer weiterhin zum Menü Einstellungen navigieren, um das Feature einzurichten.
    • Bei Auswahl von Anzeigen wird der Bildschirm während des Setups angezeigt, aber nur, wenn es Schritte gibt, die nach der Wiederherstellung oder dem Softwareupdate erfolgen müssen. Gelegentlich können Benutzer den Bildschirm überspringen, ohne weitere Maßnahmen ergreifen zu müssen. Sie können aber später zum Gerätemenü Einstellungen navigieren, um das Feature einzurichten.
    • Bei freigegebenem iPad werden alle Setup-Assistentenbereiche nach der Aktivierung unabhängig von der Konfiguration automatisch übersprungen.

  24. Wählen Sie Weiter aus.

  25. Wählen Sie Erstellen aus, um das Profil zu speichern.

Dynamische Gruppen in Microsoft Entra ID

Sie können das Registrierungsfeld Name zum Erstellen einer dynamischen Gruppe in Microsoft Entra ID verwenden. Weitere Informationen finden Sie unter Dynamische Microsoft Entra-Gruppen.

Sie können den Profilnamen zum Definieren des Parameters enrollmentProfileName verwenden, um Geräte mit diesem Registrierungsprofil zuzuweisen.

Stellen Sie vor der Geräteeinrichtung sicher, dass die zu registrierende Person Mitglied einer Microsoft Entra-Benutzergruppe ist. Dadurch wird auch eine schnelle Übermittlung an Geräte mit Benutzeraffinität sichergestellt.

Das Zuweisen dynamischer Gruppen zu Registrierungsprofilen kann zu einer gewissen Verzögerung bei der Bereitstellung von Anwendungen und Richtlinien auf Geräten nach der Registrierung führen.

Referenz zu den Bildschirmen des Setup-Assistenten

In der folgenden Tabelle werden die Bildschirme des Setup-Assistenten beschrieben, die während der automatisierten Geräteregistrierung von iOS/iPadOS-Geräten angezeigt werden. Sie können diese Bildschirme auf unterstützten Geräten während der Registrierung ein- oder ausblenden.

