Freigeben über


Einrichten der automatisierten Geräteregistrierung (ADE) für macOS

Richten Sie die automatisierte Geräteregistrierung in Intune für neue oder zurückgesetzte Macs ein, die über ein Apple-Registrierungsprogramm wie Apple Business Manager oder Apple School Manager erworben wurden. Bei dieser Methode müssen Sie die Geräte nicht bei sich haben, um sie zu konfigurieren. Intune wird automatisch mit Apple synchronisiert, um Geräteinformationen von Ihrem Registrierungsprogrammkonto abzurufen, und stellt Ihre vorkonfigurierten Registrierungsprofile over-the-air auf Macs bereit. Vorbereitete Geräte können direkt an Mitarbeiter oder Studenten ausgeliefert werden. Setup-Assistent und Geräteregistrierung beginnen, wenn jemand den Mac einschaltet.

In diesem Artikel wird beschrieben, wie Sie ein automatisiertes Geräteregistrierungsprofil für unternehmenseigene Macs einrichten.

Hinweis

Die Schritte in diesem Artikel sind identisch, unabhängig davon, ob Sie Apple Business Manager oder Apple School Manager verwenden. Aus Gründen der Übersichtlichkeit beziehen wir uns nur in den schritten in diesem Artikel auf Apple Business Manager , es sei denn, es ist eine Klarstellung erforderlich.

Zertifikate

Dieser Registrierungstyp unterstützt das ACME-Protokoll (Automated Certificate Management Environment). Wenn neue Geräte registriert werden, erhält das Verwaltungsprofil von Intune ein ACME-Zertifikat. Das ACME-Protokoll bietet einen besseren Schutz als das SCEP-Protokoll vor nicht autorisierter Zertifikatausstellung durch robuste Validierungsmechanismen und automatisierte Prozesse, wodurch Fehler bei der Zertifikatverwaltung reduziert werden.

Geräte, die bereits registriert sind, erhalten kein ACME-Zertifikat, es sei denn, sie registrieren sich erneut bei Microsoft Intune. ACME wird auf Geräten mit macOS 13.1 und höher unterstützt.

Begrenzungen

Die automatisierte Geräteregistrierung über Apple Business Manager und Apple School Manager wird für Geräteregistrierungs-Manager-Konten nicht unterstützt.

Voraussetzungen

Zugriff auf Apple School Manager oder Apple Business Manager ist erforderlich. Außerdem benötigen Sie eine Liste der Geräteseriennummern oder eine Bestellnummer für die Geräte, die Sie über Apple erworben haben.

Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Aufgaben abgeschlossen sind:

Erstellen eines Registrierungsprogrammtokens

In diesem Abschnitt wird beschrieben, wie Sie ein Registrierungsprogrammtoken in Intune erstellen. Das Registrierungsprogrammtoken (manchmal auch als automatisiertes Geräteregistrierungstoken bezeichnet) ist eine erforderliche Komponente der automatisierten Geräteregistrierung. Es ermöglicht die Kommunikations- und Geräteverwaltungsfunktionen zwischen Intune und ihrem ausgewählten Apple-Registrierungsprogramm. Es ermöglicht Intune, Informationen aus Ihrem Apple Business Manager- oder Apple School Manager-Konto zu synchronisieren und Profile auf Geräte anzuwenden.

Schritt 1: Herunterladen des öffentlichen Schlüsselzertifikats in Intune

Das Öffentliche Schlüsselzertifikat wird benötigt, um ein Vertrauensstellungszertifikat von Apple Business Manager anzufordern.

  1. Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Registrierung.
  2. Wählen Sie die Registerkarte Apple aus.
  3. Wählen Sie unter Massenregistrierungsmethoden die Option Registrierungsprogrammtoken aus.
  4. Klicken Sie auf Hinzufügen.
  5. Wählen Sie Ich stimme zu, um Microsoft die Berechtigung zum Senden von Benutzer- und Geräteinformationen an Apple zu erteilen.
  6. Wählen Sie Download your public key (Öffentlichen Schlüssel herunterladen ) aus, und speichern Sie den Schlüssel lokal als PEM-Datei. Der Schlüssel wird verwendet, um das MDM-Servertoken im nächsten Schritt abzurufen.

Schritt 2: Hinzufügen eines MDM-Servers und Herunterladen des Servertokens

Fügen Sie apple Business Manager einen MDM-Server (Mobile Device Management) für Intune hinzu, und laden Sie dann das Servertoken dafür herunter.

