Einrichten der automatisierten Geräteregistrierung in Intune

  • Artikel
  • 32 Minuten Lesedauer

Gilt für iOS/iPadOS

Unternehmenseigene Geräte, die über Apple Business Manager oder Apple School Manager erworben wurden, können über die automatisierte Geräteregistrierung bei Intune registriert werden. Diese Registrierungsoption wendet die Einstellungen Ihrer organization über Apple Business Manager und Apple School Manager an und registriert Geräte, ohne dass Sie sie berühren müssen. iPhones und iPads können direkt an Mitarbeiter und Studenten ausgeliefert werden. Wenn sie ihre Geräte einschalten, führt der Apple-Setup-Assistent sie durch das Setup und die Registrierung.

In diesem Artikel wird beschrieben, wie Sie die automatisierte Geräteregistrierung in Microsoft Intune vorbereiten und einrichten.

Übersicht über Features

In der folgenden Tabelle sind die Features und Szenarien aufgeführt, die mit der automatisierten Geräteregistrierung unterstützt werden.

Feature Verwendung der Registrierungsoption in den folgenden Fällen:
Sie möchten den überwachten Modus verwenden. ✔️

Im überwachten Modus werden unter anderem Softwareupdates bereitgestellt, Features eingeschränkt und Apps zugelassen oder blockiert.
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). ✔️
Geräte befinden sich im freigegebenen Azure AD-Modus. ✔️
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Nicht empfohlen. Anwendungen auf BYOD- oder persönlichen Geräten können mithilfe von MAM oder Benutzer- und Geräteregistrierung verwaltet werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ kann MAM verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da sich diese Geräte im Besitz des organization befinden, empfiehlt es sich, sie in Intune zu registrieren.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Das DEM-Konto wird nicht unterstützt.

Voraussetzungen

Bevor Sie das Registrierungsprofil erstellen können, benötigen Sie Folgendes:

Vorabinformationen

Lesen Sie diese Registrierungsanforderungen und bewährten Methoden, um sich auf eine erfolgreiche Einrichtung und Bereitstellung vorzubereiten.

Auswählen einer Authentifizierungsmethode

Bevor Sie das Registrierungsprofil erstellen, entscheiden Sie, wie Benutzer sich auf ihren Geräten authentifizieren sollen: über die Intune-Unternehmensportal-App, den Setup-Assistenten (Legacy) oder den Setup-Assistenten mit moderner Authentifizierung. Die Verwendung der Unternehmensportal-App oder des Setup-Assistenten mit moderner Authentifizierung gilt als moderne Authentifizierung und bietet Features wie die mehrstufige Authentifizierung.

Intune unterstützt auch die Just-in-Time-Registrierung für den Setup-Assistenten mit moderner Authentifizierung, wodurch die Unternehmensportal-App für die Azure AD-Registrierung und -Compliance überflüssig wird. Um die JIT-Registrierung verwenden zu können, müssen Sie eine Gerätekonfigurationsrichtlinie erstellen, bevor Sie das Apple-Registrierungsprofil erstellen und den Setup-Assistenten mit moderner Authentifizierung konfigurieren. Schrittanleitungen finden Sie unter Einrichten der Just-in-Time-Registrierung.

Wichtig

DIE JIT-Registrierung befindet sich in der öffentlichen Vorschauphase. Weitere Informationen finden Sie unter Public Preview in Microsoft Intune.

Der Setup-Assistent mit moderner Authentifizierung wird auf Geräten mit iOS/iPadOS 13.0 und höher unterstützt. Ältere iOS-/iPadOS-Geräte mit diesem Profil verwenden stattdessen den Setup-Assistenten (Legacy) für die Authentifizierung.

Weitere Informationen zu Ihren Authentifizierungsoptionen finden Sie unter Authentifizierungsmethoden für die automatische Geräteregistrierung.

Was ist der überwachte Modus?

Der überwachte Modus bietet mehr Kontrolle über unternehmenseigene Geräte, sodass Sie Beispielsweise Bildschirmaufnahmen blockieren und AirDrop einschränken können.

Unternehmenseigene Geräte, auf denen iOS/iPadOS 11 und höher ausgeführt und über die automatisierte Geräteregistrierung registriert werden, sollten sich immer im überwachten Modus befinden, den Sie im Registrierungsprofil aktivieren können. Weitere Informationen zum überwachten Modus finden Sie unter Aktivieren des überwachten iOS-/iPadOS-Modus. Microsoft Intune ignoriert das is_supervised-Flag für Geräte mit iOS/iPadOS 13.0 und höher, da diese Geräte zum Zeitpunkt der Registrierung automatisch in den überwachten Modus versetzt werden.

Registrieren von Geräten im Modus für gemeinsam genutzte Azure AD-Geräte

Wichtig

Diese Funktion befindet sich in einem öffentlichen Vorschauzustand. Weitere Informationen finden Sie unter Public Preview in Microsoft Intune.

Sie können die automatisierte Geräteregistrierung für Geräte im Azure AD-Modus für gemeinsam genutzte Geräte einrichten. Der Modus für gemeinsam genutzte Geräte ermöglicht es Mitarbeitern in Service und Produktion, ein einzelnes Gerät den ganzen Tag freizugeben und sich bei Bedarf an- und abzumelden. Weitere Informationen zum Aktivieren der Registrierung für Geräte im Modus für gemeinsam genutzte Geräte finden Sie unter Automatisierte Geräteregistrierung für den Modus für gemeinsam genutzte Azure AD-Geräte.

Bereitstellen der Unternehmensportal-App

Wichtig

Es wird davon abgeraten, die App Store Version der Unternehmensportal-App zu verwenden, da sie nicht mit der automatisierten Geräteregistrierung kompatibel ist und nicht wie bei der Bereitstellung automatische Updates und Verfügbarkeit bereitstellt.

Die Bereitstellung der Intune-Unternehmensportal-App über Intune ist die beste Möglichkeit, die App für Benutzer bereitzustellen, und die einzige Möglichkeit:

  • Stellen Sie sicher, dass alle ADE-Geräte, einschließlich bereits registrierter Geräte, die App erhalten.
  • Aktivieren Sie automatische App-Updates für Unternehmensportal auf ADE-Geräten.

Stellen Sie die App als erforderliche VPP-App mit Gerätelizenzierung bereit. Informationen zum Synchronisieren, Zuweisen und Verwalten einer VPP-App finden Sie unter Zuweisen einer per Volumenlizenz erworbenen App.

Um automatische App-Updates für Unternehmensportal zu aktivieren, wechseln Sie im Admin Center zu Ihren App-Tokeneinstellungen, und ändern Sie Automatische App-Updates in Ja. Die Schritte zum Zugreifen auf Ihre Tokeneinstellungen finden Sie unter Hochladen eines Apple VPP- oder Apple Business Manager-Standorttokens . Wenn Sie keine automatischen Updates aktivieren, muss der Gerätebenutzer manuell selbst danach suchen.

Das Geräte-Staging wird verwendet, um ein Gerät ohne Benutzeraffinität auf ein Gerät mit Benutzeraffinität zu übertragen. Richten Sie zum Bereitstellen eines Geräts die VPP-Bereitstellung wie weiter oben in diesem Abschnitt beschrieben ein. Konfigurieren und bereitstellen Sie dann eine App-Konfigurationsrichtlinie. Stellen Sie sicher, dass die Richtlinie nur auf ADE-Geräte ohne Benutzeraffinität ausgerichtet ist.

