Einrichten der Apple-Benutzerregistrierung für iOS/iPadOS

Richten Sie Intune ein, um benutzereigene iOS-/iPadOS-Geräte über die Apple-Benutzerregistrierung zu registrieren. Bei der Benutzerregistrierung werden Geräte registriert, die Teil von BYOD-Szenarien sind. Auf diese Weise registrierte Geräte werden nicht überwacht. Arbeitsdaten werden sicher auf einem separaten Volume auf dem Gerät und in verwalteten Apps gespeichert, fern von den persönlichen Daten des Benutzers. Als Administrator erhalten Sie Zugriff auf eine begrenzte, aber geeignete Teilmenge von Intune Verwaltungsoptionen und -einschränkungen, um sicherzustellen, dass die Daten Ihrer Organisation sicher bleiben.

Weitere Informationen zur Benutzerregistrierung finden Sie unter Benutzerregistrierung und MDM (öffnet die Apple-Supportwebsite).

Voraussetzungen

Die Benutzerregistrierungsoption wird auf Geräten mit iOS 13 oder höher und iPadOS Version 13.1 oder höher unterstützt. Bevor Sie mit dem Setup beginnen, führen Sie die folgenden Aufgaben aus:

• Festlegen der Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM)
• Abrufen des Apple MDM Push-Zertifikats
• Erstellen von verwalteten Apple-IDs für Gerätebenutzer

Sie sollten wissen

Lesen Sie diese Informationen, bevor Sie beginnen:

• Apple hat iPadOS im September 2019 veröffentlicht, wodurch eine Änderung eingeführt wurde, die sich auf Microsoft Azure Active Directory (Azure AD) und Intune-Kunden auswirken kann, die Richtlinien für bedingten Zugriff in ihrer Organisation verwenden. Weitere Informationen dazu, wie sich dies auf Ihre Richtlinien auswirkt und welche Aktionen ausgeführt werden müssen, finden Sie unter Evaluieren und aktualisieren Sie Richtlinien für bedingten Zugriff nach der neuen iPadOS-Version.

• Bei der Benutzerregistrierung müssen Sie Verwaltete Apple-IDs für Ihre registrierten Benutzer bereitstellen. Sie können die IDs manuell erstellen. Es wird jedoch dringend empfohlen, die Verbundauthentifizierung zu verwenden, um Apple Business Manager mit Azure AD zu verknüpfen. Auf diese Weise können Benutzer ihre Azure AD-Benutzernamen und -Kennwörter anstelle der verwalteten Apple-IDs verwenden, um sich bei ihrem Gerät anzumelden. Weitere Informationen finden Sie unter Verbundauthentifizierung mit Apple Business Manager (öffnet das Apple Business Manager-Benutzerhandbuch).

Erstellen eines Registrierungsprofils

Hinweis

Ein iOS-Benutzerregistrierungsprofil überschreibt eine Registrierungseinschränkungsrichtlinie.

Führen Sie diese Schritte aus, um ein Registrierungsprofil für Geräte zu erstellen, die sich mit der Benutzerregistrierungsoption registrieren.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wechseln Sie zu Geräte>iOS/iPadOS>iOS/iPadOS-Registrierung.

3. Wählen Sie Registrierungstypen aus.

4. Wählen Sie Profil erstellen>iOS/iPadOS aus. In diesem Profil konfigurieren Sie die Registrierungsoberfläche für Geräte, die nicht über eine Apple-Registrierungsprogrammmethode wie Apple Business Manager registriert sind. Sie können dieses Profil bearbeiten, nachdem Sie es erstellt haben.

5. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil ein, damit Sie es von anderen Profilen im Admin Center unterscheiden können. Gerätebenutzer sehen diese Details nicht.

   Tipp

   Sie können das Namensfeld verwenden, um eine dynamische Gruppe in Azure Active Directory zu erstellen und Geräte automatisch dem Registrierungsprofil zuzuweisen. Verwenden Sie den Profilnamen, um den enrollmentProfileName-Parameter zu definieren. Weitere Informationen finden Sie unter Dynamische Gruppen in Azure Active Directory.