  1. Wählen Sie im Admin Center den Link aus, der dem von Ihnen verwendeten Apple-Portal entspricht. Ihre Optionen:

    • Erstellen eines Tokens über Apple Business Manager
    • Erstellen eines Tokens über Apple School Manager

    Das ausgewählte Portal wird in einer neuen Browserregisterkarte geöffnet. Sie können sicher zur neuen Registerkarte wechseln, aber die Registerkarte mit Microsoft Intune für später geöffnet lassen.

  2. Melden Sie sich mit Ihrer Unternehmens-Apple-ID beim Apple-Portal an. Denken Sie daran, dass diese ID die Apple-ID ist, die Sie und Ihre Organisation verwenden müssen, um das Token in Zukunft zu erneuern und zu verwalten. Verwenden Sie daher keine persönliche ID.

  3. Wechseln Sie zu Ihren Kontoprofileinstellungen>.

  4. Wechseln Sie zu Ihren MDM-Serverzuweisungen.

  5. Wählen Sie die Option zum Hinzufügen eines MDM-Servers aus.

  6. Benennen Sie den MDM-Server. Der Name dient nur zur Identifizierung in Apple Business Manager und muss nicht der tatsächliche Name oder die URL des Microsoft Intune Servers sein.

  7. Laden Sie Die Datei mit dem öffentlichen Schlüssel hoch, und speichern Sie dann Ihre Änderungen.

  8. Laden Sie das Servertoken (P7M-Datei) herunter.

Schritt 3: Zuweisen von Geräten zum MDM-Server

Optional können Sie nach dem Erstellen des MDM-Servers in Apple Business Manager mit dem Zuweisen von Geräten beginnen. Es wird empfohlen, sie jetzt zuzuweisen, da Sie bereits in Apple Business Manager sind, aber Sie können später zurückkehren, wenn Sie nicht bereit sind. Sie können verfügbare Features wie Filter und Massenzuweisung verwenden, um die Zuweisungsauswahl zu vereinfachen. Weitere Informationen und Schritte finden Sie unter Zuweisen, Neuzuweisen oder Aufheben der Zuweisung von Geräten in Apple Business Manager (öffnet das Apple Business Manager-Benutzerhandbuch).

Schritt 4: Speichern der Apple-ID

Kehren Sie zum Admin Center zurück, und geben Sie die Apple-ID ein, die zum Herunterladen des Servertokens verwendet wird. Diese ID ist die Apple-ID, die Sie verwenden müssen, um das Token jedes Jahr zu erneuern. Stellen Sie sicher, dass zukünftige Intune Administratoren die verwendete Apple-ID kennen, falls Sie Ihre organization verlassen und die Tokenverwaltung auf diese umstellen müssen.

Screenshot, der das Feld

Schritt 5: Hochladen des Servertokens und Fertig stellen

Laden Sie die Servertokendatei in Intune hoch, um die Erstellung des Registrierungsprogrammtokens abzuschließen.

  1. Kehren Sie zum Admin Center-Feld >Apple-Token zurück. Navigieren Sie zum Servertoken (P7M-Datei) auf Ihrem Gerät.
  2. Wählen Sie Öffnen und dann Erstellen aus.

Intune stellt automatisch eine Verbindung mit Apple Business Manager her, um Geräteinformationen aus Ihrem Registrierungsprogrammkonto zu synchronisieren. Informationen zum manuellen Synchronisieren des Tokens finden Sie unter Synchronisieren von verwalteten Geräten (in diesem Artikel).

Apple-Registrierungsprofil erstellen

Erstellen Sie ein automatisiertes Geräteregistrierungsprofil im Admin Center. Das Profil definiert die Registrierungsoberfläche für die Mac-Geräte Ihrer organization und erzwingt Registrierungsrichtlinien und -einstellungen für die Registrierung von Geräten. Das Profil wird für zugewiesene Geräte im Over-the-Air-Dienst bereitgestellt.

Am Ende dieses Verfahrens können Sie dieses Profil Microsoft Entra Gerätegruppen zuweisen.

Wichtig

Um das Profil zu erstellen, müssen Sie ein Registrierungsprogrammtoken in Intune eingerichtet haben. Wenn Sie dies noch nicht getan haben, lesen Sie Erstellen eines Registrierungsprogrammtokens am Anfang dieses Artikels.