Bildschirm "Setup-Assistent" Was geschieht, wenn es angezeigt wird
Kenncode Den Benutzer zur Eingabe einer Kennung auffordern. Verlangen Sie immer eine Kennung (Passcode) für ungeschützte Geräte, es sei denn, der Zugriff ist auf andere Weise geschützt. (Beispielsweise eine Kioskmoduskonfiguration, die das Gerät auf eine App beschränkt.) Für iOS/iPadOS 7.0 und höher.
Standortdienste Den Benutzer zur Eingabe seines Standorts auffordern. Für macOS 10.11 und höher sowie iOS/iPadOS 7.0 und höher
Wiederherstellen Den Bildschirms „Anwendungen und Daten“ anzeigen. Über diesen Bildschirm hat der Benutzer die Möglichkeit, Daten aus der iCloud-Sicherung wiederherzustellen oder aus dieser zu übertragen, wenn er das Gerät einrichtet. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Apple-ID Dem Benutzer die Möglichkeiten anbieten, sich mit seiner Apple-ID anzumelden und iCloud zu verwenden. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Geschäftsbedingungen Den Benutzer zum Annehmen der Geschäsftsbedinungen von Apple auffordern. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Touch ID und Face ID Geben Sie dem Benutzer die Möglichkeit, einen Fingerabdruck oder eine Gesichtserkennung auf seinem Gerät einzurichten. Dies gilt für Mac OS 10.12.4 und höher sowie für iOS/iPadOS 8.1 und höher. Unter iOS/iPadOS 14.5 und höher funktionieren die Bildschirme des Assistenten zur Passcode- und Touch ID-Einrichtung während der Geräteeinrichtung nicht. Wenn Sie Version 14.5 und höher verwenden, werden die Bildschirme des Assistenten zur Passcode- oder Touch ID-Einrichtung nicht konfiguriert. Wenn Sie einen Passcode auf Geräten benötigen, verwenden Sie eine Gerätekonfigurationsrichtlinie oder eine Konformitätsrichtlinie. Nachdem sich der Benutzer registriert und die Richtlinie erhalten hat, wird er zur Eingabe eines Passcodes aufgefordert.
Apple Pay Dem Benutzer die Möglichkeit geben, Apple Pay auf dem Gerät einzurichten. Dies gilt für Mac OS 10.12.4 und höher sowie für iOS/iPadOS 7.0 und höher.
Zoom Es lässt zu, dass der Benutzer die Anzeige vergrößern bzw. verkleinern kann, während er das Gerät einrichtet. Dies gilt für iOS/iPadOS 8.3 und höher.
Siri Dem Benutzer die Möglichkeit geben, Siri auf dem Gerät einzurichten. Dies gilt für Mac OS 10.12 und höher sowie für iOS/iPadOS 7.0 und höher.
Diagnosedaten Der Bildschirm Diagnose wird angezeigt. Dieser Bildschirm bietet dem Benutzer die Möglichkeit, Diagnosedaten an Apple zu senden. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Display Tone Dem Benutzer die Möglichkeit geben, die Funktion „Display Tone“ zu aktivieren. Dies gilt für Mac OS 10.13.6 und höher sowie für iOS/iPadOS 9.3.2 und höher.
Datenschutz Der Bildschirm Datenschutz wird angezeigt. Dies gilt für Mac OS 10.13.4 und höher sowie für iOS/iPadOS 11.3 und höher.
Android-Migration Dem Benutzer die Möglichkeit geben, Daten von einem Android-Gerät zu migrieren. Dies gilt für iOS/iPadOS 9.0 und höher.
iMessage & FaceTime Dem Benutzer die Möglichkeit geben, iMessage und FaceTime auf dem Gerät einzurichten. Dies gilt für iOS/iPadOS 9.0 und höher.
Onboarding Den Benutzern werden Onboarding-Bildschirme zu Informationszwecken angezeigt, z. B. „Deckblatt“, „Multitasking“ oder „Steuerungscenter“. Dies gilt für iOS/iPadOS 11.0 und höher.
Screen Time Den Bildschirm "Screen Time" anzeigen. Dies gilt für Mac OS 10.15 und höher sowie für iOS/iPadOS 12.0 und höher.
SIM-Setup Dem Benutzer die Möglichkeit geben, ein Mobilfunkangebot hinzuzufügen. Dies gilt für iOS/iPadOS 12.0 und höher.
Softwareupdate Den obligatorischen Bildschirm für Softwareupdates anzeigen. Dies gilt für iOS/iPadOS 12.0 und höher.
Apple Watch-Migration Dem Benutzer die Möglichkeit geben, Daten von einer Apple Watch zu migrieren. Dies gilt für iOS/iPadOS 11.0 und höher.
Erscheinungsbild Der Bildschirm Darstellung wird angezeigt. Dies gilt für Mac OS 10.14 und höher sowie für iOS/iPadOS 13.0 und höher.
Migration von Gerät zu Gerät Geben Sie dem Benutzer die Möglichkeit, Daten von einem alten Gerät auf dieses Gerät zu übertragen. Die Option zum direkten Übertragen von Daten von einem Gerät ist für ADE-Geräte mit iOS 13 oder höher nicht verfügbar.
Wiederherstellung abgeschlossen Zeigt Benutzern den Bildschirm „Wiederherstellung abgeschlossen“ an, nachdem eine Sicherung und Wiederherstellung während des Setup-Assistenten durchgeführt wurde.
Softwareupdate abgeschlossen Zeigt dem Benutzer alle Softwareupdates an, die während des Setup-Assistenten ausgeführt werden.
Erste Schritte Zeigt Benutzern die Willkommensseite „Erste Schritte“ an.
Anredeoptionen Geben Sie den Benutzer*innen die Möglichkeit, auszuwählen, wie sie im gesamten System angesprochen werden sollen: weiblich, männlich oder neutral. Dieses Apple-Feature ist für ausgewählte Sprachen verfügbar. Weitere Informationen finden Sie unter Wichtige Features und Verbesserungen (die Apple-Website wird geöffnet). Für iOS/iPadOS 16.0 und höher.

Synchronisieren verwalteter Geräte

Nachdem Intune nun die Berechtigung zum Verwalten Ihrer Geräte besitzt, können Sie Intune mit Apple synchronisieren, um Ihre verwalteten Geräte in Intune im Azure-Portal anzuzeigen.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie Registrierungsprogrammtoken aus.

