Tutorial: Einrichten Microsoft Intune Registrierung für iOS-/iPadOS-Geräte in Apple Business

Verwenden Sie Apple Business mit Microsoft Intune, um die Geräteregistrierung für iOS-/iPadOS-Geräte zu vereinfachen und zu automatisieren, die über Apple Business beschafft werden. Die automatisierte Geräteregistrierung, die wir in diesem Tutorial einrichten, ermöglicht die sichere automatische Registrierung, wenn der Benutzer das Gerät zum ersten Mal einschaltet, indem er die Registrierungsrichtlinie over-the-air auf dem Gerät bereitstellt.

In diesem Lernprogramm lernen Sie:

  • Abrufen eines Apple-Geräteregistrierungstokens
  • Synchronisieren verwalteter Geräte mit Intune
  • Erstellen einer Registrierungsrichtlinie
  • Zuweisen der Registrierungsrichtlinie zu Geräten

Am Ende dieses Tutorials können Geräte für die Registrierung verteilt werden.

Voraussetzungen

Wenn Sie über kein Intune-Abonnement verfügen, registrieren Sie sich für eine kostenlose Testversion.

Schritt 1: Hinzufügen eines MDM-Servers

Erstellen Sie ein MDM-Serverprofil für Microsoft Intune in Apple Business. Das Token, das Sie in diesem Schritt herunterladen, aktiviert die Verbindung zwischen Microsoft Intune und Apple Business in einem späteren Schritt.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräte.

  3. Erweitern Sie Geräte-Onboarding, und wählen Sie dann Registrierung aus.

  4. Wählen Sie Apple Mobile aus.

  5. Wählen Sie Registrierungsprogrammtoken aus.

  6. Wählen Sie Erstellen aus.

  7. Wählen Sie Ich stimme zu, um Microsoft die Berechtigung zum Senden von Benutzer- und Geräteinformationen an Apple zu erteilen.

  8. Wählen Sie Öffentlichen Schlüssel herunterladen aus, um das Öffentliche Schlüsselzertifikat des Servers (eine PEM-Datei) auf Ihr lokales Laufwerk herunterzuladen.

  9. Wählen Sie Token über Apple Business erstellen aus, und melden Sie sich mit Ihrer Unternehmens-Apple-ID bei Apple Business an.

    Wichtig

    Während Sie sich in Apple Business befinden, schließen Sie die Browserregisterkarte nicht mit Microsoft Intune. Sie werden später darauf zurückkommen.

  10. Fügen Sie einen MDM-Server namens TestMDMServer hinzu, und laden Sie das Servertoken dafür in Apple Business herunter. Ausführliche Informationen und Anweisungen finden Sie unter Link zu einem MDM-Server eines Drittanbieters (öffnet apple Business User Guide). Speichern Sie das Servertoken lokal als P7M-Datei (.p7m). Fahren Sie dann mit Schritt 2: Zuweisen von Geräten fort.

Schritt 2: Zuweisen von Geräten

Während Sie sich in Apple Business befinden, weisen Sie Geräte Ihrem neuen MDM-Server (TestMDMServer oder wie auch immer Sie ihn benannt haben) zu. Weitere Informationen und Anweisungen finden Sie unter Zuweisen, Neuzuweisen oder Aufheben der Zuweisung von Geräten in Apple Business (öffnet Apple Business-Benutzerhandbuch). Wenn Sie mit dem Zuweisen von Geräten fertig sind, fahren Sie mit Schritt 3: Hochladen des MDM-Servertokens fort.

Schritt 3: Hochladen des MDM-Servertokens

Kehren Sie zum Microsoft Intune Admin Center zurück, um das MDM-Servertoken in Intune hochzuladen. Nachdem Sie das Token hochgeladen haben, können Microsoft Intune iOS-/iPadOS-Geräte synchronisieren und registrieren, die TestMDMServer zugewiesen sind.

  1. Geben Sie unter Apple ID die Apple-ID ein, die Sie zum Erstellen des Tokens verwendet haben.
  2. Laden Sie für das Apple-Token das Zuvor gespeicherte Servertoken hoch. Die Datei muss im P7M-Format vorliegen.
  3. Wählen Sie Weiter aus.
  4. Wenden Sie optional Bereichstags auf das Registrierungstoken an, um andere Administratoren daran zu hindern, darauf zuzugreifen oder Änderungen daran vorzunehmen. Weitere Informationen zu Bereichstags finden Sie unter Verwenden von rollenbasierten Zugriffssteuerungen (RBAC) und Bereichstags für verteilte IT.
  5. Wählen Sie Weiter aus.
  6. Wählen Sie unter Überprüfen + erstellendie Option Erstellen aus, um die Verknüpfung von Microsoft Intune und Apple Business abzuschließen.