  1. Wechseln Sie im Admin Center zu Geräteregistrierung>.

  2. Wählen Sie die Registerkarte Apple aus.

  3. Wählen Sie unter Massenregistrierungsmethoden die Option Registrierungsprogrammtoken aus.

  4. Wählen Sie ein Registrierungsprogrammtoken aus.

  5. Wählen Sie Profile>Profil erstellen>macOS aus.

    Screenshot

  6. Geben Sie unter Grundlagen einen Namen und eine Beschreibung für das Profil ein, damit Sie es von anderen Registrierungsprofilen unterscheiden können. Diese Details sind für Gerätebenutzer nicht sichtbar.

    Tipp

    Sie können das Feld name verwenden, um eine dynamische Gruppe in Microsoft Entra ID zu erstellen und Geräte automatisch dem Registrierungsprofil zuzuweisen. Verwenden Sie den Profilnamen, um den enrollmentProfileName-Parameter zu definieren. Weitere Informationen finden Sie unter Dynamische Microsoft Entra-Gruppen.

  7. Wählen Sie Weiter aus.

  8. Konfigurieren Sie auf der Seite Verwaltungseinstellungendie Benutzeraffinität. Die Benutzeraffinität bestimmt, ob Geräte mit oder ohne zugewiesenen Benutzer registriert werden. Ihre Optionen:

    • Ohne Benutzeraffinität registrieren: Registrieren Sie Geräte, die keinem einzelnen Benutzer zugeordnet sind. Wählen Sie diese Option für freigegebene Geräte und Geräte aus, die nicht auf lokale Benutzerdaten zugreifen müssen. Die Unternehmensportal-App funktioniert auf diesen Gerätetypen nicht.

    • Mit Benutzeraffinität registrieren: Registrieren Sie Geräte, die einem zugewiesenen Benutzer zugeordnet sind. Wählen Sie diese Option für Arbeitsgeräte aus, die zu Benutzern gehören, und wenn Sie möchten, dass Benutzer über die Unternehmensportal App verfügen, um Apps zu installieren. Mit dieser Option ist die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verfügbar.

      Option 2 erfordert weitere Konfigurationen. Benutzer müssen sich vor der Registrierung authentifizieren, um ihre Identität zu bestätigen. Wählen Sie eine der folgenden Authentifizierungsmethoden aus:

      • Setup-Assistent mit moderner Authentifizierung: Diese Methode erfordert, dass Benutzer alle Bildschirme des Setup-Assistenten ausfüllen und sich mit ihren Microsoft Entra Anmeldeinformationen bei der Unternehmensportal-App anmelden, bevor sie auf Ressourcen zugreifen können. Nachdem sie sich bei Unternehmensportal angemeldet haben, hat das Gerät Folgendes:

        • Registriert sich bei Microsoft Entra ID.
        • Wird dem Gerätedatensatz des Benutzers in Microsoft Entra ID hinzugefügt.
        • Kann auf Gerätekonformität ausgewertet werden.
        • Erhält Zugriff auf Ressourcen, die durch bedingten Zugriff geschützt sind.

        Wenn sich der Benutzer nicht beim Unternehmensportal anmeldet, um die Registrierung abzuschließen, wird er jedes Mal an die Unternehmensportal-App umgeleitet, wenn er versucht, eine verwaltete App mit bedingtem Zugriffsschutz zu öffnen.

        Geräte mit macOS 10.15 und höher können diese Methode verwenden. Ältere macOS-Geräte greifen auf die Legacy-Methode des Setup-Assistenten zurück. Weitere Informationen zum Abrufen der Unternehmensportal-App für Mac-Benutzer finden Sie unter Hinzufügen der Unternehmensportal für macOS-App.

      • Setup-Assistent (Vorgängerversion): Verwenden Sie den Legacy-Setup-Assistenten, wenn Sie möchten, dass Benutzer die typische Out-of-Box-Erfahrung für Apple-Produkte nutzen können. Diese Methode installiert vorkonfigurierte Standardeinstellungen, wenn das Gerät bei Intune-Verwaltung registriert wird. Wenn Sie Active Directory-Verbunddienste (AD FS) verwenden und zur Authentifizierung den Setup-Assistenten verwenden, ist der Endpunkt WS-Trust 1.3 Username/Mixed erforderlich. Weitere Informationen zum Abrufen des AD FS-Endpunkts finden Sie unter [Get-ADfsEndpoint] (/powershell/module/adfs/get-adfsendpoint?view=win10-ps&preserve-view=true).

