Bereitstellungsanleitung: Verwalten von macOS-Geräten in Microsoft Intune
Sichern Sie den Zugriff auf Arbeits-E-Mails, Daten und Apps auf macOS-Geräten. Dieser Artikel führt Sie durch macOS-spezifische Aufgaben, mit denen Sie die Intune-Verwaltung von mobilen Geräten für macOS aktivieren, Richtlinien konfigurieren und Apps bereitstellen können.
Voraussetzungen
Erfüllen Sie die folgenden Voraussetzungen zum Aktivieren der macOS-Geräteverwaltung in Intune:
- Benutzer und Gruppen hinzufügen
- Benutzern Lizenzen zuweisen
- Autorität für die Verwaltung mobiler Geräte festlegen
- Globale Administrator- oder Intune-Administratorberechtigungen Microsoft Entra
- Apple-MDM-Pushzertifikat (APNs) einrichten
Ausführlichere Informationen zu Ersteinrichtung und Onboarding von oder Wechseln zu Microsoft Intune finden Sie im Bereitstellungsleitfaden: Einrichten von Microsoft Intune.
Planen Ihrer Bereitstellung
Verwenden Sie den Planungsleitfaden zu Microsoft Intune zum Definieren Ihrer Geräteverwaltungsziele, Anwendungsfallszenarien und Anforderungen. Er hilft Ihnen auch bei der Planung von Rollout, Kommunikation, Support, Tests und Validierung. Weil beispielsweise die Unternehmensportal-App für macOS im App Store nicht verfügbar ist, empfehlen wir, einen Kommunikationsplan zu verwenden, damit Endbenutzer wissen, wie sie Unternehmensportal installieren und ihre Geräte registrieren können.
Registrieren von Geräten
Konfigurieren Sie die Registrierungsmethoden und -oberfläche für unternehmenseigene und persönliche macOS-Geräte. Mit diesem Schritt wird sichergestellt, dass Geräte nach ihrer Registrierung Intune-Richtlinien und -Konfigurationen erhalten. Intune unterstützt die BYOD-Registrierung (Bring Your Own Device), die automatisierte Geräteregistrierung von Apple und die direkte Registrierung für unternehmenseigene Geräte. Informationen zu den einzelnen Registrierungsmethoden und zur Auswahl der geeigneten Methode für Ihre Organisation finden Sie im Leitfaden für die Registrierung von macOS-Geräten bei Microsoft Intune.
| Aufgabe | Detail |
|---|---|
| Einrichten der Registrierung für benutzereigene Geräte (BYOD) | Erfüllen Sie die Voraussetzungen in diesem Artikel, um die Registrierung für benutzereigene Geräte zu aktivieren. Sie finden auch Registrierungsressourcen und Links, die Sie für Gerätebenutzer freigeben können, damit sie während des gesamten Registrierungsvorgangs unterstützt werden. Diese Registrierungsmethode ist für Organisationen mit BYOD-Richtlinien (Bring Your Own Device) vorgesehen. BYOD ermöglicht es Benutzern, ihre persönlichen Geräte für arbeitsbezogene Dinge zu verwenden. |
| Einrichten der automatisierten Geräteregistrierung (Automated Device Enrollment, ADE) von Apple | Richten Sie eine sofort einsatzbereite Registrierungsoberfläche zur Automatisierung der Registrierung für unternehmenseigene Geräte ein, die über Apple School Manager oder Apple Business Manager gekauft wurden. Diese Methode eignet sich ideal für Organisationen, die eine große Anzahl von Geräten zum Registrieren haben, weil dabei nicht mehr jedes Gerät einzeln berührt und konfiguriert werden muss. |
| Einrichten der direkten Registrierung für unternehmenseigene Geräte | Richten Sie eine Registrierungsoberfläche für unternehmenseigene Geräte ein, die keinem einzelnen Benutzer zugeordnet sind, z. B. Geräte, die in einem gemeinsam genutzten Bereich oder im Einzelhandel verwendet werden. Weil die direkte Registrierung das Gerät nicht zurücksetzt, ist sie ideal geeignet, wenn Geräte nicht auf lokale Benutzerdaten zugreifen müssen. Sie müssen das Registrierungsprofil auf den Mac direkt übertragen. Dazu ist eine USB-Verbindung mit einem Mac-Computer erforderlich, auf dem Apple Configurator ausgeführt wird. |