Wichtig

Während der ersten Registrierung pusht Intune automatisch die Einstellungen der App-Konfigurationsrichtlinie für Geräte, die mit dem Setup-Assistenten mit moderner Authentifizierung registriert sind. Dies ist unter Konfigurieren der Unternehmensportal-App für die Unterstützung von iOS- und iPadOS-Geräten, die mit automatisierter Geräteregistrierung registriert sind, konfiguriert, wenn die Registrierungsprofileinstellung Install Unternehmensportal ist auf Ja festgelegt. Diese Konfiguration sollte nicht manuell für Benutzer bereitgestellt werden, da sie einen Konflikt mit der Konfiguration verursacht, die während der ersten Registrierung gesendet wurde. Wenn beide bereitgestellt werden, fordert Intune Die Gerätebenutzer fälschlicherweise auf, sich bei Unternehmensportal anzumelden und ein bereits installiertes Verwaltungsprofil herunterzuladen.

Einschränkungen

  • Maximale Anzahl von Registrierungsprofilen pro Token: 1.000
  • Maximale Anzahl von Geräten für die automatische Geräteregistrierung pro Profil: 200.000 (entspricht der maximalen Anzahl von Geräten pro Token).
  • Maximale Anzahl von Token für die automatische Geräteregistrierung pro Intune Konto: 2.000
  • Maximale Anzahl von Geräten für die automatische Geräteregistrierung pro Token: 200.000
    • Es wird empfohlen, 200.000 Geräte pro Token nicht zu überschreiten. Andernfalls können Probleme mit der Synchronisierung auftreten. Wenn Sie mehr als 200.000 Geräte registrieren, sollten Sie die Geräte auf mehrere ADE-Token aufteilen.
    • Apple Business Manager und Apple School Manager synchronisieren etwa 3.000 Geräte mit Intune pro Minute. Es wird empfohlen, die manuelle Synchronisierung aus dem Admin Center wieder zurückzuhalten, bis genügend Zeit vergangen ist, bis die Synchronisierung aller Geräte abgeschlossen ist (Gesamtanzahl der Geräte/3.000 Geräte pro Minute).

Behandeln von Problemen bei der Registrierung

Wenn während des Registrierungsvorgangs Probleme bei der Synchronisierung auftreten, können Sie unter Fehlermeldungen nach Lösungen suchen.

Abrufen eines automatisierten Apple-Geräteregistrierungstokens

Bevor Sie iOS-/iPadOS-Geräte bei ADE registrieren können, benötigen Sie ein automatisiertes Geräteregistrierungstoken (P7M-Datei) von Apple. Mit diesem Token können Intune Informationen zu ADE-Geräten synchronisieren, die Ihr organization besitzt. Damit kann Intune außerdem Registrierungsprofile zu Apple hochladen und diesen Profilen Geräte zuweisen.

Verwenden Sie Apple Business Manager (ABM) oder Apple School Manager (ASM), um ein Token zu erstellen und Geräte Intune zur Verwaltung zuzuweisen.

Hinweis

Sie können entweder das ABM-Portal oder das ASM-Portal verwenden, um ADE zu aktivieren. Der Rest dieses Artikels bezieht sich auf das ABM-Portal, die Schritte sind jedoch für beide Portale identisch.

Schritt 1: Herunterladen des öffentlichen Schlüsselzertifikats in Intune

  1. Wählen Sie Microsoft Intune Admin Centergeräte>iOS/iPadOS>iOS/iPadOS-Registrierung aus:

    Screenshot: Microsoft Intune Admin Center

  2. Wählen Sie Registrierungsprogrammtoken>Hinzufügen.

  3. Auf der Registerkarte Grundlagen:

    1. Wählen Sie Ich stimme zu aus, um Microsoft die Berechtigung zu erteilen, Benutzer- und Geräteinformationen an Apple zu senden:

      Screenshot, der den Bildschirm „Token für Registrierungsprogramm hinzufügen“ anzeigt

    2. Klicken Sie auf Öffentliches, für die Tokenerstellung erforderliches Intune-Schlüsselzertifikat herunterlade. Mit diesem Schritt wird die Verschlüsselungsschlüsseldatei (.pem) heruntergeladen und lokal gespeichert. Mithilfe der PEM-Datei wird ein Vertrauensstellungszertifikat vom Apple Business Manager-Portal angefordert.

      Sie laden diese PEM-Datei im Apple Business Manager in Schritt 2 hoch: Wechseln Sie zum Apple Business Manager-Portal (in diesem Artikel).

    3. Lassen Sie diese Registerkarte und Seite des Webbrowsers geöffnet. Wenn Sie die Registerkarte schließen, geschieht Folgendes:

      • Das Zertifikat, das Sie heruntergeladen haben, wird ungültig.
      • Sie müssen die Schritte wiederholen.
      • Auf der Registerkarte Überprüfen und erstellen ist die Schaltfläche Erstellen nicht verfügbar, und Sie können diese Verfahren nicht abschließen.

Schritt 2: Navigieren zum Apple Business Manager-Portal

Erstellen und erneuern Sie Ihr ADE-Token (MDM-Server) im Apple Business Manager-Portal. Dieses Token wird zu Intune hinzugefügt und ist für die Kommunikation zwischen Intune und Apple zuständig.

Hinweis

Die folgenden Schritte geben an, wie Sie in Apple Business Manager vorgehen müssen. Informationen zu den einzelnen Schritten finden Sie in der Apple-Dokumentation. Der Leitfaden für Apple Business Manager (auf der Apple-Website) ist möglicherweise hilfreich.

Herunterladen des Apple-Tokens

  1. Melden Sie sich mit Ihrer Unternehmens-Apple-ID in Apple Business Manager an.

  2. Führen Sie in diesem Portal die folgenden Schritte aus.

    • In den Einstellungen werden alle Tokens angezeigt. Fügen Sie einen MDM-Server hinzu und laden Sie das öffentliche Schlüsselzertifikat (.pem-Datei) hoch, das Sie in Schritt 1: Herunterladen des öffentlichen Intune-Schlüsselzertifikats (in diesem Artikel) aus Intune heruntergeladen haben.

      Der Servername dient der Identifikation des MDM-Servers. Es handelt sich nicht um den Namen oder die URL des Microsoft Intune-Diensts.

    • Nachdem Sie den MDM-Server gespeichert haben, wählen Sie ihn aus, und laden Sie dann das Token (.p7m-Datei) herunter. Sie laden dieses .p7m-Token in Intune in Schritt 4 hoch: Hochladen und Abschließen Ihres Tokens (in diesem Artikel).

Zuweisen von Geräten zum Apple-Token (MDM-Server)

  1. Klicken Sie auf Apple Business Manager>Devices (Geräte), und wählen Sie die Geräte aus, die diesem Token zugewiesen werden sollen. Sie können nach verschiedenen Geräteeigenschaften sortieren, z. B. die Seriennummer. Sie können auch mehrere Geräte gleichzeitig auswählen.
  2. Bearbeiten Sie die Geräteverwaltung, und wählen Sie den soeben hinzugefügten MDM-Server aus. In diesem Schritt werden dem Token Geräte zugewiesen.