  9. Die endgültige Konfiguration warten ermöglicht eine gesperrte Erfahrung am Ende des Setup-Assistenten, um sicherzustellen, dass Ihre wichtigsten Gerätekonfigurationsrichtlinien auf dem Gerät installiert sind. Diese Einstellung wird einmal während der automatischen Apple-Geräteregistrierung im Setup-Assistenten angewendet. Dem Gerätebenutzer wird dies nicht erneut angezeigt, es sei denn, er registriert seinen Mac erneut.

    Ihre Optionen:

    • Ja: Unmittelbar vor dem Laden des Startbildschirms hält der Setup-Assistent an und lässt Intune beim Gerät einchecken. Die Oberfläche für die Endbenutzer*innen wird gesperrt, während auf endgültige Konfigurationen gewartet wird. Diese Option ist die Standardkonfiguration für neue Registrierungsprofile.

    • Nein: Auf dem Gerät wird unabhängig vom Status der Richtlinieninstallation der Startbildschirm angezeigt, nachdem der Setup-Assistent beendet wurde. Gerätebenutzer können möglicherweise auf den Startbildschirm zugreifen oder Geräteeinstellungen ändern, bevor alle Richtlinien installiert werden. Diese Option ist die Standardkonfiguration für vorhandene Registrierungsprofile.

    Die Zeitspanne, die Benutzer auf dem Bildschirm Warten auf der endgültigen Konfiguration haben, variiert und hängt von der Gesamtzahl der Richtlinien und Apps ab, die Sie dem Gerät zuweisen. Benutzer können die Gerätekonfigurationsprofile sehen, die im Setup-Assistenten heruntergeladen werden, während sie warten. Je mehr Richtlinien und Apps zugewiesen sind, desto länger ist die Wartezeit. Setup-Assistent und Intune erzwingen während dieses Setupteils kein Mindest- oder Höchstzeitlimit. Während der Produktvalidierung wurden die meisten von uns getesteten Geräte freigegeben und konnten innerhalb von 15 Minuten auf den Startbildschirm zugreifen. Wenn Sie dieses Feature aktivieren und mit einem Microsoft-Partner oder einem Nicht-Microsoft-Dienst zusammenarbeiten, um Geräte bereitzustellen, informieren Sie diesen über das Potenzial einer längeren Bereitstellungszeit.

    Die gesperrte Oberfläche wird auf Macs mit macOS 10.11 oder höher unterstützt. Es funktioniert auf Macs, auf denen neue oder vorhandene Registrierungsprofile für die folgenden Szenarien eingerichtet sind:

    • Registrierung über den Setup-Assistenten mit moderner Authentifizierung
    • Registrierung mit dem Setup-Assistenten (Legacy)
    • Registrierung ohne Affinität zwischen Benutzer und Gerät
  10. Sie können die gesperrte Registrierung erzwingen, um zu verhindern, dass Benutzer die Registrierung ihrer Geräte bei Intune aufheben. Wählen Sie Ja aus, um die Mac-Einstellungen unter Systemeinstellungen und Terminal zu deaktivieren, mit denen Benutzer das Verwaltungsprofil entfernen können. Nachdem das Gerät registriert wurde, können Sie diese Einstellung nicht mehr ändern, ohne das Gerät zu löschen.

  11. Wählen Sie Weiter aus.

  12. Optional können Sie auf der Seite Kontoeinstellungen das lokale primäre Konto auf Ziel-Macs konfigurieren.

    Abbildung des Admin Centers mit dem neuen Abschnitt

    Diese Einstellungen werden auf Geräten mit macOS 10.11 oder höher unterstützt. Beachten Sie beim Konfigurieren des primären Kontos, dass dieses Konto ein Administratorkonto sein soll. Mindestens ein Administratorkonto ist eine Mac-Einrichtungsanforderung.