  4. Wählen Sie in der Liste ein Token aus, und wählen Sie dann Geräte>Synchronisieren aus:

    Screenshot mit der Darstellung, wie iOS- und iPadOS-Geräte mit einem Registrierungsprogrammtoken registriert werden

    Um die Apple-Bedingungen für akzeptablen Datenverkehr im Registrierungsprogramm zu befolgen, erzwingt Intune die folgenden Einschränkungen:

    • Eine vollständige Synchronisierung kann nicht öfter als einmal alle sieben Tage erfolgen. Während einer vollständigen Synchronisierung ruft Intune die vollständig aktualisierte Liste der Seriennummern auf, die dem mit Intune verbundenen Apple MDM-Server zugewiesen sind.

      Wichtig

      Wenn ein Gerät aus Intune gelöscht wird, aber dem ADE-Registrierungstoken im ASM/ABM-Portal zugewiesen bleibt, wird es bei der nächsten vollständigen Synchronisierung wieder in Intune angezeigt. Wenn das Gerät nicht erneut in Intune angezeigt werden soll, heben Sie die Zuweisung vom Apple MDM-Server im ABM/ASM-Portal auf.

    • Wenn ein Gerät von ABM/ASM freigegeben wird, kann es bis zu 45 Tage dauern, bis es automatisch in Intune von den Geräteseiten gelöscht wird. Sie können freigegebene Geräte bei Bedarf nacheinander manuell aus Intune löschen. Gemeinsam genutzte Geräte werden in Intune korrekt als aus ABM/ASM entfernt gemeldet, bis sie innerhalb von 30-45 Tagen automatisch gelöscht werden.
    • Eine Deltasynchronisierung wird alle 12 Stunden automatisch ausgeführt. Sie können eine Deltasynchronisierung auch manuell auslösen, indem Sie die Schaltfläche Synchronisierung auswählen (nicht öfter als einmal alle 15 Minuten). Alle Synchronisierungsanforderungen müssen innerhalb von 15 Minuten abgeschlossen werden. Die Schaltfläche Synchronisierung bleibt bis zum Abschluss der Synchronisierung deaktiviert. Durch diese Synchronisierung werden vorhandene Gerätestatus aktualisiert und neue Geräte importiert, die dem Apple MDM-Server zugewiesen sind. Wenn eine Deltasynchronisierung aus irgendeinem Grund fehlschlägt, ist die nächste Synchronisierung eine vollständige Synchronisierung, um alle Probleme (hoffentlich) zu beheben.

Zuweisen eines Registrierungsprofils an Geräte

Bevor Geräte registriert werden können, müssen Sie ihnen ein Registrierungsprofil zuweisen.

Hinweis

Sie können auch im Bereich Apple-Seriennummern Profilen Seriennummern zuweisen.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.
  2. Wählen Sie die Registerkarte Apple aus.
  3. Wählen Sie Registrierungsprogrammtoken aus.
  4. Wählen Sie ein Registrierungstoken aus.
  5. Klicken Sie auf Geräte.
  6. Wählen Sie alle Geräte aus, die Sie zuweisen möchten, und wählen Sie dann Profil zuweisen aus.
  7. Wählen Sie unter Profil zuweisen das Profil für die automatisierte Geräteregistrierung aus, das Sie für die Geräte erstellt haben, und wählen Sie dann Zuweisen aus.

Zuweisen eines Standardprofils

Sie können ein Standardprofil auswählen, das auf alle Geräte angewendet wird, die sich mit einem bestimmten Token registrieren.

  1. Kehren Sie im Admin Center zu Registrierungsprogrammtoken zurück.
  2. Wählen Sie ein Registrierungstoken aus.
  3. Wählen Sie Standardprofil festlegen aus.
  4. Wählen Sie ein Profil aus der Liste und dann Speichern aus. Das Profil wird auf alle Geräte angewendet, die sich mit dem ausgewählten Registrierungstoken registrieren.