Microsoft Intune wird automatisch mit Apple Business synchronisiert. Es kann bis zu 12 Stunden dauern, bis Geräte im Admin Center angezeigt werden. Sie können warten, bis diese Geräte synchronisiert wurden, oder die Synchronisierung manuell starten. Um die Synchronisierung selbst zu starten, wählen Sie Ihr Token aus der Liste im Admin Center und dann Gerätesynchronisierung> aus.

Schritt 4: Erstellen einer Apple-Registrierungsrichtlinie

Erstellen Sie eine Registrierungsrichtlinie für unternehmenseigene iOS-/iPadOS-Geräte. Eine Geräteregistrierungsrichtlinie definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden.

  1. Wählen Sie Ihr Token im Admin Center und dann Registrierungsrichtlinien aus.

  2. Wählen Sie Richtlinie> erstelleniOS/iPadOS aus.

  3. Geben Sie auf der Seite GrundlagentestPolicy für Name und Test ADE für iOS/iPadOS-Geräte unter Beschreibung ein. Benutzer können diese Informationen nicht sehen.

  4. Wählen Sie Weiter aus.

  5. Entscheiden Sie, ob Ihre Geräte mit oder ohne Benutzeraffinität registriert werden sollen. „Benutzeraffinität“ ist für Geräte vorgesehen, die von bestimmten Benutzern verwendet werden. Wenn Ihre Benutzer das Unternehmensportal für Dienste wie das Installieren von Apps verwenden möchten, wählen Sie Mit Benutzeraffinität registrieren aus. Wenn Ihre Benutzer die Unternehmensportal nicht benötigen oder Sie das Gerät für viele Benutzer bereitstellen möchten, wählen Sie Ohne Benutzeraffinität registrieren aus.

    • Wenn Sie sich für die Registrierung mit Benutzeraffinität entschieden haben, wird die Option Wählen Sie aus, wo Benutzer sich authentifizieren müssen angezeigt. Entscheiden Sie, ob Sie sich mit Unternehmensportal oder Apple Setup Assistant (Legacy) oder dem Setup-Assistenten mit moderner Authentifizierung authentifizieren möchten. Weitere Informationen zu Authentifizierungsmethoden finden Sie unter Authentifizierungsmethoden für die automatisierte Geräteregistrierung in Intune.

  6. Wenn Sie die Registrierung mit Benutzeraffinität und die Authentifizierung über das Unternehmensportal ausgewählt haben, wird die Option Unternehmensportal mit VPP installieren angezeigt. Wenn Sie das Unternehmensportal mit einem VPP-Token installieren, muss Ihr Benutzer keine Apple-ID und kein Kennwort eingeben, um das Unternehmensportal während der Registrierung aus dem App Store herunterzuladen. Wählen Sie unter Unternehmensportal mit VPP installieren die Option Token verwenden aus, um ein VPP-Token auszuwählen, dem kostenlose Lizenzen des Unternehmensportals zur Verfügung stehen. Wenn Sie VPP zum Bereitstellen des Unternehmensportals nicht verwenden möchten, wählen Sie die Option VPP nicht verwenden aus.

    • Wenn Sie ausgewählt haben, dass Sie mit „Benutzeraffinität“, „Über das Unternehmensportal authentifizieren“ und „Unternehmensportal mit VPP installieren“ registrieren möchten, entscheiden Sie, ob Sie das Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen möchten. Mit dieser Einstellung können Sie sicherstellen, dass der Benutzer erst dann Zugriff auf andere Apps hat, wenn er die Unternehmensregistrierung abgeschlossen hat. Wenn Sie den Benutzer bis zum Abschluss der Registrierung auf diesen Ablauf einschränken möchten, wählen Sie unter Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen die Option Ja aus.

  7. Wählen Sie unter Geräteverwaltung Einstellungen die Option Ja für Überwacht aus. Überwachung bietet Ihnen mehr Verwaltungsoptionen und deaktiviert die Apple-Aktivierungssperre standardmäßig. Microsoft empfiehlt die Verwendung der automatisierten Geräteregistrierung als Mechanismus zum Aktivieren des überwachten Modus von Intune, insbesondere für Organisationen, die eine große Anzahl von iOS-/iPadOS-Geräten bereitstellen.