    Ihre Optionen:

    • Erstellen eines lokalen primären Kontos: Wählen Sie Ja aus, um die Einstellungen des lokalen primären Kontos für Ziel-Macs zu konfigurieren. Wählen Sie Nicht konfiguriert aus, um alle Kontoeinstellungskonfigurationen zu überspringen.
    • Kontoinformationen vorab ausfüllen: Die Standardkonfiguration Nicht konfiguriert erfordert, dass der Gerätebenutzer seinen Kontobenutzer und den vollständigen Namen im Setup-Assistenten eingibt. Wenn Sie stattdessen die Kontoinformationen für sie vorab ausfüllen möchten, wählen Sie Ja aus. Geben Sie dann den Namen des primären Kontos und den vollständigen Namen ein:
      • Name des primären Kontos: Geben Sie den Benutzernamen für das Konto ein. {{partialupn}} ist die unterstützte Tokenvariable für den Kontonamen.
      • Vollständiger Name des primären Kontos: Geben Sie den vollständigen Namen des Kontos ein. {{username}} ist die unterstützte Tokenvariable für den vollständigen Namen.
    • Bearbeitung einschränken: Die Standardkonfiguration ist auf Ja festgelegt, damit Gerätebenutzer den für sie konfigurierten Kontonamen und vollständigen Namen nicht bearbeiten können. Wenn Gerätebenutzer den Kontonamen und den vollständigen Namen bearbeiten können, wählen Sie Nicht konfiguriert aus. Wenn Sie nur den Setup-Assistenten (Legacy) zum Registrieren von Geräten mit macOS 10.15 und höher verwenden, können Sie die folgende Endbenutzererfahrung erwarten:
      • Ja: Der Bildschirm zum Erstellen des Kontos im Setup-Assistenten wird nie angezeigt. Stattdessen wird das lokale primäre Konto basierend auf den anderen Einstellungskonfigurationen automatisch erstellt, und das Kennwort wird automatisch über den Microsoft Entra-Authentifizierungsbildschirm aufgefüllt. Der Gerätebenutzer kann diese Felder nicht bearbeiten.
      • Nicht konfiguriert: Der Bildschirm des lokalen primären Kontos wird dem Endbenutzer im Setup-Assistenten angezeigt und mit den konfigurierten Kontowerten und dem Kennwort aus dem Microsoft Entra-Authentifizierungsbildschirm aufgefüllt. Der Gerätebenutzer kann diese Felder während des Setup-Assistenten bearbeiten.

    Damit die Kontoeinstellungen wie beabsichtigt funktionieren, muss Ihr Registrierungsprofil über die folgenden Konfigurationen verfügen:

    • Benutzeraffinität: Wählen Sie Mit Benutzeraffinität registrieren aus.
    • Authentifizierungsmethode: Wählen Sie Setup-Assistent mit moderner Authentifizierung oder Setup-Assistent (Legacy) aus.
    • Letzte Konfiguration warten: Wählen Sie Ja aus.

    Lokale Konten hängen von der Funktion für die endgültige Konfiguration ab, wenn sie erstellt werden. Daher ist diese Einstellung immer aktiviert, wenn Sie einstellungen für lokale primäre Konten konfigurieren. Auch wenn Sie die Einstellung für die endgültige Konfiguration von await nicht berühren, wird sie im Hintergrund aktiviert und auf das Registrierungsprofil angewendet.

  13. Wählen Sie Weiter aus.

  14. Konfigurieren Sie auf der Seite Setup-Assistent die Benutzeroberfläche des Setup-Assistenten.

    1. Geben Sie Ihre Abteilungsinformationen ein, damit Benutzer wissen, an wen sie sich für den Support wenden können:
      • Abteilungsname: Dieser Name wird angezeigt, wenn Gerätebenutzer während der Aktivierung Informationen zur Konfiguration auswählen.
      • Abteilungstelefon: Diese Telefonnummer wird angezeigt, wenn Gerätebenutzer während der Aktivierung Hilfe benötigen auswählen.
    2. Wählen Sie die Bildschirme des Setup-Assistenten aus, die Sie während der Geräteeinrichtung ein- oder ausblenden möchten. Eine Beschreibung aller Bildschirme finden Sie in der Bildschirmreferenz des Setup-Assistenten (in diesem Artikel). Ihre Optionen:
      • Ausblenden: Der Bildschirm wird benutzern während der Geräteeinrichtung nicht angezeigt. Nach der Einrichtung des Geräts kann der Benutzer zu seinen Geräteeinstellungen wechseln, um das Feature einzurichten.
      • Anzeigen: Der Bildschirm wird benutzern während der Geräteeinrichtung angezeigt. Der Benutzer kann weiterhin Bildschirme überspringen, die keine sofortige Aktion erfordern. Nach der Einrichtung des Geräts kann der Benutzer zu seinen Geräteeinstellungen wechseln, um das Feature einzurichten.
  15. Wählen Sie Weiter aus.

