Tutorial: Einrichten der Microsoft Intune-Registrierung für iOS-/iPadOS-Geräte in Apple Business Manager
Verwenden Sie Apple Business Manager mit Microsoft Intune, um die Geräteregistrierung für iOS-/iPadOS-Geräte zu vereinfachen und zu automatisieren, die über Apple Business Manager beschafft werden. Die automatisierte Geräteregistrierung, die wir in diesem Tutorial einrichten, ermöglicht die sichere automatische Registrierung, wenn der Benutzer das Gerät zum ersten Mal einschaltet, indem das Registrierungsprofil auf dem Gerät over-the-air bereitgestellt wird.
In diesem Lernprogramm lernen Sie:
- Abrufen eines Apple-Geräteregistrierungstokens
- Synchronisieren verwalteter Geräte mit Intune
- Erstellen eines Anmeldungsprofils
- Zuweisen des Registrierungsprofils zu Geräten
Am Ende dieses Tutorials können Geräte für die Registrierung verteilt werden.
Voraussetzungen
- Legen Sie die Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) fest.
- Rufen Sie das Apple MDM Push-Zertifikat ab.
- Neue oder zurückgesetzte Geräte, die über Apple Business Manager erworben wurden.
- Fügen Sie unter den Geräteverwaltungseinstellungen in Apple Business Manager Kaufinformationen hinzu.
Wenn Sie über kein Intune-Abonnement verfügen, registrieren Sie sich für eine kostenlose Testversion.
Schritt 1: Hinzufügen eines MDM-Servers
Erstellen Sie ein MDM-Serverprofil für Microsoft Intune in Apple Business Manager. Das Token, das Sie in diesem Schritt herunterladen, aktiviert die Verbindung zwischen Microsoft Intune und Apple Business Manager in einem späteren Schritt.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wechseln Sie zu Geräte>Nach Plattform>iOS/iPadOS>Registrierung für das Onboarding>von Geräten.
Wählen Sie Registrierungsprogrammtoken aus.
Klicken Sie auf Hinzufügen.
Wählen Sie Ich stimme zu, um Microsoft die Berechtigung zum Senden von Benutzer- und Geräteinformationen an Apple zu erteilen.
Wählen Sie Öffentlichen Schlüssel herunterladen aus, um das Öffentliche Schlüsselzertifikat des Servers (eine PEM-Datei) auf Ihr lokales Laufwerk herunterzuladen.
Wählen Sie Token über Apple Business Manager erstellen aus, und melden Sie sich mit Der Apple-ID Ihres Unternehmens bei Apple Business Manager an.
Wichtig
Wenn Sie sich in Apple Business Manager befinden, schließen Sie die Browserregisterkarte nicht mit Microsoft Intune. Sie werden später darauf zurückkommen.
Fügen Sie einen MDM-Server namens TestMDMServer hinzu, und laden Sie das Servertoken dafür in Apple Business Manager herunter. Ausführliche Informationen und Anweisungen finden Sie unter Link zu einem MDM-Server eines Drittanbieters (öffnet das Apple Business Manager-Benutzerhandbuch). Speichern Sie das Servertoken lokal als P7M-Datei (.p7m). Fahren Sie dann mit Schritt 2: Zuweisen von Geräten fort.
Schritt 2: Zuweisen von Geräten
Während Sie sich in Apple Business Manager befinden, weisen Sie Geräte Ihrem neuen MDM-Server (TestMDMServer oder wie auch immer Sie ihn benannt haben) zu. Weitere Informationen und Anweisungen finden Sie unter Zuweisen, Neuzuweisen oder Aufheben der Zuweisung von Geräten in Apple Business Manager (öffnet das Apple Business Manager-Benutzerhandbuch). Wenn Sie mit dem Zuweisen von Geräten fertig sind, fahren Sie mit Schritt 3: Hochladen des MDM-Servertokens fort.
Schritt 3: Hochladen des MDM-Servertokens
Kehren Sie zum Microsoft Intune Admin Center zurück, um das MDM-Servertoken in Intune hochzuladen. Nachdem Sie das Token hochgeladen haben, kann Microsoft Intune iOS-/iPadOS-Geräte synchronisieren und registrieren, die TestMDMServer zugewiesen sind.
- Geben Sie unter Apple ID die Apple-ID ein, die Sie zum Erstellen des Tokens verwendet haben.
- Laden Sie unter Apple-Token das zuvor gespeicherte Servertoken hoch. Die Datei muss im P7M-Format vorliegen.
