Freigeben über


Registrierungshandbuch: Registrieren von macOS-Geräten in Microsoft Intune

Persönliche und unternehmenseigene Geräte können bei Intune registriert werden. Auf macOS-Geräten authentifiziert die Unternehmensportal-App oder der Setup-Assistent von Apple die Benutzer und startet die Registrierung. Sobald sie registriert sind, erhalten sie die von Ihnen erstellten Richtlinien.

Beim Registrieren von macOS-Geräten haben Sie die folgenden Optionen:

Inhalt dieses Artikels:

  • Hier werden die Optionen der Unternehmensportal-App für jede Registrierungsmethode beschrieben.
  • Enthält Registrierungsempfehlungen für unterstützte Geräteverwaltungsszenarien.
  • Er enthält eine Übersicht über die Aufgaben für Administratoren und Benutzer beim jeweiligen Registrierungstyp.

Es gibt auch einen visuellen Leitfaden zu den verschiedenen Registrierungsoptionen für jede Plattform:

Eine visuelle Darstellung der Intune-Registrierungsoptionen nach Plattform
PDF-Version herunterladen | Visio-Version herunterladen

Tipp

Dieser Leitfaden ist eine lebendige Sache. Achten Sie also darauf, vorhandene Tipps und Anleitungen hinzuzufügen oder zu aktualisieren, die Sie hilfreich gefunden haben.

Bevor Sie beginnen

Informationen zu allen Intune-spezifischen Voraussetzungen und Konfigurationen, die zum Vorbereiten Ihres Mandanten für die Registrierung erforderlich sind, finden Sie unter Registrierungshandbuch: Microsoft Intune-Registrierung.

BYOD: Geräteregistrierung

Dies gilt für persönliche Geräte oder BYOD-Geräte (Bring Your Own Device). Diese Registrierungsoption wird auch als vom Benutzer genehmigte Registrierung bezeichnet.


Feature Verwendung der Registrierungsoption in den folgenden Fällen:
Es handelt sich um persönliche Geräte oder BYOD-Geräte.
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung).
Sie verfügen über neue oder vorhandene Geräte.
Die Geräte sind einem einzelnen Benutzer zugeordnet.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Beachten Sie die Auswirkungen und Einschränkungen bei der Verwendung des DEM-Kontos.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Wenn ein Gerät registriert wird, installieren MDM-Anbieter Zertifikate und andere Dateien. Diese Dateien müssen entfernt werden. Die schnellste Möglichkeit ist möglicherweise, die Registrierung aufzuheben oder die Geräte auf Werkseinstellungen zurückzusetzen. Wenn Sie die Werkseinstellungen nicht zurücksetzen möchten, wenden Sie sich an den MDM-Anbieter.
Die Geräte gehören der Organisation oder der Schule.

Dies wird nicht für unternehmenseigene Geräte empfohlen. Unternehmenseigene Geräte sollten mithilfe der automatischen Geräteregistrierung (in diesem Artikel) oder mit Apple Configurator registriert werden.

Sie können den unternehmenseigenen Gerätebezeichnern die MacBook-Seriennummern hinzufügen, um die Geräte als unternehmenseigene Geräte zu kennzeichnen. Standardmäßig werden Geräte aber als persönliche Geräte gekennzeichnet.
Bei den Geräten handelt es sich um Geräte ohne Benutzer, z. B. Kiosk-Geräte, dedizierte Geräte oder gemeinsam genutzte Geräte.

Dies sind unternehmenseigene Geräte. Benutzerlose Geräte sollten mithilfe der automatischen Geräteregistrierung (in diesem Artikel) oder mit Apple Configurator registriert werden.

Aufgaben des Geräteregistrierungsadministrators

Diese Aufgabenliste bietet eine Übersicht.

  • Stellen Sie sicher, dass Ihre Geräte unterstützt werden.

  • Stellen Sie sicher, dass das Apple MDM-Pushzertifikat zu Intune hinzugefügt und aktiv ist. Dieses Zertifikat ist erforderlich, um macOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple MDM-Pushzertifikats.

  • Im Apple App Store oder im Rahmen des Apple Volume Purchase Program (VPP) gibt es keine Unternehmensportal-App für macOS-Geräte. Benutzer müssen das Installationsprogrammpaket der Unternehmensportal-App manuell herunterladen und ausführen. Sie melden sich mit ihrem Organisationskonto (user@contoso.com) an und durchlaufen dann den Registrierungsvorgang. Nach der Registrierung muss die Registrierungsrichtlinie genehmigt werden.