Schritt 3: Speichern der Apple-ID

  1. Wechseln Sie in Ihrem Webbrowser zurück zur Intune-Seite Token für Registrierungsprogramm hinzufügen. Sie sollten diese Seite geöffnet gehalten haben, wie in Schritt 1: Herunterladen des öffentlichen Intune-Schlüsselzertifikats (in diesem Artikel).

  2. Geben Sie unter Apple ID Ihre ID ein. In diesem Schritt wird die ID gespeichert. Die ID kann in Zukunft verwendet werden.

    Screenshot mit dem App-ID-Feld auf der Registerkarte Basics (Grundlagen)

Schritt 4: Hochladen Ihres Tokens und Beenden

  1. Navigieren Sie in Apple-Token zur .p7m-Zertifikatsdatei, und wählen Sie dann Open (Öffnen) aus.

    Sie haben dieses .p7m-Token in Schritt 2 heruntergeladen: Wechseln Sie zum Apple Business Manager-Portal.

  2. Wählen Sie Weiter aus.

  3. (Optional.) Wenn Sie Bereichstags auf dieses ADE-Token anwenden möchten, klicken Sie auf Bereichstags auswählen, und wählen Sie die vorhandenen Bereichstags aus. Auf ein Token angewendete Bereichsmarkierungen werden von Profilen und ADE-registrierten Geräten geerbt, die dem betreffenden Token hinzugefügt werden. Die Geräte, auf die verwiesen wird, sind die Geräte, die von ABM/ASM synchronisiert wurden und über automatische Geräteregistrierung registriert und im jeweiligen Token angezeigt werden.

    Weitere Informationen zu Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung und von Bereichstags für verteilte IT.

    Wählen Sie Weiter aus.

  4. Klicken Sie auf der Registerkarte Bewerten + erstellen auf Erstellen.

Mit dem Pushzertifikat kann Intune iOS-/iPadOS-Geräte registrieren und verwalten, indem Richtlinien auf registrierte mobile Geräte gepusht wird. Intune führt eine automatische Synchronisierung mit Apple durch, um auf Ihr Registrierungsprogrammkonto zuzugreifen.

Apple-Registrierungsprofil erstellen

Nachdem Sie Ihr Token installiert haben, können Sie ein Registrierungsprofil für die automatisierte Geräteregistrierung erstellen. Ein Geräteregistrierungsprofil definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden. Es gibt ein Limit von 1.000 Registrierungsprofilen pro Registrierungstoken.

Hinweis

Die Registrierung von Geräten wird blockiert, wenn nicht genügend Unternehmensportal Lizenzen für ein VPP-Token vorhanden sind oder wenn das Token abläuft. Intune benachrichtigt Sie, wenn ein Token bald abläuft oder die Lizenzen knapp werden.

  1. Wählen Sie in Microsoft Intune Admin CenterGeräte>iOS/iPadOS>iOS/iPadOS-Registrierungsprogrammtoken>aus.

  2. Wählen Sie das Token aus und dann Profile.

  3. Wählen Sie Profil erstellen>iOS/iPadOS aus.

  4. Geben Sie für Allgemeine Informationen dem Profil einen Namen und eine Beschreibung für administrative Zwecke. Benutzer können diese Informationen nicht sehen.

  5. Wählen Sie Weiter aus.

    Wichtig

    Wenn Sie Änderungen an vorhandenen Registrierungsprofileinstellungen vornehmen, werden die neuen Änderungen erst dann auf zugewiesenen Geräten wirksam, wenn Geräte wieder auf die Werkseinstellungen zurückgesetzt und reaktiviert werden. Die Reaktivierung erfolgt, wenn die Nutzdaten für die Remoteverwaltung auf ADE-Geräten empfangen wird. Das Umbenennen der Vorlage für Gerätenamen ist die einzige Änderung, die Sie vornehmen können, für die keine Zurücksetzung auf die Werkseinstellungen erforderlich ist.

  6. Wählen Sie in der Liste Benutzeraffinität eine Option aus, die bestimmt, ob sich Geräte mit diesem Profil mit oder ohne einen zugewiesenen Benutzer registrieren müssen.

    • Mit Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die Benutzern gehören, die Unternehmensportal für Dienste wie das Installieren von Apps verwenden möchten.

    • Ohne Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die nicht einem einzelnen Benutzer zugeordnet sind. Verwenden Sie diese Option für Geräte, die nicht auf lokale Benutzerdaten zugreifen. Diese Option wird in der Regel für Kioskgeräte, Verkaufsstellengeräte oder gemeinsam genutzte Geräte verwendet.

      In manchen Situationen sollten Sie einen primären Benutzer für Geräte zuordnen, die ohne Benutzeraffinität registriert wurden. Zum Durchführen dieser Aufgabe können Sie den IntuneUDAUserlessDevice-Schlüssel in einer App-Konfigurationsrichtlinie für verwaltete Geräte an die Unternehmensportal-App senden. Der erste Benutzer, der sich bei der Unternehmensportal-App anmeldet wird als primärer Benutzer festgelegt. Wenn sich der erste Benutzer abmeldet und ein anderer Benutzer anmeldet, bleibt der erste Benutzer der primäre Benutzer des Geräts. Weitere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-ADE-Geräten.

    • Mit dem freigegebenen Azure AD-Modus registrieren: Wählen Sie diese Option aus, um Geräte zu registrieren, die sich im freigegebenen Modus befinden.

  7. Wenn Sie im Feld Benutzeraffinität die Option Mit Benutzeraffinität registrieren ausgewählt haben, haben Sie die Möglichkeit, die Authentifizierungsmethode auszuwählen, die mitarbeiter verwenden müssen. Weitere Informationen zu den einzelnen Authentifizierungsmethoden finden Sie unter Authentifizierungsmethoden für die automatische Geräteregistrierung.

    Screenshot: Optionen der Authentifizierungsmethode

    Folgende Optionen sind verfügbar:

    • Unternehmensportal
    • Setup-Assistent (Legacy)
    • Setup-Assistent mit moderner Authentifizierung

  8. Wenn Sie Setup-Assistent (Legacy) als Authentifizierungsmethode ausgewählt haben, aber auch den bedingen Zugriff verwenden oder Unternehmens-Apps auf den Geräten bereitstellen möchten, müssen Sie das Unternehmensportal auf den Geräten installieren und sich anmelden, um die Azure AD-Registrierung abzuschließen. Wählen Sie hierzu Ja für Unternehmensportal installieren aus. Wenn Sie möchten, dass Benutzer das Unternehmensportal erhalten, ohne sich beim App Store authentifizieren zu müssen, wählen Sie Unternehmensportal mit VPP installieren aus, und wählen Sie ein VPP-Token aus. Vergewissern Sie sich, dass das Token nicht abläuft, und dass Sie über genügend Gerätelizenzen für die Unternehmensportal-App verfügen, um eine ordnungsgemäße Bereitstellung zu ermöglichen.

  9. Wenn Sie ein Token für Unternehmensportal mit VPP installieren ausgewählt haben, können Sie das Gerät unmittelbar nach Beendigung des Setup-Assistenten in den Einzelanwendungsmodus (insbesondere die Unternehmensportal-App) sperren. Wählen Sie für Run Company Portal in Single App Mode until authentication (Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen) Ja aus, um diese Option festzulegen. Der Benutzer muss sich erst authentifizieren, indem er sich über das Unternehmensportal anmeldet, um das Gerät zu verwenden.