- Wählen Sie Weiter aus.
- Wenden Sie optional Bereichstags auf das Registrierungstoken an, um andere Administratoren daran zu hindern, darauf zuzugreifen oder Änderungen daran vorzunehmen. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.
- Wählen Sie Weiter aus.
- Wählen Sie unter Überprüfen + erstellendie Option Erstellen aus, um die Verknüpfung von Microsoft Intune und Apple Business Manager abzuschließen.
Microsoft Intune wird automatisch mit Apple Business Manager synchronisiert. Es kann bis zu 12 Stunden dauern, bis Geräte im Admin Center angezeigt werden. Sie können warten, bis diese Geräte synchronisiert wurden, oder die Synchronisierung manuell starten. Um die Synchronisierung selbst zu starten, wählen Sie Ihr Token aus der Liste im Admin Center und dann Gerätesynchronisierung> aus.
Schritt 4: Erstellen eines Apple-Registrierungsprofils
Erstellen Sie ein Registrierungsprofil für unternehmenseigene iOS-/iPadOS-Geräte. Ein Geräteregistrierungsprofil definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden.
Wählen Sie Ihr Token im Admin Center und dann Profile>Profil> erstelleniOS/iPadOS aus.
Geben Sie auf der Seite Allgemeine Informationen den NamenTestProfile und die BeschreibungTest von ADE für iOS-/iPadOS-Geräte ein. Benutzer können diese Informationen nicht sehen.
Wählen Sie Weiter aus.
Entscheiden Sie auf der Seite Verwaltungseinstellungen, ob Ihre Geräte mit oder ohne Benutzeraffinität registriert werden sollen. „Benutzeraffinität“ ist für Geräte vorgesehen, die von bestimmten Benutzern verwendet werden. Wenn Ihre Benutzer das Unternehmensportal für Dienste wie das Installieren von Apps verwenden möchten, wählen Sie Mit Benutzeraffinität registrieren aus. Wenn Ihre Benutzer das Unternehmensportal nicht benötigen oder Sie das Gerät für viele Benutzer bereitstellen möchten, wählen Sie Ohne Benutzeraffinität registrieren aus.
Wenn Sie sich für die Registrierung mit Benutzeraffinität entschieden haben, wird die Option Wählen Sie aus, wo Benutzer sich authentifizieren müssen angezeigt. Wählen Sie zwischen der Authentifizierung über das Unternehmensportal oder den Apple Setup-Assistenten.
- Unternehmensportal: Wählen Sie diese Option aus, um Multi-Factor Authentication zu verwenden, Benutzern das Ändern von Kennwörtern bei der ersten Anmeldung zu ermöglichen oder Benutzer aufzufordern, ihre abgelaufenen Kennwörter während der Registrierung zurückzusetzen. Wenn die Unternehmensportal-App automatisch auf den Geräten der Endbenutzer aktualisiert werden soll, stellen Sie das Unternehmensportal über das Apple Volume Purchase Program (VPP) separat als erforderliche App für diese Benutzer bereit.
- Setup-Assistent: Wählen Sie diese Option aus, um die von Apple bereitgestellte einfache HTTP-Authentifizierung über den Apple Setup-Assistenten zu verwenden.
Wenn Sie die Registrierung mit Benutzeraffinität und die Authentifizierung über das Unternehmensportal ausgewählt haben, wird die Option Unternehmensportal mit VPP installieren angezeigt. Wenn Sie das Unternehmensportal mit einem VPP-Token installieren, muss Ihr Benutzer keine Apple-ID und kein Kennwort eingeben, um das Unternehmensportal während der Registrierung aus dem App Store herunterzuladen. Wählen Sie unter Unternehmensportal mit VPP installieren die Option Token verwenden aus, um ein VPP-Token auszuwählen, dem kostenlose Lizenzen des Unternehmensportals zur Verfügung stehen. Wenn Sie VPP zum Bereitstellen des Unternehmensportals nicht verwenden möchten, wählen Sie die Option VPP nicht verwenden aus.
Wenn Sie ausgewählt haben, dass Sie mit „Benutzeraffinität“, „Über das Unternehmensportal authentifizieren“ und „Unternehmensportal mit VPP installieren“ registrieren möchten, entscheiden Sie, ob Sie das Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen möchten. Mit dieser Einstellung können Sie sicherstellen, dass der Benutzer erst dann Zugriff auf andere Apps hat, wenn er die Unternehmensregistrierung abgeschlossen hat. Wenn Sie den Benutzer bis zum Abschluss der Registrierung auf diesen Ablauf einschränken möchten, wählen Sie unter Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen die Option Ja aus.