Hinweis

Stellen Sie sicher, dass die Standardrichtlinie Alle Benutzer für Gerätetypeinschränkungen unter Registrierungseinschränkungen nicht so festgelegt ist, dass die iOS-/iPadOS-Plattform blockiert wird. Diese Einstellung führt dazu, dass bei der automatisierten Registrierung ein Fehler auftritt und Ihr Gerät unabhängig vom Benutzernachweis als ungültiges Profil angezeigt wird. Um die Registrierung nur für vom Unternehmen verwaltete Geräte zuzulassen, blockieren Sie nur persönliche Geräte, damit Unternehmensgeräte sich registrieren können. Microsoft definiert ein Unternehmensgerät als ein Gerät, das über ein Programm zur Geräteregistrierung registriert wird, oder als ein Gerät, das unter Bezeichner von Unternehmensgeräten manuell eingegeben wird.

Verteilen von Geräten

Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune aktiviert und ein Profil zugewiesen, damit Ihre ADE-Geräte registriert werden können. Nun können Sie die Geräte an Benutzer verteilen. Folgendes sollten Sie beachten:

  • Bei Geräten, die mithilfe der Benutzeraffinität registriert wurden, muss jedem Benutzer eine Intune-Lizenz zugewiesen werden.

  • Geräte, die ohne die Benutzeraffinität registriert wurden, verfügen in der Regel über keine zugeordneten Benutzer. Diese Geräte müssen über eine Intune-Gerätelizenz verfügen. Wenn Geräte, die ohne Benutzeraffinität registriert wurden, von einem Benutzer mit Intune-Lizenz verwendet werden, ist keine Gerätelizenz erforderlich.

    Zusammenfassend gilt: Wenn ein Gerät über einen Benutzer verfügt, muss dem Benutzer eine Intune-Lizenz zugewiesen sein. Wenn das Gerät keinen Benutzer mit Intune-Lizenz hat, muss das Gerät selbst über eine Intune-Gerätelizenz verfügen.

    Weitere Informationen zur Intune-Lizenzierung finden Sie unter Microsoft Intune-Lizenzen und im Intune-Planungsleitfaden.

  • Ein aktiviertes Gerät muss zurückgesetzt werden, bevor es ordnungsgemäß mit ADE in Intune registriert werden kann. Das Registrierungsprofil können Sie anwenden, nachdem es zurückgesetzt wurde, aber bevor Sie es erneut aktivieren. Weitere Informationen finden Sie unter Ein vorhandenes iPhone, iPad oder einen vorhandenen iPod touch einrichten.

  • Bei der Registrierung mit ADE und Benutzeraffinität kann während des Setups der folgende Fehler auftreten:

    The SCEP server returned an invalid response.

    Sie können diesen Fehler beheben, indem Sie versuchen, die Verwaltung innerhalb von 15 Minuten erneut herunterzuladen. Wenn das länger als 15 Minuten dauert, müssen Sie das Gerät auf die Werkseinstellungen zurücksetzen, um den Fehler zu beheben. Dieser Fehler tritt aus Sicherheitsgründen und aufgrund einer 15-minütigen Zeitbeschränkung von SCEP-Zertifikaten auf.

Weitere Informationen zum Ablauf für Endbenutzer finden Sie unter Registrieren Ihres iOS-/iPadOS-Geräts bei Intune mithilfe von ADE.

Erneutes Registrieren eines Geräts

Führen Sie diese Schritte aus, um ein Gerät erneut zu registrieren, das bereits die automatisierte Geräteregistrierung durchlaufen hat.

  1. Es gibt zwei Optionen zum Zurücksetzen des Geräts:
    • Das Gerät im Microsoft Intune Admin Center zurücksetzen
    • Das Gerät im Admin Center außer Betrieb nehmen und es anschließend mithilfe der Einstellungen-App, Apple Configurator 2 oder iTunes auf die Werkseinstellungen zurücksetzen
  2. Schalten Sie das Gerät ein, und führen Sie die auf dem Bildschirm im Setup-Assistenten angegebenen Schritte aus, um das Remoteverwaltungsprofil abzurufen.