    Hinweis

    Mehrstufige Authentifizierung wird auf einem einzelnen Gerät, das im Einzelanwendungsmodus gesperrt ist, nicht unterstützt. Diese Einschränkung gibt es, weil das Gerät nicht zu einer anderen App wechseln kann, um den zweiten Authentifizierungsfaktor abzuschließen. Daher muss sich der zweite Faktor, wenn Sie mehrstufige Authentifizierung auf einem Einzelanwendungsmodus-Gerät verwenden möchten, auf einem anderen Gerät befinden.

    Dieses Feature wird nur für iOS/iPadOS 11.3.1 und höher unterstützt.

    Screenshot mit der Option „Run Company Portal in Single App Mode“ (Unternehmensportal im Einzelanwendungsmodus ausführen)

  10. Wenn Sie möchten, dass Geräte, die dieses Profil verwenden, überwacht werden, wählen Sie Ja in der Liste für Überwacht aus:

    Screenshot mit der Option „Überwacht“

    Bei überwachten Geräten stehen mehr Verwaltungsfunktionen zur Verfügung, und die Aktivierungssperre ist standardmäßig deaktiviert. Microsoft empfiehlt, die automatische Geräteregistrierung als Mechanismus zur Aktivierung des überwachten Modus zu verwenden. Dies gilt insbesondere, wenn Sie eine große Anzahl von iOS-/iPadOS-Geräten bereitstellen. Apple Shared iPad for Business-Geräte müssen überwacht werden.

    Die Benutzer werden auf zweierlei Weise benachrichtigt, dass ihre Geräte überwacht werden:

    • Auf dem Sperrbildschirm wird angezeigt: Dieses iPhone wird von Firmenname verwaltet.
    • Auf dem Bildschirm Einstellungen>Allgemein>Info wird Folgendes angezeigt: Dieses iPhone wird überwacht. Unternehmensname können Ihren Internetdatenverkehr überwachen und dieses Gerät suchen.

    Hinweis

    Wenn ein Gerät ohne Überwachung registriert ist, müssen Sie Apple Configurator verwenden, wenn Sie es auf „Überwacht“ festlegen möchten. Um das Gerät auf diese Weise zurückzusetzen, müssen Sie es mit einem USB-Kabel mit einem Mac verbinden. Weitere Informationen finden Sie unter Apple Configurator – Hilfe.

  11. Wählen Sie in der Liste Gesperrte Registrierung die Option Ja oder Nein aus. Die gesperrte Registrierung deaktiviert iOS-/iPadOS-Einstellungen, mit denen das Verwaltungsprofil entfernt werden kann. Wenn Sie die gesperrte Registrierung aktivieren, wird die Schaltfläche in der Einstellungs-App, mit der Benutzer ein Verwaltungsprofil entfernen können, ausgeblendet, und Benutzer können die Registrierung ihres Geräts nicht aufheben. Wenn Sie Geräte im freigegebenen Azure AD-Modus einrichten, wählen Sie Ja aus.

    Die gesperrte Registrierung funktioniert zunächst etwas anders auf Geräten, die nicht ursprünglich über Apple Business Manager erworben wurden, aber später als Teil der automatisierten Geräteregistrierung hinzugefügt wurden: Benutzern auf diesen Geräten wird in den ersten 30 Tagen nach der Aktivierung ihres Geräts die Schaltfläche "Verwaltung entfernen" in der App "Einstellungen" angezeigt. Nach ablauf dieses vorläufigen Zeitraums wird die Option ausgeblendet. Weitere Informationen finden Sie unter Manuelles Vorbereiten von Geräten (öffnet die Apple Configurator-Hilfedokumentation).

    Wichtig

    Diese Einstellung unterscheidet sich von den Optionen zum Entfernen und Zurücksetzen in der Unternehmensportal-App. Unabhängig davon, wie Sie die gesperrte Registrierung konfigurieren, bleiben die Optionen Gerät entfernen oder Auf Werkseinstellungen zurücksetzen in der Unternehmensportal-App auf Geräten, die über die automatisierte Geräteregistrierung registriert wurden, nicht verfügbar. Benutzer können das Gerät auch nicht auf der Unternehmensportal Website entfernen. Weitere Informationen zu den Self-Service-Aktionen, die auf registrierten Geräten verfügbar sind, finden Sie unter Self-Service-Aktionen.

  12. Wenn Sie sich in den vorherigen Schritten für die Optionen Ohne Benutzeraffinität registrieren und Überwacht entschieden haben, müssen Sie sich entscheiden, ob die Geräte als Apple Shared iPad for Business-Geräte konfiguriert werden sollen oder nicht. Wählen Sie Ja für Freigegebenes iPad aus, um mehreren Benutzern die Anmeldung bei einem einzelnen Gerät zu ermöglichen. Benutzer authentifizieren sich mit ihren verwalteten Apple-IDs und ihren föderierten Authentifizierungskonten oder über eine temporäre Sitzung (z. B. mit einem Gastkonto). Für diese Option ist iOS/iPadOS 13.4 oder höher erforderlich. Bei einem freigegebenen iPad werden alle Setup-Assistentenbereiche nach der Aktivierung automatisch übersprungen.

    Hinweis

    • Ein Zurücksetzen des Geräts ist erforderlich, wenn ein iOS-/iPadOS-Registrierungsprofil mit aktivierter gemeinsamer iPad-Nutzung an ein nicht unterstütztes Gerät gesendet wird. Nicht unterstützte Geräte umfassen alle iPhone-Modelle und iPads, auf denen iPadOS/iOS 13.3 und früher ausgeführt wird. Zu den unterstützten Geräten gehören iPads mit iPadOS 13.3 und höher.
    • Zum Einrichten von Apple Shared iPad for Business konfigurieren Sie die folgenden Einstellungen:
      • Wählen Sie in der Liste Benutzeraffinität die Option Ohne Benutzeraffinität registrieren aus.
      • Wählen Sie in der Liste Überwacht die Option Ja aus.
      • Wählen Sie in der Liste Shared iPad die Option Ja aus.

    Wenn Sie „Apple Shared iPad for Business-Geräte einrichten, konfigurieren Sie auch Folgendes:

    • Maximal zwischengespeicherte Benutzer:Geben Sie die Anzahl der Benutzer ein, von denen Sie erwarten, dass sie das freigegebene iPad verwenden. Sie können bis zu 24 Benutzer auf einem Gerät mit 32 GB oder 64 GB zwischenspeichern. Wenn Sie eine niedrige Anzahl auswählen, kann es eine Weile dauern, bis die Daten Ihrer Benutzer auf ihren Geräten angezeigt werden, nachdem sie sich angemeldet haben. Wenn Sie eine hohe Anzahl auswählen, könnte den Benutzern der Speicherplatz ausgehen.

    • Maximale Anzahl an Sekunden nach der Bildschirmsperre, bevor das Kennwort erforderlich ist:Geben Sie die Anzahl der Sekunden zwischen 0 und 14.400 ein. Wenn die Bildschirmsperre diese Zeit überschreitet, ist ein Gerätekennwort erforderlich, um das Gerät zu entsperren. Verfügbar für Geräte im Modus "Gemeinsam genutztes iPad", auf denen iPadOS 13.0 und höher ausgeführt wird.