    Nach der Genehmigung wird das Gerät zur Microsoft Entra-ID Ihrer Organisation hinzugefügt. Anschließend ist es für Intune verfügbar, um Ihre Richtlinien zu erhalten.

    Stellen Sie sicher, dass Sie den Benutzern diese Informationen mitteilen.

Aufgaben für Endbenutzer bei der Geräteregistrierung

Die Benutzer müssen die folgenden Schritte ausführen. Genauere Informationen zu den Endbenutzerschritten finden Sie unter Registrieren Ihres macOS-Geräts mithilfe der Unternehmensportal-App.

  1. Sie müssen das Installationsprogrammpaket der Unternehmensportal-App herunterladen und ausführen.
  2. Danach müssen sie die Unternehmensportal-App öffnen und sich mit ihrem Organisationskonto (user@contoso.com) anmelden. Nach der Anmeldung muss die Registrierungsrichtlinie (Systemeinstellungen) genehmigt werden. Wenn Benutzer es bestätigt haben, wird das Gerät registriert und als verwaltet betrachtet. Wenn sie nicht genehmigen, sind sie nicht registriert und erhalten ihre Richtlinien nicht.

Die Unternehmensportal-App erkennt die Installation des Verwaltungsprofils und registriert das Gerät automatisch, es sei denn, es wird vom Benutzer manuell geschlossen. Der Benutzer muss die App erneut öffnen, um die Geräteregistrierung abzuschließen. Wenn Sie dynamische Gruppen verwenden, die von der Geräteregistrierung abhängig sind, ist es wichtig, dass Benutzer zur App zurückkehren und sich registrieren. Planen Sie, diese Schritte den Endbenutzern mitzuteilen. Wenn Sie Richtlinien für bedingten Zugriff (Ca) verwenden, ist keine Aktion erforderlich, da benutzer von einer Zertifizierungsstelle geschützte Apps, die versuchen, sich anzumelden, sie auffordern, zum Unternehmensportal zurückzukehren, um die Geräteregistrierung abzuschließen.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungsleitfaden: Schritt 5: Erstellen eines Rolloutplans.

Automatische Geräteregistrierung (Automated Device Enrollment, ADE) (überwacht)

Diese Option von Apple wurde früher „Programm zur Geräteregistrierung“ (Device Enrollment Program, DEP) genannt. Sie wird auf Geräten verwendet, die sich im Besitz der Organisation befinden. Diese Option konfiguriert Einstellungen mithilfe von Apple Business Manager (ABM) oder Apple School Manager (ASM). Dabei wird eine große Anzahl von Geräten registriert, ohne dass Sie die Geräte selbst berühren. Diese Geräte werden von Apple gekauft, verfügen über vorkonfigurierte Einstellungen und können direkt an Benutzer oder Schulen geliefert werden. Sie erstellen ein Registrierungsprofil im Intune Admin Center und pushen diese Richtlinie auf die Geräte.

Genauere Informationen zu diesem Registrierungstyp finden Sie unter Automatisches Registrieren von macOS-Geräten mit Apple Business Manager oder Apple School Manager.


Feature Verwendung der Registrierungsoption in den folgenden Fällen:
Die Geräte gehören der Organisation oder der Schule.
Sie verfügen über neue Geräte.
Sie verfügen über vorhandene Geräte.

Um vorhandene Geräte zu registrieren, wechseln Sie nach dem Setup-Assistenten zu Macs registrieren (öffnet einen weiteren Microsoft-Artikel).
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung).
Die Geräte sind einem einzelnen Benutzer zugeordnet.
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte).
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Nicht empfohlen. BYOD-Geräte oder persönliche Geräte sollten mithilfe der Geräteregistrierung registriert werden (in diesem Artikel).
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ können Sie die Geräteregistrierung verwenden, um bestimmte Apps auf dem Gerät zu verwalten. Da sich diese Geräte im Besitz der Organisation befinden, wird empfohlen, sich bei Intune zu registrieren.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Das DEM-Konto wird nicht unterstützt.

ADE-Administratoraufgaben

Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter Automatisches Registrieren von macOS-Geräten mit Apple Business Manager oder Apple School Manager.

  • Stellen Sie sicher, dass Ihre Geräte unterstützt werden.

  • Sie benötigen Zugriff auf das Apple Business Manager-Portal (ABM) oder das Apple School Manager-Portal (ASM).