  16. Überprüfen Sie die Zusammenfassung der Änderungen, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.

Referenz zu den Bildschirmen des Setup-Assistenten

In der folgenden Tabelle werden die Bildschirme des Setup-Assistenten beschrieben, die während der automatischen Geräteregistrierung für Macs angezeigt werden. Sie können diese Bildschirme auf unterstützten Geräten während der Registrierung ein- oder ausblenden. Weitere Informationen dazu, wie sich die einzelnen Bildschirme des Setup-Assistenten auf die Benutzererfahrung auswirken, finden Sie in den folgenden Apple-Ressourcen:

Bildschirm "Setup-Assistent" Was geschieht, wenn es angezeigt wird
Standortdienste Zeigt den Einrichtungsbereich der Standortdienste an, in dem Benutzer Standortdienste auf ihrem Gerät aktivieren können. Für macOS 10.11 und höher.
Wiederherstellen Zeigt den Bereich für die Einrichtung von Apps und Daten an. Auf diesem Bildschirm können Benutzer, die Geräte einrichten, Daten aus iCloud Backup wiederherstellen oder übertragen. Dies gilt für macOS 10.9 und höher.
Apple-ID Zeigt den Apple ID-Setupbereich an, in dem Benutzer die Option erhalten, sich mit ihrer Apple-ID anzumelden und iCloud zu verwenden. Dies gilt für macOS 10.9 und höher.
Geschäftsbedingungen Zeigt den Bereich "Geschäftsbedingungen" von Apple an, und benutzer müssen sie akzeptieren. Dies gilt für macOS 10.9 und höher.
Touch ID und Face ID Zeigt den Bereich für die biometrische Einrichtung an, in dem Benutzer die Möglichkeit haben, fingerabdruck- oder gesichtsidentifikation auf ihren Geräten einzurichten. Dies gilt für macOS 10.12.4 und höher.
Apple Pay Zeigt den Apple Pay-Setupbereich an, in dem Benutzer die Möglichkeit haben, Apple Pay auf ihren Geräten einzurichten. Dies gilt für macOS 10.12.4 und höher.
Siri Zeigt den Siri-Setupbereich für Benutzer an. Für macOS 10.12 und höher.
Diagnosedaten Zeigt den Diagnose Bereich an, in dem Benutzer sich für das Senden von Diagnosedaten an Apple anmelden können. Dies gilt für macOS 10.9 und höher.
Display Tone Zeigt den Setupbereich für den Anzeigeton an. Dieser Bildschirm bietet Benutzern die Möglichkeit, die True-Tone-Anzeige zu aktivieren. Für macOS 10.13.6 und höher.
FileVault Zeigt den Benutzern den FileVault 2-Verschlüsselungsbildschirm an. Dies gilt für macOS 10.10 und höher.
iCloud-Diagnose Zeigt den iCloud Analytics-Bildschirm für Benutzer an. Dies gilt für macOS 10.12.4 und höher.
Registrierung Zeigt den Registrierungsbildschirm für Benutzer an. Dies gilt für macOS 10.9 und höher.
iCloud-Speicher Zeigt dem Benutzer den Bildschirm "iCloud-Dokumente und Desktop" an. Dies gilt für macOS 10.13.4 und höher.
Erscheinungsbild Zeigt den Darstellungsbereich an, in dem Benutzer einen Darstellungsmodus auswählen können. Für macOS 10.14 und höher.
Screen Time Zeigt den MacOS-Bildschirmzeit-Setupbereich, ein Feature, das Benutzer aktivieren können, um Einblicke in die Bildschirmzeit sowie app- und Websiteaktivitäten zu erhalten. Für macOS 10.15 und höher.
Datenschutz Zeigt dem Benutzer den Bereich zum Einrichten des Datenschutzes an. Dies gilt für macOS 10.13.4 und höher.
Barrierefreiheit Zeigt dem Benutzer den Bildschirm zum Einrichten der Barrierefreiheit an. Wenn dieser Bildschirm ausgeblendet ist, kann der Benutzer das macOS-Feature Voice Over nicht verwenden. Voice-Over wird auf Geräten unterstützt, die:
macOS 11
Verbindung mit dem Internet über Ethernet
– Sie verfügen über eine Seriennummer in Apple School Manager oder Apple Business Manager.
Automatische Entsperrung mit Apple Watch Zeigt den Bereich macOS Entsperren mit Apple Watch, in dem Benutzer ihre Apple Watch konfigurieren können, um ihren Mac zu entsperren. Dies gilt für macOS 12.0 und höher.
Anredeoptionen Zeigt den Bereich "Adressbedingungen" an, in dem Benutzer auswählen können, wie sie im gesamten System angesprochen werden sollen: weiblich, maskulin oder neutral. Dieses Apple-Feature ist für ausgewählte Sprachen verfügbar. Weitere Informationen finden Sie unter Ändern der Spracheinstellungen & Region auf dem Mac (öffnet die Apple-Website). Für macOS 13.0 und höher.
Hintergrundbild Zeigt den MacOS Sonoma-Hintergrundbild-Setupbereich an, nachdem geräte ein Softwareupgrade abgeschlossen haben. Wenn Sie diesen Bildschirm ausblenden, erhalten Geräte das standardmäßige macOS Sonoma-Hintergrundbild. Für macOS 14.1 und höher.
Sperrmodus Zeigt den Einrichtungsbereich des Sperrmodus für Benutzer an, die eine Apple-ID eingerichtet haben. Für macOS 14.0 und höher.
Intelligence Zeigt den Apple Intelligence-Setupbereich an, in dem Benutzer Apple Intelligence-Features konfigurieren können. Für macOS 15.0 und höher.