6. Wählen Sie Weiter aus.

7. Wählen Sie auf der Seite Einstellungen die Option Benutzerregistrierung aus. Alle Benutzer, denen dieses Profil zugewiesen ist, werden über die Benutzerregistrierung registriert.

Alternativ können Sie anhand der Benutzerauswahl bestimmen auswählen, sodass zugewiesene Benutzer den Registrierungstyp auswählen können. Wenn Sie diese Option auswählen, werden Benutzern während der Registrierung die folgenden Optionen angezeigt:

• Ich besitze dieses Gerät: Der Benutzer muss auswählen, ob er das gesamte Gerät oder nur arbeitsbezogene Apps und Daten schützen möchte.
• (Unternehmen) besitzt dieses Gerät: Das Gerät wird über die Geräteregistrierung registriert.

Die Auswahl des Gerätebenutzers bestimmt, welcher Registrierungsprozess durchgeführt wird. Ihre Auswahl spiegelt sich auch im Gerätebesitz-Attribut wider, das in Intune angezeigt wird. Weitere Informationen zur Benutzererfahrung finden Sie unter Einrichten des iOS-/iPadOS-Gerätezugriffs auf Unternehmensressourcen.

5. Wählen Sie Weiter aus.

6. Weisen Sie auf der Seite Zuweisungen das Profil allen Benutzern zu, oder wählen Sie bestimmte Gruppen aus. Gerätegruppen werden in Benutzerregistrierungsszenarien nicht unterstützt, da für die Benutzerregistrierung Benutzeridentitäten erforderlich sind.

7. Wählen Sie Weiter aus.

8. Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.

Profilpriorität

Wenn Sie mehr als ein Registrierungstypprofil erstellt haben, können Sie die Prioritätsreihenfolge ändern, in der sie angewendet werden. Intune wendet die Profile in der Reihenfolge an, in der Sie sie priorisieren.

1. Zurück zu Registrierungstypen, um Ihre Profile anzuzeigen.
2. Ziehen Sie die Profile in der Liste, und legen Sie sie ab, um ihre Priorität neu anzuordnen.

Wenn ein Konflikt auftritt, weil einem Benutzer mehr als ein Profil zugewiesen ist, wendet Intune das Profil mit der höheren Priorität an.

Entfernen des Geräts aus der Verwaltung

Das Volume und die kryptografischen Schlüssel, die zum Verwalten der Arbeitsdaten auf dem Gerät erstellt wurden, werden gelöscht, wenn die Registrierung des Geräts bei Intune aufgehoben wird.

Nächste Schritte

• Gerätebenutzer melden sich mit ihrem Geschäfts-, Schul- oder Unikonto bei der Intune-Unternehmensportal-App an, um den Registrierungsprozess zu initiieren. Einen Blick auf ihre Erfahrungen finden Sie unter Einrichten des Zugriffs auf iOS-Geräte auf Ihre Unternehmensressourcen. Denken Sie daran: Wenn Sie keine Verbundauthentifizierung mit Apple Business Manager einrichten, müssen Sie Ihren Benutzern Die verwaltete Apple ID-Anmeldeinformationen bereitstellen, damit sie die Registrierung abschließen können.

• Informationen zu unterstützten Verwaltungsaktionen finden Sie unter Von der Benutzerregistrierung unterstützte Aktionen, Kennwörter und andere Optionen.

• Informationen zur Problembehandlung finden Sie unter Problembehandlung bei iOS-/iPadOS-Geräteregistrierungsfehlern in Microsoft Intune.

• Unterstützte Einstellungen in Intune Gerätekonfigurationsprofilen finden Sie unter:

  • iOS- und iPadOS-Geräteeinschränkungen
  • iOS- und iPadOS-Gerätefeatures
  • Einrichten eines virtuellen privaten Netzwerks (VPN) pro App