    • Maximale Anzahl an Inaktivitätssekunden, bis sich die Benutzersitzung abmeldet:Der zulässige Mindestwert für diese Einstellung ist 30. Wenn nach dem definierten Zeitraum keine Aktivität mehr erfolgt, wird die Benutzersitzung beendet und der Benutzer abgemeldet. Wenn Sie den Eintrag leer lassen oder auf 0 (0) festlegen, wird die Sitzung aufgrund von Inaktivität nicht beendet. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

    • Nur temporäre Sitzung für freigegebenes iPad erforderlich: Konfiguriert das Gerät so, dass Benutzern nur die Gastversion der Anmeldeumgebung angezeigt wird und sie sich als Gäste anmelden müssen. Sie können sich nicht mit einer verwalteten Apple-ID anmelden. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

      Wenn diese Einstellung auf Ja festgelegt ist, werden die folgenden freigegebenen iPad-Einstellungen abgebrochen, da sie in temporären Sitzungen nicht anwendbar sind:

      • Maximale Anzahl zwischengespeicherter Benutzer
      • Maximaler Zeitraum der Bildschirmsperre (in Sekunden) bis zur Anforderung eines Kennworts
      • Maximale Anzahl von Sekunden der Inaktivität, bis die Benutzersitzung abgemeldet wird

    • Maximale Anzahl von Sekunden der Inaktivität, bis sich die Benutzersitzung abmeldet: Der zulässige Mindestwert für diese Einstellung ist 30. Wenn nach dem definierten Zeitraum keine Aktivität mehr vorhanden ist, wird die temporäre Sitzung beendet und der Benutzer wird abgemeldet. Wenn Sie den Eintrag leer lassen oder auf 0 (0) festlegen, wird die Sitzung aufgrund von Inaktivität nicht beendet. Verfügbar für Geräte im Modus „Gemeinsam genutztes iPad“, auf denen iPadOS 14.5 und höher ausgeführt wird.

      Diese Einstellung ist verfügbar, wenn Nur eine temporäre iPad-Sitzung erfordern auf Ja festgelegt ist.

    Hinweis

    • Wenn temporäre Sitzungen aktiviert sind, werden alle Daten des Benutzers gelöscht, wenn er sich bei der Sitzung abmeldet. Dies bedeutet, dass alle benutzerorientierten Richtlinien und Apps beim Anmelden an den Benutzer weitergegeben werden und gelöscht werden, wenn sich der Benutzer abmeldet.
    • Um eine Konfiguration für freigegebene iPads so zu ändern oder zu modifizieren, dass keine temporären Sitzungen vorhanden sind, muss das Gerät vollständig zurückgesetzt werden, und ein neues Registrierungsprofil mit den aktualisierten Konfigurationen muss an das iPad gesendet werden.

  13. Wählen Sie in der Liste Mit Computern synchronisieren eine Option für die Geräte aus, die dieses Profil verwenden. Wenn Sie Apple Configurator nach Zertifikat zulassen auswählen, müssen Sie unter Apple Configurator-Zertifikate ein Zertifikat auswählen.

    Hinweis

    Wenn Mit Computern synchronisieren auf Alle ablehnen festgelegt ist, wird der Port auf iOS- und iPadOS-Geräten beschränkt. Der Port wird ausschließlich auf den Ladevorgang beschränkt. Die Verwendung von iTunes oder Apple Configurator 2 wird blockiert.

    Wenn Sync with computers (Mit Computern synchronisieren) auf Apple Configurator nach Zertifikat zulassen festgelegt ist, stellen Sie sicher, dass Sie eine lokale Kopie des Zertifikats speichern, die Sie später verwenden können. Sie können keine Änderungen an der hochgeladenen Kopie vornehmen. Es ist daher wichtig, eine Kopie dieses Zertifikats beizubehalten. Wenn Sie eine Verbindung mit dem iOS/iPadOS-Gerät über ein macOS-Gerät oder PC herstellen möchten, muss dasselbe Zertifikat auf dem Gerät installiert sein, von dem die Verbindung mit dem iOS/iPadOS-Gerät ausgeht.

  14. Wenn Sie im vorherigen Schritt Apple Configurator nach Zertifikat zulassen ausgewählt haben, müssen Sie ein Apple Configurator-Zertifikat zum Importieren auswählen.

  15. Für die endgültige Konfiguration von Await sind die folgenden Optionen verfügbar:

    • Ja: Aktivieren Sie am Ende des Setup-Assistenten eine gesperrte Oberfläche, um sicherzustellen, dass Ihre wichtigsten Gerätekonfigurationsrichtlinien auf dem Gerät installiert sind. Kurz vor dem Laden des Startbildschirms hält der Setup-Assistent an und lässt Intune beim Gerät einchecken. Die Endbenutzererfahrung wird gesperrt, während Benutzer auf endgültige Konfigurationen warten. Die Zeit, die benötigt wird, um das Gerät auf dem Startbildschirm freizugeben, variiert und hängt von der Gesamtzahl der Richtlinien und Apps ab, die auf das Gerät angewendet werden. Die Erfahrung ist nach fünf Minuten nicht mehr verfügbar.

      Diese Einstellung wird einmal während der automatischen Geräteregistrierung angewendet. Dem Gerätebenutzer wird dies nicht erneut angezeigt, es sei denn, er registriert sein Gerät erneut. Ja ist die Standardeinstellung für neue Registrierungsprofile. Nein ist die Standardeinstellung für vorhandene Registrierungsprofile.

    • Nein: Das Gerät wird unabhängig von der Richtlinieninstallation status auf den Startbildschirm freigegeben, wenn der Setup-Assistent beendet wird. Gerätebenutzer können möglicherweise auf den Startbildschirm zugreifen oder Geräteeinstellungen ändern, bevor alle Richtlinien installiert werden.

      Die gesperrte Oberfläche funktioniert auf Geräten, die auf neue und vorhandene Registrierungsprofile ausgerichtet sind. Zu den unterstützten Geräten gehören:

      • iOS/iPadOS 13+-Geräte, die sich mit dem Setup-Assistenten mit moderner Authentifizierung registrieren
      • iOS/iPadOS 13+ Geräte, die sich ohne Benutzeraffinität registrieren
      • iOS/iPadOS 13+ Geräte, die sich im freigegebenen Azure AD-Modus registrieren

    Wichtig

    Diese Funktion befindet sich in einem öffentlichen Vorschauzustand. Weitere Informationen finden Sie unter Public Preview in Microsoft Intune.

  16. Erstellen Sie optional eine Gerätenamenvorlage, um Geräte, denen dieses Profil zugewiesen ist, schnell im Admin Center zu identifizieren. Intune verwendet Ihre Vorlage zum Erstellen und Formatieren von Gerätenamen. Die Namen werden Geräten bei der Registrierung und bei jedem aufeinanderfolgenden Check-in zugewiesen. So erstellen Sie eine Vorlage:

  17. Wählen Sie unter Vorlage für Gerätenamen anwenden die Option Ja aus.

  18. Geben Sie im Feld Gerätenamenvorlage die Vorlage ein, die Sie zum Erstellen von Gerätenamen verwenden möchten. Die Vorlage kann den Gerätetyp und die Seriennummer enthalten. Er darf nicht mehr als 63 Zeichen enthalten, einschließlich der Variablen. Beispiel: {{DEVICETYPE}}-{{SERIAL}}

  19. Sie können einen mobilen Datenplan aktivieren. Diese Einstellung gilt für Geräte mit iOS/iPadOS 13.0 und höher. Wenn Sie diese Option konfigurieren, wird ein Befehl zum Aktivieren von mobilen Datenplänen für Ihre eSim-fähigen Mobilfunkgeräte gesendet. Ihr Netzbetreiber muss Aktivierungen für Ihre Geräte bereitstellen, bevor Sie mithilfe dieses Befehls Datenpläne aktivieren können. Klicken Sie zum Aktivieren des mobilen Datenplans auf Ja, und geben Sie dann die URL des Aktivierungsservers Ihres Netzbetreibers ein.