Synchronisieren verwalteter Geräte

Durch die Synchronisierung werden vorhandene Geräte status aktualisiert und neue Geräte importiert, die dem Apple MDM-Server zugewiesen sind. Um alle zugehörigen Apple-Geräte und Geräteinformationen anzuzeigen, synchronisieren Sie Ihr Registrierungsprogrammtoken im Admin Center.

  1. Kehren Sie zu Registrierungsprogrammtoken zurück, und wählen Sie Ihr Registrierungsprogrammtoken aus.

  2. Wählen Sie Geräte>synchronisieren aus.

    Screenshot des Bereichs

Synchronisierungseinschränkungen

Um die Apple-Bedingungen für zulässigen Registrierungsprogrammdatenverkehr einzuhalten, werden Microsoft Intune die folgenden Einschränkungen auferlegt:

  • Eine vollständige Synchronisierung kann nicht mehr als einmal alle sieben Tage ausgeführt werden. Während einer vollständigen Synchronisierung ruft Intune die neueste, aktualisierte Liste der Seriennummern ab, die dem verbundenen Apple MDM-Server zugewiesen sind. Wenn Sie ein Gerät aus Intune löschen, ohne es vom MDM-Server in Apple Business Manager oder Apple School Manager aufzuheben, wird es erst dann in Intune erneut importiert, wenn die vollständige Synchronisierung ausgeführt wird.
  • Wenn ein Gerät von einem der Apple-Registrierungsprogramme freigegeben wird, kann es bis zu 45 Tage dauern, bis es automatisch von der Seite Geräte in Intune gelöscht wird. Sie können freigegebene Geräte bei Bedarf manuell in Intune einzeln löschen. Intune meldet, dass Geräte aus Apple Business Manager oder Apple School Manager entfernt wurden, bis sie automatisch gelöscht werden, was innerhalb von 30 bis 45 Tagen geschieht.
  • Die Synchronisierung wird automatisch alle 24 Stunden ausgeführt. Sie können eine Synchronisierung nicht mehr als einmal alle 15 Minuten initiieren. Alle Synchronisierungsanforderungen müssen innerhalb von 15 Minuten abgeschlossen werden. Die Schaltfläche Synchronisieren wird inaktiv, bis die Synchronisierung abgeschlossen ist.

Zuweisen eines Registrierungsprofils an Geräte

Weisen Sie Apple-Geräten ein Registrierungsprofil zu.

  1. Kehren Sie zu Registrierungsprogrammtoken zurück, und wählen Sie ein Token aus.
  2. Klicken Sie auf Geräte.
  3. Wählen Sie Ihre Geräte aus der Liste aus, und wählen Sie dann Profil zuweisen aus.
  4. Wählen Sie ein zuzuweisende Profil und dann Zuweisen aus.

Optional können Sie ein Standardregistrierungsprofil auswählen. Das Standardprofil wird für alle registrierten Geräte bereitgestellt, die dem Token zugeordnet sind.