Wählen Sie unter Geräteverwaltungseinstellungen die Option Ja unter Überwacht aus (wenn Sie Mit Benutzeraffinität registrieren ausgewählt haben, wird diese automatisch auf Ja festgelegt). Überwachte Geräte bieten Ihnen die meisten Verwaltungsoptionen für Ihre unternehmenseigenen iOS-/iPadOS-Geräte.
Wählen Sie ja unter Gesperrte Registrierung aus, um sicherzustellen, dass Ihre Benutzer die Verwaltung des Unternehmensgeräts nicht entfernen können.
Wählen Sie unter Mit Computern synchronisieren eine Option aus, um zu bestimmen, ob die iOS-/iPadOS-Geräte mit Computern synchronisiert werden können.
Standardmäßig benennt Apple das Gerät mit dem Gerätetyp, z. B. iPad. Wenn Sie eine andere Namensvorlage bereitstellen möchten, wählen Sie unter Vorlage für Gerätenamen anwenden die Option Ja aus. Geben Sie den Namen ein, den Sie auf die Geräte anwenden möchten. Dabei stehen die Zeichenfolgen {{SERIAL}} und {{DEVICETYPE}} für die Seriennummer und den Gerätetyp jedes Geräts. Wählen Sie andernfalls unter Vorlage für Gerätenamen anwenden die Option Nein aus.
Wählen Sie Weiter aus.
Auf der Seite Setup-Assistent, wählen Sie Tutorial department (Tutorialabteilung) für Abteilungsname aus. Diese Zeichenfolge wird Benutzern angezeigt, wenn sie während der Geräteaktivierung auf About configuration (Informationen zur Konfiguration) tippen.
Geben Sie unter Abteilungstelefonnummer eine Telefonnummer ein. Diese Nummer wird angezeigt, wenn Benutzer während der Aktivierung auf Need help (Hilfe) tippen.
Sie können während der Geräteaktivierung verschiedene Bildschirme ein- oder ausblenden . Um die nahtloseste Registrierung zu ermöglichen, legen Sie für alle Bildschirme Ausblenden fest.
Wählen Sie Weiter aus, um zur Seite Überprüfen + erstellen zu wechseln. Wählen Sie Erstellen aus.
Schritt 5: Zuweisen eines Registrierungsprofils zu iOS-/iPadOS-Geräten
Sie müssen Geräten ein Registrierungsprogrammprofil zuweisen, bevor Sie mit der Registrierung beginnen können. Diese Geräte werden von Apple mit Intune synchronisiert und müssen im ABM-, ASM- oder ADE-Portal dem richtigen MDM-Servertoken zugewiesen werden.
- Wählen Sie im Admin Center Ihr Token aus der Liste aus.
- Wählen Sie Geräte und dann die Geräte aus, die Sie zuweisen möchten.
- Wählen Sie Profil zuweisen aus.
- Wählen Sie unter Profil zuweisen ein Profil für geräte >Zuweisen aus.
Hinweis
Stellen Sie sicher, dass die Standardrichtlinie Alle Benutzer für Gerätetypeinschränkungen unter Registrierungseinschränkungen nicht so festgelegt ist, dass die iOS-/iPadOS-Plattform blockiert wird. Diese Einstellung führt dazu, dass bei der automatisierten Registrierung ein Fehler auftritt und Ihr Gerät unabhängig vom Benutzernachweis als ungültiges Profil angezeigt wird. Um die Registrierung nur für vom Unternehmen verwaltete Geräte zuzulassen, blockieren Sie nur persönliche Geräte, damit Unternehmensgeräte sich registrieren können. Microsoft definiert ein Unternehmensgerät als ein Gerät, das über ein Programm zur Geräteregistrierung registriert wird, oder als ein Gerät, das unter Bezeichner von Unternehmensgeräten manuell eingegeben wird.
Schritt 6: Verteilen von Geräten an Benutzer
Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune eingerichtet und haben ein Profil zugewiesen, damit Ihre ADE-Geräte registriert werden können. Sie können jetzt Geräte an Benutzer verteilen. Für Geräte mit Benutzeraffinität muss jedem Benutzer eine Intune-Lizenz zugewiesen werden.
Nächste Schritte
Informieren Sie sich auch über die anderen Optionen, die für das Registrieren von iOS-/iPadOS-Geräten verfügbar sind.