  8. Wählen Sie ja unter Gesperrte Registrierung aus, um sicherzustellen, dass Ihre Benutzer die Geräteverwaltung nicht von ihrem Unternehmensgerät entfernen können.

  9. Standardmäßig benennt Apple das Gerät mit dem Gerätetyp, z. B. iPad. Wenn Sie eine andere Namensvorlage bereitstellen möchten, wählen Sie unter Vorlage für Gerätenamen anwenden die Option Ja aus. Geben Sie den Namen ein, den Sie auf die Geräte anwenden möchten. Dabei stehen die Zeichenfolgen {{SERIAL}} und {{DEVICETYPE}} für die Seriennummer und den Gerätetyp jedes Geräts. Wählen Sie andernfalls unter Vorlage für Gerätenamen anwenden die Option Nein aus.

  10. Wählen Sie Weiter aus.

  11. Geben Sie auf der Seite Setup-Assistent unter Abteilungsname den NamenTutorialabteilung ein. Diese Zeichenfolge wird Benutzern angezeigt, wenn sie während der Geräteaktivierung auf About configuration (Informationen zur Konfiguration) tippen.

  12. Geben Sie unter Abteilungstelefonnummer eine Telefonnummer ein. Diese Nummer wird angezeigt, wenn Benutzer während der Aktivierung auf Need help (Hilfe) tippen.

  13. Sie können während der Geräteaktivierung verschiedene Bildschirme ein- oder ausblenden . Um die nahtloseste Registrierung zu ermöglichen, legen Sie für alle Bildschirme Ausblenden fest.

  14. Wählen Sie Weiter aus.

  15. Überprüfen Sie die Richtlinieneinstellungen. Um die Richtlinie zu speichern, wählen Sie Erstellen aus.

Schritt 5: Zuweisen einer Registrierungsrichtlinie zu iOS-/iPadOS-Geräten

Sie müssen Geräten eine richtlinie für die automatische Geräteregistrierung zuweisen, bevor sie sich registrieren können. Diese Geräte werden mit Intune von Apple synchronisiert und müssen dem richtigen MDM-Servertoken in Apple Business oder Apple School Manager zugewiesen werden.

  1. Kehren Sie im Admin Center zu Registrierungsprogrammtoken zurück. Wählen Sie Ihr Token aus der Liste aus.
  2. Wählen Sie Geräte und dann die Geräte aus, die Sie zuweisen möchten.
  3. Wählen Sie Richtlinie zuweisen aus. Wählen Sie dann eine Richtlinie für die Geräte aus.
  4. Wählen Sie Zuweisen aus.

Hinweis

Stellen Sie sicher, dass für Gerätetypeinschränkungen in den Registrierungseinschränkungen Ihres Mandanten nicht die Standardrichtlinie Alle Benutzer festgelegt ist, um die iOS-/iPadOS-Plattform zu blockieren. Diese Einstellung führt dazu, dass die automatische Registrierung fehlschlägt, und Ihr Gerät wird unabhängig vom Benutzernachweis als ungültiges Profil angezeigt. Um die Registrierung nur für vom Unternehmen verwaltete Geräte zuzulassen, blockieren Sie nur persönliche Geräte, damit Unternehmensgeräte sich registrieren können. Microsoft definiert ein Unternehmensgerät als Gerät, das über ein Geräteregistrierungsprogramm oder ein Gerät registriert wird, das manuell im Admin Center unter Unternehmensgeräte-IDs eingegeben wird.

Schritt 6: Verteilen von Geräten an Benutzer

Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune eingerichtet und eine Richtlinie zugewiesen, um Ihre ADE-Geräte registrieren zu lassen. Sie können jetzt Geräte an Benutzer verteilen. Für Geräte mit Benutzeraffinität muss jedem Benutzer eine Intune-Lizenz zugewiesen werden.

Zusätzlich zum Zuweisen von Geräten zu Ihrem MDM-Server und zum Erstellen einer Registrierungsrichtlinie können Sie optional die Apple-Zugriffsverwaltungseinstellungen in Apple Business (oder Apple School Manager) verwenden, um den Dienstzugriff für Apple-Konten auf organization geräten zu konfigurieren. Microsoft Intune erzwingt diese Einstellungen nach der Registrierung. Weitere Informationen finden Sie unter Konfigurieren des Dienstzugriffs für Apple-Konten.

  • Last updated on