  1. Kehren Sie zu Registrierungsprogrammtoken zurück, und wählen Sie ein Token aus.
  2. Wählen Sie Standardprofil festlegen aus.
  3. Wählen Sie ein Profil und dann Speichern aus.

Verteilen von Geräten

Wichtig

Benutzern, die Geräten mit Benutzeraffinität zugeordnet sind, muss eine Intune-Lizenz zugewiesen werden. Geräte ohne Benutzeraffinität benötigen eine Gerätelizenz.

Verteilen Sie vorbereitete Geräte im gesamten organization.

  • Neue oder zurückgesetzte Macs: Neue oder zurückgesetzte Macs, die in Apple Business Manager oder Apple School Manager konfiguriert sind, werden während des Setup-Assistenten automatisch in Microsoft Intune registriert, wenn jemand das Gerät einschaltet. Wenn Sie das Gerät einem macOS-Registrierungsprofil mit Benutzeraffinität zugewiesen haben, muss sich der Gerätebenutzer nach Abschluss des Setup-Assistenten beim Unternehmensportal anmelden, um Microsoft Entra Registrierungs- und bedingten Zugriffsanforderungen abzuschließen.

  • Vorhandene Macs: Sie können Geräte registrieren, die bereits den Setup-Assistenten durchlaufen haben. Führen Sie diese Schritte aus, um unternehmenseigene Macs mit macOS 10.13 und höher zu registrieren.

    1. Stellen Sie sicher, dass:

      • Das Gerät wird in Apple Business Manager oder Apple School Manager importiert.
      • Dem Gerät wird im Admin Center ein macOS-Registrierungsprofil zugewiesen.
    2. Melden Sie sich mit einem lokalen Administratorkonto beim Gerät an.

    3. Um die Registrierung auszulösen, öffnen Sie auf der Startseiteterminal, und führen Sie den folgenden Befehl aus:

      sudo profiles renew -type enrollment

    4. Geben Sie das Gerätekennwort für das lokale Administratorkonto ein.

    5. Wählen Sie unter Geräteregistrierungdie Option Details aus.

    6. Wählen Sie unter Systemeinstellungen die Option Profile aus.

    7. Befolgen Sie die Anweisungen auf dem Bildschirm, um das Microsoft Intune Verwaltungsprofil, Zertifikate und Richtlinien herunterzuladen.

      Tipp

      Sie können jederzeit überprüfen, welche Profile auf dem Gerät vorhanden sind, indem Sie zu Systemeinstellungsprofile> zurückkehren.

    8. Wenn Sie das Gerät einem macOS-Registrierungsprofil mit Benutzeraffinität zugewiesen haben, melden Sie sich bei der Unternehmensportal-App an, um Microsoft Entra registrierungs- und bedingten Zugriffsanforderungen zu erfüllen und die Registrierung abzuschließen.

Erneuern des Registrierungsprogrammtokens

Führen Sie diese Schritte aus, um ein Servertoken zu erneuern, das bald abläuft. Mit diesem Verfahren wird sichergestellt, dass das zugehörige Registrierungsprogrammtoken in Intune aktiv bleibt.

  1. Melden Sie sich bei Apple Business Manager oder Apple School Manager an, und führen Sie die folgenden Schritte aus, um ein neues MDM-Servertoken herunterzuladen:
  2. Wechseln Sie im Admin Center zu Geräteregistrierung>.
  3. Wählen Sie die Registerkarte Apple aus.
  4. Wählen Sie unter Massenregistrierungsmethoden die Option Registrierungsprogrammtoken aus.
  5. Wählen Sie das Registrierungsprogrammtoken aus, das Sie verlängern möchten.
  6. Wählen Sie Token erneuern aus, und geben Sie die Apple-ID ein, die zum Erstellen des ursprünglichen Tokens verwendet wurde.
  7. Laden Sie das neue Token hoch.
  8. Wählen Sie Weiter aus. Sie können Bereichstags zu diesem Zeitpunkt aktualisieren, wenn Sie möchten. Andernfalls fahren Sie mit Überprüfen + erstellen fort.
  9. Wählen Sie Erstellen aus, um Ihre Änderungen zu speichern.

Nächste Schritte

Verwenden Sie Microsoft Intune Remoteaktionen, um registrierte Macs remote zu verwalten.