  • Stellen Sie sicher, dass das Apple-Token (.p7m) aktiv ist. Genauere Informationen finden Sie unter Erstellen eines Registrierungsprogrammtokens.

  • Stellen Sie sicher, dass das Apple MDM-Pushzertifikat zu Intune hinzugefügt und aktiv ist. Dieses Zertifikat ist erforderlich, um macOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple MDM-Pushzertifikats.

  • Entscheiden Sie, wie sich Benutzer bei Ihren Geräten authentifizieren sollen: Setup-Assistent (Legacy) oder Setup-Assistent mit moderner Authentifizierung. Treffen Sie diese Entscheidung, bevor Sie die Registrierungsrichtlinie erstellen. Die Verwendung des Setup-Assistenten mit moderner Authentifizierung wird als moderne Authentifizierung bezeichnet. Microsoft empfiehlt die Verwendung des Setup-Assistenten mit moderner Authentifizierung.

    Für alle unternehmenseigenen macOS-Geräte wird der Setup-Assistent (Legacy) immer und automatisch verwendet, auch wenn in Intune kein Text vom "Setup-Assistenten" angezeigt wird. Der Setup-Assistent (Legacy) authentifiziert den Benutzer und registriert das Gerät.

    • Wählen Sie den Setup-Assistenten (Legacy), wenn Folgendes zutrifft:

      • Sie möchten das Gerät zurücksetzen.

      • Sie möchten keine modernen Authentifizierungsfeatures wie die MFA verwenden.

      • Sie möchten keine Geräte in Microsoft Entra ID registrieren. Der Setup-Assistent (Legacy) authentifiziert den Benutzer mit dem Apple.p7m-Token. Wenn es akzeptabel ist, keine Geräte in Microsoft Entra ID zu registrieren, müssen Sie die Unternehmensportal-App nicht installieren. Verwenden Sie weiterhin den Setup-Assistenten (Legacy).

        Wenn Sie die Unternehmensportal-App für die Authentifizierung verwenden möchten, anstatt den Setup-Assistenten zu verwenden, oder die Geräte in Microsoft Entra ID registrieren möchten, gehen Sie wie hier beschrieben vor:

        1. Um die Unternehmensportal-App auf Geräten zu installieren, wechseln Sie zum Hinzufügen der Unternehmensportal-App. Legen Sie die Unternehmensportal-App als erforderliche App fest.
        2. Nachdem das Gerät registriert wurde, installieren Sie die Unternehmensportal-App.
        3. Nach der Installation öffnen Benutzer die Unternehmensportal-App und melden sich mit ihrem Microsoft Entra-Konto ihrer Organisation (user@contoso.com) an. Wenn sie sich anmelden, werden sie authentifiziert und können Ihre Richtlinien erhalten.
    • Wählen Sie den Setup-Assistenten mit moderner Authentifizierung in folgenden Situationen aus:

      • Sie möchten das Gerät zurücksetzen.
      • Sie möchten die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden.
      • Sie möchten Benutzer dazu auffordern, ihr abgelaufenes Kennwort zu aktualisieren, wenn sie sich zum ersten Mal anmelden.
      • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
      • Sie möchten, dass Geräte in Microsoft Entra ID registriert sind. Wenn sie registriert sind, können Sie Features verwenden, die mit microsoft Entra ID verfügbar sind, z. B. bedingter Zugriff.

      Hinweis

      Während des Setup-Assistenten müssen Benutzer ihre Microsoft Entra-Anmeldeinformationen für ihre Organisation (user@contoso.com) eingeben. Wenn sie ihre Anmeldeinformationen eingeben, wird die Registrierung gestartet. Wenn Sie möchten, können Benutzer auch ihre Apple-ID eingeben, um auf Apple-spezifische Features wie Apple Pay zuzugreifen.

      Nach Abschluss des Setup-Assistenten können Benutzer das Gerät verwenden. Wenn der Startbildschirm angezeigt wird, ist die Registrierung abgeschlossen, und die Benutzeraffinität wird hergestellt. Das Gerät ist nicht vollständig mit der Microsoft Entra-ID registriert und wird nicht in der Geräteliste eines Benutzers in Microsoft Entra ID angezeigt.

      Wenn Benutzer Zugriff auf Ressourcen benötigen, die durch bedingten Zugriff geschützt sind oder vollständig mit der Microsoft Entra-ID registriert werden sollen, installieren Sie die Unternehmensportal-App. Nach der Installation öffnen Benutzer die Unternehmensportal-App und melden sich mit ihrem Microsoft Entra-Konto ihrer Organisation (user@contoso.com) an. Während dieser zweiten Anmeldung werden alle Richtlinien für bedingten Zugriff ausgewertet, und die Microsoft Entra-Registrierung ist abgeschlossen. Benutzer können Organisationsressourcen, einschließlich branchenspezifischer Apps, installieren und nutzen.