  20. Wählen Sie Weiter aus.

  21. Konfigurieren Sie auf der Registerkarte Setup-Assistent die folgenden Profileinstellungen:

    Abteilungseinstellungen Beschreibung
    Department Wird angezeigt, wenn der Benutzer während der Aktivierung auf Info zur Konfiguration tippt.
    Abteilungstelefonnummer Diese Einstellung wird angezeigt, wenn Benutzer während der Aktivierung auf Need help (Hilfe) tippen.

    Sie können die Bildschirme des Setup-Assistenten auf dem Gerät während der Benutzereinrichtung ausblenden. Eine Beschreibung aller Bildschirme finden Sie in der Bildschirmreferenz des Setup-Assistenten (in diesem Artikel).

    • Wenn Sie Ausblenden auswählen, wird der Bildschirm nicht während des Setups angezeigt. Nach dem Setup des Geräts kann der Benutzer weiterhin zum Menü Einstellungen navigieren, um das Feature einzurichten.
    • Bei Auswahl von Anzeigen wird der Bildschirm während des Setups angezeigt, aber nur, wenn es Schritte gibt, die nach der Wiederherstellung oder dem Softwareupdate erfolgen müssen. Gelegentlich können Benutzer den Bildschirm überspringen, ohne weitere Maßnahmen ergreifen zu müssen. Sie können aber später zum Gerätemenü Einstellungen navigieren, um das Feature einzurichten.
    • Bei freigegebenem iPad werden alle Setup-Assistentenbereiche nach der Aktivierung unabhängig von der Konfiguration automatisch übersprungen.

  22. Wählen Sie Weiter aus.

  23. Wählen Sie Erstellen aus, um das Profil zu speichern.

Dynamische Gruppen in Azure Active Directory

Sie können das Registrierungsfeld Name zum Erstellen einer dynamischen Gruppe in Azure Active Directory (Azure AD) verwenden. Weitere Informationen finden Sie unter Dynamische Gruppen in Azure Active Directory.

Sie können den Profilnamen zum Definieren des Parameters enrollmentProfileName verwenden, um Geräte mit diesem Registrierungsprofil zuzuweisen.

Stellen Sie vor der Geräteeinrichtung sicher, dass der registrierende Benutzer Mitglied einer Azure AD-Benutzergruppe ist, um eine schnelle Übermittlung an Geräte mit Benutzeraffinität sicherzustellen.

Das Zuweisen dynamischer Gruppen zu Registrierungsprofilen kann zu einer gewissen Verzögerung bei der Bereitstellung von Anwendungen und Richtlinien auf Geräten nach der Registrierung führen.

Bildschirmreferenz zum Setup-Assistenten

In der folgenden Tabelle werden die Bildschirme des Setup-Assistenten beschrieben, die während der automatisierten Geräteregistrierung für iOS/iPadOS angezeigt werden. Sie können diese Bildschirme auf unterstützten Geräten während der Registrierung ein- oder ausblenden.

Bildschirm "Setup-Assistent" Was geschieht, wenn es angezeigt wird
Kenncode Den Benutzer zur Eingabe einer Kennung auffordern. Verlangen Sie immer eine Kennung (Passcode) für ungeschützte Geräte, es sei denn, der Zugriff ist auf andere Weise geschützt. (Beispielsweise eine Kioskmoduskonfiguration, die das Gerät auf eine App beschränkt.) Für iOS/iPadOS 7.0 und höher.
Standortdienste Den Benutzer zur Eingabe seines Standorts auffordern. Für macOS 10.11 und höher sowie iOS/iPadOS 7.0 und höher
Wiederherstellen Anzeigen des Bildschirms "Apps-Daten & ". Über diesen Bildschirm hat der Benutzer die Möglichkeit, Daten aus der iCloud-Sicherung wiederherzustellen oder aus dieser zu übertragen, wenn er das Gerät einrichtet. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Apple-ID Dem Benutzer die Möglichkeiten anbieten, sich mit seiner Apple-ID anzumelden und iCloud zu verwenden. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Geschäftsbedingungen Den Benutzer zum Annehmen der Geschäsftsbedinungen von Apple auffordern. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Touch ID und Face ID Geben Sie dem Benutzer die Möglichkeit, einen Fingerabdruck oder eine Gesichtserkennung auf seinem Gerät einzurichten. Dies gilt für Mac OS 10.12.4 und höher sowie für iOS/iPadOS 8.1 und höher. Unter iOS/iPadOS 14.5 und höher funktionieren die Bildschirme des Assistenten zur Passcode- und Touch ID-Einrichtung während der Geräteeinrichtung nicht. Wenn Sie Version 14.5 und höher verwenden, werden die Bildschirme des Assistenten zur Passcode- oder Touch ID-Einrichtung nicht konfiguriert. Wenn Sie einen Passcode auf Geräten benötigen, verwenden Sie eine Gerätekonfigurationsrichtlinie oder eine Konformitätsrichtlinie. Nachdem sich der Benutzer registriert und die Richtlinie erhalten hat, wird er zur Eingabe eines Passcodes aufgefordert.
Apple Pay Dem Benutzer die Möglichkeit geben, Apple Pay auf dem Gerät einzurichten. Dies gilt für Mac OS 10.12.4 und höher sowie für iOS/iPadOS 7.0 und höher.
Zoom Es lässt zu, dass der Benutzer die Anzeige vergrößern bzw. verkleinern kann, während er das Gerät einrichtet. Dies gilt für iOS/iPadOS 8.3 und höher.
Siri Dem Benutzer die Möglichkeit geben, Siri auf dem Gerät einzurichten. Dies gilt für Mac OS 10.12 und höher sowie für iOS/iPadOS 7.0 und höher.
Diagnosedaten Der Bildschirm Diagnose wird angezeigt. Dieser Bildschirm bietet dem Benutzer die Möglichkeit, Diagnosedaten an Apple zu senden. Dies gilt für Mac OS 10.9 und höher sowie für iOS/iPadOS 7.0 und höher.
Display Tone Dem Benutzer die Möglichkeit geben, die Funktion „Display Tone“ zu aktivieren. Dies gilt für Mac OS 10.13.6 und höher sowie für iOS/iPadOS 9.3.2 und höher.
Datenschutz Der Bildschirm Datenschutz wird angezeigt. Dies gilt für Mac OS 10.13.4 und höher sowie für iOS/iPadOS 11.3 und höher.
Android-Migration Dem Benutzer die Möglichkeit geben, Daten von einem Android-Gerät zu migrieren. Dies gilt für iOS/iPadOS 9.0 und höher.
iMessage & FaceTime Dem Benutzer die Möglichkeit geben, iMessage und FaceTime auf dem Gerät einzurichten. Dies gilt für iOS/iPadOS 9.0 und höher.
Onboarding Den Benutzern werden Onboarding-Bildschirme zu Informationszwecken angezeigt, z. B. „Deckblatt“, „Multitasking“ oder „Steuerungscenter“. Dies gilt für iOS/iPadOS 11.0 und höher.
Screen Time Den Bildschirm "Screen Time" anzeigen. Dies gilt für Mac OS 10.15 und höher sowie für iOS/iPadOS 12.0 und höher.
SIM-Setup Dem Benutzer die Möglichkeit geben, ein Mobilfunkangebot hinzuzufügen. Dies gilt für iOS/iPadOS 12.0 und höher.
Softwareupdate Den obligatorischen Bildschirm für Softwareupdates anzeigen. Dies gilt für iOS/iPadOS 12.0 und höher.
Apple Watch-Migration Dem Benutzer die Möglichkeit geben, Daten von einer Apple Watch zu migrieren. Dies gilt für iOS/iPadOS 11.0 und höher.
Erscheinungsbild Der Bildschirm Darstellung wird angezeigt. Dies gilt für Mac OS 10.14 und höher sowie für iOS/iPadOS 13.0 und höher.
Migration von Gerät zu Gerät Benutzern wird ermöglicht, Daten von einem alten Gerät auf dieses Gerät zu migrieren. Dieses Feature ist für ADE-Geräte mit iOS 13 und höher nicht verfügbar, sodass dieser Bildschirm auf diesen Geräten nicht angezeigt wird.
Wiederherstellung abgeschlossen Zeigt Benutzern den Bildschirm „Wiederherstellung abgeschlossen“ an, nachdem eine Sicherung und Wiederherstellung während des Setup-Assistenten durchgeführt wurde.
Softwareupdate abgeschlossen Zeigt dem Benutzer alle Softwareupdates an, die während des Setup-Assistenten ausgeführt werden.
Erste Schritte Zeigt Benutzern die Willkommensseite „Erste Schritte“ an.
Adressbedingungen Geben Sie dem Benutzer die Möglichkeit, auszuwählen, wie er im gesamten System angesprochen werden soll: weiblich, männlich oder neutral. Dieses Apple-Feature ist für ausgewählte Sprachen verfügbar. Weitere Informationen finden Sie unter Wichtige Features und Verbesserungen (öffnet die Apple-Website). Für iOS/iPadOS 16.0 und höher.