| Hinzufügen eines Geräteregistrierungs-Managers | Personen, die als Geräteregistrierungs-Manager (Device Enrollment Manager, DEM) bestimmt wurden, können bis zu 1.000 unternehmenseigene mobile Geräte gleichzeitig registrieren. DEM-Konten sind in Organisationen nützlich, die Geräte registrieren und vorbereiten, bevor sie Benutzern übergeben werden. |
| Identifizieren von Geräten als unternehmenseigen | Sie können Geräten den Status „Unternehmenseigen“ zuweisen, um mehr Verwaltungs- und Identifikationsfunktionen in Intune zu ermöglichen. Der Status „Unternehmenseigen“ kann Geräten, die über Apple Business Manager registriert wurden, nicht zugewiesen werden. |
| Ändern des Gerätebesitzes | Nachdem ein Gerät registriert wurde, können Sie seine Besitzbezeichnung in Intune in unternehmenseigene oder persönliche Geräte ändern. Diese Anpassung ändert die Art und Weise, wie Sie das Gerät verwalten können. |
| Behandeln von Problemen bei der Registrierung | Beheben Sie Probleme, die während der Registrierung auftreten, und finden Sie Lösungen. |
Erstellen von Konformitätsregeln
Erstellen Sie Konformitätsrichtlinien zum Definieren der Regeln und Bedingungen, die Benutzer und Geräte erfüllen müssen, damit sie auf Ihre geschützten Ressourcen zugreifen können. Auf diese Weise stellen Sie sicher, dass Geräte, die auf Ihre Daten zugreifen, Ihre Standards erfüllen. Intune kennzeichnet Geräte, die Ihre Anforderungen unterschreiten, als nicht konform und führt entsprechend Ihren Konfigurationen Aktionen aus (z. B. Senden einer Benachrichtigung an den Benutzer, Einschränken des Zugriffs oder Zurücksetzen des Geräts).
Wenn Sie eine Richtlinie für bedingten Zugriff erstellen, kann sie zusammen mit Ihren Gerätekonformitätsergebnissen verwendet werden, um den Zugriff auf Ressourcen über nicht konforme Geräte zu blockieren. Eine ausführliche Erläuterung zu Konformitätsrichtlinien und den ersten Schritten finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.
| Aufgabe | Detail |
|---|---|
| Erstellen einer Konformitätsrichtlinie | Hier erhalten Sie eine Schritt-für-Schritt-Anleitung zum Erstellen und Zuweisen einer Konformitätsrichtlinie zu Benutzer- und Gerätegruppen. |
| Hinzufügen von Aktionen für die Nichtkonformität | Wählen Sie aus, was geschieht, wenn Geräte die Bedingungen Ihrer Konformitätsrichtlinie nicht mehr erfüllen. Sie können Aktionen für die Nichtkonformität hinzufügen, wenn Sie eine Richtlinie für die Gerätekonformität konfigurieren, oder Sie fügen sie später durch Bearbeiten der Richtlinie hinzu. |
| Erstellen einer gerätebasierten oder App-basierten Richtlinie für bedingten Zugriff | Geben Sie die App oder Dienste an, die Sie schützen möchten, und definieren Sie die Zugriffsbedingungen. |
| Blockieren des Zugriffs auf Apps, die keine moderne Authentifizierung verwenden | Erstellen Sie eine App-basierte Richtlinie für bedingten Zugriff, um Apps zu blockieren, die andere Authentifizierungsmethoden als OAuth2 verwenden. z. B. Apps, welche die einfache und formularbasierte Authentifizierung verwenden. Bevor Sie den Zugriff blockieren, melden Sie sich jedoch bei Microsoft Entra ID an, und überprüfen Sie den Aktivitätsbericht für Authentifizierungsmethoden, um festzustellen, ob Benutzer die Standardauthentifizierung verwenden, um auf wichtige Dinge zuzugreifen, die Sie vergessen haben oder die Sie nicht kennen. Beispielsweise verwenden Kioske für Besprechungsraumkalender die Standardauthentifizierung. |
Konfigurieren von Geräteeinstellungen
Mithilfe von Microsoft Intune können Sie Einstellungen und Features auf macOS-Geräten, die für die Arbeit genutzt werden, aktivieren oder deaktivieren. Zum Konfigurieren und Erzwingen dieser Einstellungen erstellen Sie ein Gerätekonfigurationsprofil, und weisen Sie es dann Gruppen in Ihrer Organisation zu.