  • Wechseln Sie im Intune Admin Center zu Apple Configurator-Registrierung , und erstellen Sie ein Registrierungsprofil. Klicken Sie auf Mit Benutzeraffinität registrieren (dem Gerät einen Benutzer zuordnen) oder Ohne Benutzeraffinität registrieren (Geräte ohne Benutzer oder gemeinsam genutzte Geräte).

    • Mit Benutzeraffinität registrieren: Der Setup-Assistent authentifiziert den Benutzer und registriert das Gerät in Intune. Wählen Sie außerdem aus, ob Benutzer das Verwaltungsprofil löschen können (Gesperrte Registrierung).

    • Ohne Benutzeraffinität registrieren: Der Setup-Assistent authentifiziert den Benutzer und registriert den Benutzer in Intune. Wählen Sie außerdem aus, ob Benutzer das Verwaltungsprofil löschen können (Gesperrte Registrierung). Die Unternehmensportal-App wird bei Registrierungen ohne Benutzeraffinität nicht verwendet, benötigt oder unterstützt.

Aufgaben für Endbenutzer bei Verwendung der ADE

Diese Aufgaben sind davon abhängig, wie Administratoren Benutzer auffordern, die Unternehmensportal-App zu installieren. In der Regel gilt: Je weniger Schritte Endbenutzer für die Registrierung ausführen müssen, desto höher ist die Wahrscheinlichkeit, dass sie sich registrieren möchten.

Genauere Informationen zu den Endbenutzerschritten finden Sie unter Registrieren Ihres macOS-Geräts mithilfe der Unternehmensportal-App.

  • Mit Benutzeraffinität registrieren + Setup-Assistent (Legacy):

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (user@iCloud.com oder user@gmail.com) ein.

    2. Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf und registriert das Gerät bei Intune. Das Gerät ist nicht in der Microsoft Entra-ID registriert.

      Wenn Sie den Setup-Assistenten für die Authentifizierung verwenden, unterbrechen Sie hier den Vorgang.

    3. Optional. Wenn Sie die Unternehmensportal-App für die Authentifizierung verwenden (anstelle des Setup-Assistenten), wird die Unternehmensportal-App mithilfe der von Ihnen konfigurierten Option installiert.

      Benutzer öffnen die Unternehmensportal-App und melden sich mit ihren Anmeldeinformationen an (user@contoso.com). Nachdem sie sich angemeldet haben, werden sie authentifiziert und können auf Organisationsressourcen zugreifen.

      Beachten Sie, dass die Installation der Unternehmensportal-App optional ist. Wenn Sie möchten, dass sich Benutzer mithilfe der Unternehmensportal-App authentifizieren, anstatt den Setup-Assistenten zu verwenden, fügen Sie die Unternehmensportal-App hinzu.

  • Mit Benutzeraffinität registrieren + Setup-Assistent mit moderner Authentifizierung:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (user@iCloud.com oder user@gmail.com) und ihre Microsoft Entra-Anmeldeinformationen für ihre Organisation (user@contoso.com) ein.

      Wenn Benutzer ihre Microsoft Entra-Anmeldeinformationen eingeben, wird die Registrierung gestartet.

    2. Der Setup-Assistent kann den Benutzer zur Eingabe zusätzlicher Informationen auffordern. Wenn dies abgeschlossen ist, können Benutzer das Gerät verwenden. Wenn der Startbildschirm erscheint, ist die Registrierung abgeschlossen, und die Benutzergerätaffinität wird hergestellt. Benutzern werden Ihre Apps und Richtlinien auf dem Gerät angezeigt.

    3. Benutzer öffnen die Unternehmensportal-App, die Sie installiert haben, und melden sich nochmals mit ihren Anmeldeinformationen an (user@contoso.com).

  • Ohne Benutzeraffinität registrieren: Keine Aktionen erforderlich. Stellen Sie sicher, dass die Benutzer die Unternehmensportal-App nicht installieren.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungsleitfaden: Schritt 5: Erstellen eines Rolloutplans.

Direkte Registrierung

Verwendung auf Geräten im Besitz Ihrer Organisation, für die keine Benutzer-Geräte-Affinität erforderlich ist.