Synchronisieren verwalteter Geräte

Nachdem Intune nun die Berechtigung zum Verwalten Ihrer Geräte besitzt, können Sie Intune mit Apple synchronisieren, um Ihre verwalteten Geräte in Intune im Azure-Portal anzuzeigen.

  1. Wählen Sie Microsoft Intune Admin CenterGeräte>iOS/iPadOS>iOS/iPadOS-Registrierungsprogrammtoken> aus.

  2. Wählen Sie in der Liste ein Token aus, und wählen Sie dann Geräte>Synchronisieren aus:

    Screenshot mit der Darstellung, wie iOS- und iPadOS-Geräte mit einem Registrierungsprogrammtoken registriert werden

    Um die Apple-Bedingungen für akzeptablen Datenverkehr im Registrierungsprogramm zu befolgen, erzwingt Intune die folgenden Einschränkungen:

    • Eine vollständige Synchronisierung kann nicht öfter als einmal alle sieben Tage erfolgen. Während einer vollständigen Synchronisierung ruft Intune die vollständig aktualisierte Liste der Seriennummern auf, die dem mit Intune verbundenen Apple MDM-Server zugewiesen sind.

      Wichtig

      Wenn ein Gerät aus Intune gelöscht wird, aber dem ADE-Registrierungstoken im ASM/ABM-Portal zugewiesen bleibt, wird es bei der nächsten vollständigen Synchronisierung wieder in Intune angezeigt. Wenn das Gerät nicht erneut in Intune angezeigt werden soll, heben Sie die Zuweisung vom Apple MDM-Server im ABM/ASM-Portal auf.

    • Wenn ein Gerät von ABM/ASM freigegeben wird, kann es bis zu 45 Tage dauern, bis es automatisch in Intune von den Geräteseiten gelöscht wird. Sie können freigegebene Geräte bei Bedarf nacheinander manuell aus Intune löschen. Freigegebene Geräte werden in Intune als aus ABM/ASM entfernt gemeldet, bis sie innerhalb von 30 bis 45 Tagen automatisch gelöscht werden.
    • Eine Deltasynchronisierung wird alle 12 Stunden automatisch ausgeführt. Sie können eine Deltasynchronisierung auch manuell auslösen, indem Sie die Schaltfläche Synchronisierung auswählen (nicht öfter als einmal alle 15 Minuten). Alle Synchronisierungsanforderungen müssen innerhalb von 15 Minuten abgeschlossen werden. Die Schaltfläche Synchronisierung bleibt bis zum Abschluss der Synchronisierung deaktiviert. Durch diese Synchronisierung werden vorhandene Gerätestatus aktualisiert und neue Geräte importiert, die dem Apple MDM-Server zugewiesen sind. Wenn eine Deltasynchronisierung aus irgendeinem Grund fehlschlägt, ist die nächste Synchronisierung eine vollständige Synchronisierung, um alle Probleme (hoffentlich) zu beheben.

Zuweisen eines Registrierungsprofils an Geräte

Bevor Geräte registriert werden können, müssen Sie ihnen ein Registrierungsprofil zuweisen.

Hinweis

Sie können auch im Bereich Apple-Seriennummern Profilen Seriennummern zuweisen.

  1. Wählen Sie Microsoft Intune Admin CenterGeräte>iOS/iPadOS>iOS/iPadOS-Registrierungsprogrammtoken> aus.
  2. Wählen Sie ein Registrierungstoken aus.
  3. Klicken Sie auf Geräte.
  4. Wählen Sie alle Geräte aus, die Sie zuweisen möchten, und wählen Sie dann Profil zuweisen aus.
  5. Wählen Sie unter Profil zuweisen das Profil für die automatische Geräteregistrierung aus, das Sie für die Geräte erstellt haben, und wählen Sie dann Zuweisen aus.

Zuweisen eines Standardprofils

Sie können ein Standardprofil auswählen, das auf alle Geräte angewendet wird, die sich mit einem bestimmten Token registrieren.

  1. Wählen Sie Microsoft Intune Admin CenterGeräte>iOS/iPadOS>iOS/iPadOS-Registrierungsprogrammtoken> aus.
  2. Wählen Sie ein Registrierungstoken aus.
  3. Wählen Sie Standardprofil festlegen aus.
  4. Wählen Sie in der Liste ein Profil und dann Speichern aus. Das Profil wird auf alle Geräte angewendet, die sich mit dem ausgewählten Registrierungstoken registrieren.

Hinweis

Stellen Sie sicher, dass die Standardrichtlinie Alle Benutzer für Gerätetypeinschränkungen unter Registrierungseinschränkungen nicht so festgelegt ist, dass die iOS-/iPadOS-Plattform blockiert wird. Diese Einstellung führt dazu, dass bei der automatisierten Registrierung ein Fehler auftritt und Ihr Gerät unabhängig vom Benutzernachweis als ungültiges Profil angezeigt wird. Um die Registrierung nur für vom Unternehmen verwaltete Geräte zuzulassen, blockieren Sie nur persönliche Geräte, damit Unternehmensgeräte sich registrieren können. Microsoft definiert ein Unternehmensgerät als ein Gerät, das über ein Programm zur Geräteregistrierung registriert wird, oder als ein Gerät, das unter Bezeichner von Unternehmensgeräten manuell eingegeben wird.