| Aufgabe | Detail |
|---|---|
| Erstellen eines Geräteprofils in Microsoft Intune | Erfahren Sie mehr über die verschiedenen Arten von Geräteprofilen, die Sie für Ihre Organisation erstellen können. |
| Konfigurieren von Gerätefeatures | Konfigurieren Sie allgemeine macOS-Features und -Funktionen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu Gerätefunktionen. |
| Konfigurieren des Wi-Fi Profils | Dieses Profil ermöglicht es Personen, das Wi-Fi-Netzwerk Ihrer Organisation zu finden und eine Verbindung dazu herzustellen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu Wi-Fi-Geräteeinstellungen. |
| Konfigurieren des Profils für kabelgebundene Netzwerke | Mithilfe dieses Profils können Benutzer auf Desktopcomputern eine Verbindung mit dem kabelgebundenen Netzwerk Ihrer Organisation herstellen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu kabelgebundenen Netzwerken. |
| Konfigurieren des VPN-Profils | Richten Sie eine sichere VPN-Option, z. B. Microsoft Tunnel, für Personen ein, die eine Verbindung mit dem Netzwerk Ihrer Organisation herstellen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu VPN-Einstellungen. |
| Einschränken von Gerätefunktionen | Schützen Sie Benutzer vor nicht autorisiertem Zugriff und Ablenkungen, indem Sie die Gerätefunktionen einschränken, die sie im Unternehmen in der Bildungseinrichtung verwenden können. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu Gerätebeschränkungen. |
| Benutzerdefiniertes Profil konfigurieren | Fügen Sie Geräteeinstellungen und -funktionen hinzu, die in Intune nicht integriert sind, und weisen Sie sie dann zu. |
| Hinzufügen und Verwalten von macOS-Erweiterungen | Fügen Sie Kernel- und Systemerweiterungen hinzu, die Benutzern das Installieren von App-Erweiterungen ermöglichen, mit denen die nativen Funktionen des Betriebssystems erweitert werden. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu macOS-Erweiterungen. |
| Anpassen des Brandings und der Registrierungsumgebung | Passen Sie das Intune-Unternehmensportal und die Microsoft Intune-App-Umgebung an die eigenen Wörter, das Branding, die Bildschirmeinstellungen und Kontaktinformationen Ihrer Organisation an. |
Konfigurieren von Endpunktsicherheit
Verwenden Sie die Intune-Endpunktsicherheitsfunktionen, um die Gerätesicherheit zu konfigurieren und Sicherheitsaufgaben für gefährdete Geräte zu verwalten.
| Aufgabe | Detail |
|---|---|
| Verwalten von Geräten mit Endpunktsicherheitsfunktionen | Verwenden Sie die Endpunktsicherheitseinstellungen in Intune, um die Gerätesicherheit effektiv zu verwalten und Probleme bei Geräten zu beheben. |
| Verwenden des bedingten Zugriffs zur Einschränkung des Zugriffs auf Microsoft Tunnel | Verwenden Sie Richtlinien für bedingten Zugriff, um den Gerätezugriff auf Ihr Microsoft Tunnel-VPN-Gateway zu schützen. |
| Hinzufügen von Endpoint Protection-Einstellungen | Konfigurieren Sie allgemeine Endpoint Protection-Sicherheitsfeatures, darunter Firewall, Gatekeeper und FileVault. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu Endpoint Protection-Einstellungen. |
Einrichten sicherer Authentifizierungsmethoden
Richten Sie Authentifizierungsmethoden in Intune ein, um sicherzustellen, dass nur autorisierte Personen auf Ihre internen Ressourcen zugreifen. Intune unterstützt die mehrstufige Authentifizierung, Zertifikate und abgeleitete Anmeldeinformationen. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.
| Aufgabe | Detail |
|---|---|
| Mehrstufige Authentifizierung (MFA) erforderlich | Fordern Sie an, dass Personen zum Zeitpunkt der Registrierung zwei Arten von Anmeldeinformationen bereitstellen müssen. |
| Erstellen eines vertrauenswürdigen Zertifikatprofils | Sie müssen ein vertrauenswürdiges Zertifikatprofil erstellen und bereitstellen, bevor Sie ein importiertes SCEP- oder PKCS-Zertifikatprofil erstellen können. Das vertrauenswürdige Zertifikatprofil stellt das vertrauenswürdige Stammzertifikat für Geräte und Benutzer mit importierten SCEP-, PKCS- und PKCS-Zertifikaten bereit. |
| Verwenden von SCEP-Zertifikaten mit Intune | Erfahren Sie, was für die Verwendung von SCEP-Zertifikaten mit Intune benötigt wird, und konfigurieren Sie die erforderliche Infrastruktur. Anschließend können Sie ein SCEP-Zertifikatprofil erstellen oder eine Zertifizierungsstelle eines Drittanbieters mit SCEP einrichten. |
| Verwenden von PKCS-Zertifikaten mit Intune | Konfigurieren Sie erforderliche Infrastrukturelemente (wie lokale Zertifikat-Connectors), exportieren Sie ein PKCS-Zertifikat und fügen Sie dieses anschließend zu einem Intune-Gerätekonfigurationsprofil hinzu. |
| Verwenden importierter PKCS-Zertifikate mit Intune | Richten Sie importierte PKCS-Zertifikate ein, mit denen Sie S/MIME zum Verschlüsseln von E-Mails einrichten und verwenden können. |
Bereitstellen von Apps
Denken Sie beim Einrichten von Apps und App-Richtlinien an die Anforderungen Ihrer Organisation, z. B. die Plattformen, die Sie unterstützen, die Aufgaben, die Personen ausführen, die Art der Apps, die sie zum Ausführen dieser Aufgaben benötigen, und deren Anforderungen. Sie können Intune verwenden, um das gesamte Gerät (einschließlich Apps) zu verwalten, oder Intune nur zum Verwalten von Apps verwenden.