Diese Geräte sind im Besitz der Organisation und verwenden Apple Configurator. Der einzige Zweck besteht darin, ein Gerät im Kiosk-Stil zu sein. Sie sind nicht einem einzelnen oder bestimmten Benutzer zugeordnet. Diese Geräte werden unter anderem häufig zum Scannen von Elementen, Drucken von Tickets, Abrufen digitaler Signaturen und Verwalten des Inventars verwendet.

Genauere Informationen zu diesem Registrierungstyp finden Sie unter Verwenden der direkten Registrierung für macOS-Geräte.


Feature Verwendung der Registrierungsoption in den folgenden Fällen:
Sie benötigen eine Kabelverbindung, oder es liegen Netzwerkprobleme vor.
Ihre Organisation möchte verhindern, dass Administratoren das ABM- oder ASM-Portal verwenden. Außerdem soll verhindert werden, dass alle Anforderungen eingerichtet werden müssen.

Das Ziel des Ansatzes, das ABM- oder ASM-Portal nicht zu verwenden, besteht darin, die Kontrolle der Administratoren einzuschränken.
Ein Land/eine Region unterstützt apple Business Manager (ABM) oder Apple School Manager (ASM) nicht.

Wenn Ihr Land/Ihre Region ABS oder ASM unterstützt, sollten Geräte mithilfe der automatisierten Geräteregistrierung (in diesem Artikel) registriert werden.
Die Geräte gehören der Organisation oder der Schule.
Sie verfügen über neue oder vorhandene Geräte.
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung).

Wenn Sie über eine große Anzahl von Geräten verfügen, dauert diese Methode einige Zeit.
Die Geräte sind einem einzelnen Benutzer zugeordnet.

Nicht empfohlen. Geräte, für die Benutzeraffinität erforderlich ist, sollten mithilfe der automatisierten Geräteregistrierung (Automated Device Enrollment, ADE) registriert werden.
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte).
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Nicht empfohlen. BYOD oder persönliche Geräte sollten mithilfe von MAM (öffnet einen anderen Microsoft-Artikel) oder BYOD: Geräteregistrierung (in diesem Artikel) registriert werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ kann MAM verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da diese Geräte dem Unternehmen gehören, wird die Registrierung bei Intune empfohlen.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Das DEM-Konto wird nicht unterstützt.

Aufgaben des Direkten Registrierungsadministrators

Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter direkte macOS-Registrierung.

  • Stellen Sie sicher, dass Ihre Geräte unterstützt werden.

  • Stellen Sie sicher, dass das Apple MDM-Pushzertifikat zu Intune hinzugefügt und aktiv ist. Dieses Zertifikat ist erforderlich, um macOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple MDM-Pushzertifikats.

  • Erstellen Sie im Intune Admin Center ein Registrierungsprofil. Wählen Sie Ohne Benutzeraffinität registrieren (benutzerlose Geräte oder gemeinsam genutzte Geräte) aus. Bei Geräten ohne Benutzer:

    • Benutzer können keine Apps verwenden, die einen Benutzer erfordern (einschließlich der Unternehmensportal-App). Die Unternehmensportal-App wird bei Registrierungen ohne Benutzeraffinität nicht verwendet, benötigt oder unterstützt. Stellen Sie sicher, dass Benutzer die Unternehmensportal-App nicht aus dem Apple App Store installieren.
    • Mit Benutzeraffinität registrieren ist in der Benutzeroberfläche verfügbar, funktioniert aber nicht. Wählen Sie diese Option nicht aus. Wenn Sie Benutzeraffinität benötigen, nutzen Sie die automatisierte Geräteregistrierung (in diesem Artikel).
  • Wenn das Registrierungsprofil bereit ist, exportieren Sie die Richtlinie, und kopieren Sie die Datei auf das macOS-Gerät. Doppelklicken Sie auf die Datei, um die Registrierungsrichtlinie zu installieren.

Weitere Informationen zu dieser Registrierungsoption und ihren Voraussetzungen findest du unter direkte macOS-Registrierung.

Aufgaben für Endbenutzer bei der direkten Registrierung

  • Registrieren ohne Benutzeraffinität: Keine Aktionen erforderlich. Stellen Sie sicher, dass die Unternehmensportal-App nicht über den Apple App Store installiert wird.

    Registrieren Sie macOS-Geräte im Intune Admin Center und in Microsoft Intune mithilfe der direkten Registrierung. Wählen Sie ohne Benutzeraffinität registrieren aus.