Verteilen von Geräten

Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune aktiviert und ein Profil zugewiesen, damit Ihre ADE-Geräte registriert werden können. Nun können Sie die Geräte an Benutzer verteilen. Folgendes sollten Sie beachten:

  • Bei Geräten, die mithilfe der Benutzeraffinität registriert wurden, muss jedem Benutzer eine Intune-Lizenz zugewiesen werden.

  • Geräte, die ohne die Benutzeraffinität registriert wurden, verfügen in der Regel über keine zugeordneten Benutzer. Diese Geräte müssen über eine Intune-Gerätelizenz verfügen. Wenn Geräte, die ohne Benutzeraffinität registriert wurden, von einem Benutzer mit Intune-Lizenz verwendet werden, ist keine Gerätelizenz erforderlich.

    Zusammenfassend gilt: Wenn ein Gerät über einen Benutzer verfügt, muss dem Benutzer eine Intune-Lizenz zugewiesen sein. Wenn das Gerät keinen Benutzer mit Intune-Lizenz hat, muss das Gerät selbst über eine Intune-Gerätelizenz verfügen.

    Weitere Informationen zur Intune-Lizenzierung finden Sie unter Microsoft Intune-Lizenzen und im Intune-Planungsleitfaden.

  • Ein aktiviertes Gerät muss zurückgesetzt werden, bevor es ordnungsgemäß mit ADE in Intune registriert werden kann. Das Registrierungsprofil können Sie anwenden, nachdem es zurückgesetzt wurde, aber bevor Sie es erneut aktivieren. Weitere Informationen finden Sie unter Ein vorhandenes iPhone, iPad oder einen vorhandenen iPod touch einrichten.

  • Bei der Registrierung mit ADE und Benutzeraffinität kann während des Setups der folgende Fehler auftreten:

    The SCEP server returned an invalid response.

    Sie können diesen Fehler beheben, indem Sie versuchen, die Verwaltung innerhalb von 15 Minuten erneut herunterzuladen. Wenn das länger als 15 Minuten dauert, müssen Sie das Gerät auf die Werkseinstellungen zurücksetzen, um den Fehler zu beheben. Dieser Fehler tritt aus Sicherheitsgründen und aufgrund einer 15-minütigen Zeitbeschränkung von SCEP-Zertifikaten auf.

Weitere Informationen zum Ablauf für Endbenutzer finden Sie unter Registrieren Ihres iOS-/iPadOS-Geräts bei Intune mithilfe von ADE.

Erneutes Registrieren eines Geräts

Führen Sie diese Schritte aus, um ein Gerät erneut zu registrieren, das bereits die automatisierte Geräteregistrierung durchlaufen hat.

  1. Es gibt zwei Optionen zum Zurücksetzen des Geräts:
    • Setzen Sie das Gerät im Microsoft Intune Admin Center zurück.
    • Setzen Sie das Gerät im Admin Center außer Betrieb, und setzen Sie das Gerät dann mithilfe der Einstellungs-App, Apple Configurator 2 oder iTunes auf die Werkseinstellungen zurück.
  2. Schalten Sie das Gerät ein, und führen Sie die Schritte auf dem Bildschirm im Setup-Assistenten aus, um das Remoteverwaltungsprofil abzurufen.

Erneuern eines Tokens für die automatische Geräteregistrierung

Manchmal müssen Sie Ihre Token erneuern:

  • Erneuern Sie das ADE-Token jährlich. Im Intune Admin Center wird das Ablaufdatum angezeigt.
  • Wenn das Apple-ID-Kennwort für den Benutzer geändert wird, der das Token in Apple Business Manager eingerichtet hat, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.
  • Wenn der Benutzer, der das Token in Apple Business Manager eingerichtet hat, die Organisation verlässt, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.
  • Wenn Sie die Apple-ID ändern, die zum Erstellen des ADE-Tokens verwendet wird, wirkt sich die Änderung nicht auf aktuell registrierte Geräte aus.

Erneuern von Token

  1. Wechseln Sie zu business.apple.com, und melden Sie sich mit einem Konto an, das über die Rolle „Administrator“ oder „Geräteregistrierungs-Manager“ verfügt.

  2. Wählen Sie Einstellungen aus. Wählen Sie unter MDM-Server den MDM-Server aus, der der Tokendatei zugeordnet ist, die Sie erneuern möchten. Wählen Sie Token herunterladen aus:

    Screenshot, der zeigt, wie ein Apple-Token in Apple Business Manager erneuert und heruntergeladen wird

  3. Wählen Sie Servertoken herunterladen aus.

    Hinweis

    Wählen Sie, wie in der Eingabeaufforderung beschrieben, Server Token herunterladen nicht aus, wenn Sie das Token nicht erneuern möchten. Dadurch wird das Token, das von Intune (oder einer anderen MDM-Lösung) verwendet wird, ungültig. Wenn Sie das Token bereits heruntergeladen haben, stellen Sie sicher, dass Sie mit den nächsten Schritten fortfahren, bis das Token erneuert wird.

  4. Nachdem Sie das Token heruntergeladen haben, wechseln Sie zu Microsoft Intune Admin Center. Klicken Sie auf Geräte>iOS/iPadOS>iOS-/iPadOS-Registrierung>Token für Registrierungsprogramm. Wählen Sie das Token aus.

  5. Wählen Sie Token erneuern aus. Geben Sie die Apple-ID ein, die zum Erstellen des ursprünglichen Tokens verwendet wurde (falls nicht automatisch ausgefüllt):

    Screenshot, der die Seite zum Erneuern des Tokens anzeigt

  6. Laden Sie das neu heruntergeladene Token hoch.

  7. Wählen Sie Weiter aus, um zur Seite Bereichstags zu gelangen. Weisen Sie Bereichstags zu, wenn Sie möchten.

  8. Wählen Sie Token erneuern aus. Es wird eine Bestätigung angezeigt, dass das Token erneuert wird:

    Screenshot mit der Bestätigungsmeldung

Löschen eines Tokens für die automatische Geräteregistrierung aus Intune

Sie können Token des Registrierungsprofils aus Intune löschen, solange Folgendes gilt:

  • Dem Token sind keine Geräte zugewiesen.
  • Dem Standardprofil sind keine Geräte zugewiesen.
  • Unter diesem Token sind keine Registrierungsprofile vorhanden.

So löschen Sie ein Registrierungsprofiltoken:

  1. Wählen Sie Microsoft Intune Admin CenterGeräte>iOS/macOS>iOS/macOS-Registrierungstoken>aus. Wählen Sie das Token aus, und wählen Sie dann Geräte aus.
  2. Löschen Sie alle Geräte, die dem Token zugewiesen sind.
  3. Wechseln Sie zu Geräte>iOS/macOS>iOS/macOS enrollment (iOS/macOS-Registrierung)>Enrollment Program Tokens (Registrierungsprogrammtoken). Wählen Sie das Token aus, und wählen Sie dann Profile aus.
  4. Wenn ein Standardprofil oder ein anderes Registrierungsprofil vorhanden ist, müssen diese alle gelöscht werden.
  5. Wechseln Sie zu Geräte>iOS/macOS>iOS/macOS enrollment (iOS/macOS-Registrierung)>Enrollment Program Tokens (Registrierungsprogrammtoken). Wählen Sie das Token aus, und wählen Sie dann Löschen aus.

Nächste Schritte

Eine Übersicht über die Anforderungen von Gerätebenutzern finden Sie unter Aufgaben von ADE-Endbenutzern.