Erneuern eines Tokens für die automatische Geräteregistrierung

Manchmal müssen Sie Ihre Token erneuern:

  • Erneuern Sie das ADE-Token jährlich. Im Intune Admin Center wird das Ablaufdatum angezeigt.
  • Wenn das Apple-ID-Kennwort für den Benutzer geändert wird, der das Token in Apple Business Manager eingerichtet hat, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.
  • Wenn der Benutzer, der das Token in Apple Business Manager eingerichtet hat, die Organisation verlässt, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.
  • Wenn Sie die Apple-ID ändern, die zum Erstellen des Tokens für die automatisierte Geräteregistrierung verwendet wird, wirkt sich diese Änderung erst dann auf aktuell registrierte Geräte mit diesem Token aus, wenn sie erneut registriert werden. Dies unterscheidet sich von dem für den Mandanten verwendeten APNS-Zertifikat (Apple Push Notification Service), das nicht geändert werden kann, ohne dass alle Geräte erneut registriert werden müssen, es sei denn, Sie wenden sich an den Apple-Support, um die Änderung auf dem Back-End vorzunehmen.

Erneuern von Token

  1. Wechseln Sie zu business.apple.com, und melden Sie sich mit einem Konto an, das über die Rolle „Administrator“ oder „Geräteregistrierungs-Manager“ verfügt.

  2. Wählen Sie Einstellungen aus. Wählen Sie unter MDM-Server den MDM-Server aus, der der Tokendatei zugeordnet ist, die Sie erneuern möchten. Wählen Sie Token herunterladen aus:

    Screenshot, der zeigt, wie ein Apple-Token in Apple Business Manager erneuert und heruntergeladen wird

  3. Wählen Sie Servertoken herunterladen aus.

    Hinweis

    Wählen Sie, wie in der Eingabeaufforderung beschrieben, Server Token herunterladen nicht aus, wenn Sie das Token nicht erneuern möchten. Dadurch wird das Token, das von Intune (oder einer anderen MDM-Lösung) verwendet wird, ungültig. Wenn Sie das Token bereits heruntergeladen haben, stellen Sie sicher, dass Sie mit den nächsten Schritten fortfahren, bis das Token erneuert wird.

  4. Nachdem Sie das Token heruntergeladen haben, wechseln Sie zum Microsoft Intune Admin Center.

  5. Wählen Sie Geräte>Registrierung aus.

  6. Wählen Sie Registrierungsprogrammtoken aus.

  7. Wählen Sie das Token aus.

  8. Wählen Sie Token erneuern aus. Geben Sie die Apple-ID ein, die zum Erstellen des ursprünglichen Tokens verwendet wurde (falls nicht automatisch ausgefüllt):

    Screenshot, der die Seite zum Erneuern des Tokens anzeigt

  9. Laden Sie das neu heruntergeladene Token hoch.

  10. Wählen Sie Weiter aus, um zur Seite Bereichstags zu gelangen. Weisen Sie Bereichstags zu, wenn Sie möchten.

  11. Wählen Sie Token erneuern aus. Es wird eine Bestätigung angezeigt, dass das Token erneuert wird:

    Screenshot mit der Bestätigungsmeldung

Löschen eines Tokens für die automatische Geräteregistrierung aus Intune

Sie können Token des Registrierungsprofils aus Intune löschen, solange Folgendes gilt:

  • Dem Token sind keine Geräte zugewiesen.
  • Dem Standardprofil sind keine Geräte zugewiesen.
  • Unter diesem Token sind keine Registrierungsprofile vorhanden.

So löschen Sie ein Registrierungsprofiltoken:

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.
  2. Wählen Sie die Registerkarte Apple aus.
  3. Wählen Sie Registrierungsprogrammtoken aus.
  4. Wählen Sie das Token aus, und wählen Sie dann Geräte aus.
  5. Löschen Sie alle Geräte, die dem Token zugewiesen sind.
  6. Kehren Sie zu Registrierungsprogrammtoken zurück. Wählen Sie das Token aus, und wählen Sie dann Profile aus.
  7. Wenn ein Standardprofil oder ein anderes Registrierungsprofil vorhanden ist, müssen diese alle gelöscht werden.
  8. Kehren Sie zu Registrierungsprogrammtoken zurück. Wählen Sie das Token aus, und wählen Sie dann Löschen aus.

Nächste Schritte

Eine Übersicht über die Anforderungen an Gerätebenutzer*innen finden Sie unter Aufgaben für Endbenutzer*innen bei Verwendung der automatisierten Geräteregistrierung.