| Aufgabe | Detail |
|---|---|
| Hinzufügen der Intune-Unternehmensportal-App | Informieren Sie sich, wie Sie Unternehmensportal auf Geräten abrufen oder Benutzer anweisen, wie sie dies selbst durchführen können. |
| Hinzufügen von Microsoft Edge | Fügen Sie Microsoft Edge in Intune hinzu, und weisen Sie es dann zu. |
| Hinzufügen von Microsoft 365 | Fügen Sie Microsoft 365-Apps in Intune hinzu, und weisen Sie sie dann zu. |
| Hinzufügen von branchenspezifischen Apps | Fügen Sie branchenspezifische macOS-Apps in Intune hinzu, und weisen Sie sie dann zu. |
| Zuweisen von Apps zu Gruppen | Nachdem Sie Apps zu Intune hinzugefügt haben, weisen Sie diese Benutzern und Geräten zu. |
| Einschließen und Ausschließen von App-Zuweisungen | Steuern Sie den Zugriff und die Verfügbarkeit einer App, indem Sie ausgewählte Gruppen aus der Zuweisung ein- und ausschließen. |
| Verwenden von Shellskripts auf macOS-Geräten | Verwenden Sie Shellskripts, um Funktionen zur Geräteverwaltung in Intune über die vom macOS-Betriebssystem unterstützten Funktionen hinaus zu erweitern. |
Durchführen von Remote-Aktionen
Nachdem Geräte eingerichtet wurden, können Sie macOS-Geräte mithilfe von Remoteaktionen in Intune aus der Ferne verwalten und Probleme beheben. In den folgenden Artikeln werden die Remoteaktionen in Intune vorgestellt. Wenn eine Aktion im Portal fehlt oder deaktiviert wurde, wird sie unter macOS nicht unterstützt.
| Aufgabe | Detail |
|---|---|
| Durchführen von Remote-Aktionen auf Geräten | Erfahren Sie, wie Sie einen Drilldown ausführen und einzelne Geräte in Intune remote verwalten und Probleme beheben. In diesem Artikel werden alle in Intune verfügbaren Remoteaktionen und Links zu diesen Verfahren aufgeführt. |
| Verwenden von TeamViewer für die Remoteverwaltung von Intune-Geräten | Konfigurieren Sie TeamViewer in Intune und erfahren Sie, wie Sie ein Gerät fern verwalten können. |
| Verwenden von Sicherheitsaufgaben zum Anzeigen von Bedrohungen und Sicherheitsrisiken | Integrieren Sie Intune in Microsoft Defender für Endpunkt, um das Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt zu nutzen und mithilfe von Intune die mit dieser Komponente identifizierten Schwachstellen von Endpunkten zu beseitigen. |
Nächste Schritte
Ein Tutorial zum Navigieren und Verwenden von Intune finden Sie unter Exemplarische Vorgehensweise im Intune Admin Center . Tutorials sind Inhalte der Ebene 100 bis 200 für Personen, die mit Intune oder einem bestimmten Szenario noch nicht vertraut sind.
Tutorials zur App-Bereitstellung finden Sie in den folgenden Microsoft Tech Community Blogs, die vom Intune-Supportteam geschrieben wurden:
Deploying macOS apps with the Intune scripting agent (Bereitstellen von macOS-Apps mit dem Intune-Agent zur Skripterstellung)
Bereitstellen von Microsoft 365 Apps für Mac mit Microsoft Intune – Ausführliche Informationen
Weitere Versionen dieser Anleitung finden Sie unter:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für