End-to-End-Leitfaden für die ersten Schritte mit macOS-Endpunkten

Mithilfe von Microsoft Intune können Sie macOS-Endpunkte verwalten und schützen, die sich im Besitz Ihres organization oder Ihrer Schule befinden. Wenn Sie oder Ihre organization die Geräte verwalten, können Sie die Apps bereitstellen, die Ihre Endbenutzer benötigen, die gewünschten Gerätefeatures konfigurieren und Richtlinien verwenden, die Dazu beitragen, Ihre Geräte & organization vor Bedrohungen zu schützen.

Dieser Artikel gilt für:

• macOS-Geräte im Besitz Ihres organization

Dieser Artikel ist ein End-to-End-Leitfaden, der Ihnen bei den ersten Schritten mit Ihren macOS-Endpunkten hilft. Der Schwerpunkt liegt auf:

• Mit Apple Business Manager oder Apple School Manager verwaltete Endpunkte
• Geräte, die bei Intune mithilfe der automatisierten Geräteregistrierung mit Benutzeraffinität registriert wurden. Benutzeraffinität wird in der Regel für Geräte mit einem primären Benutzer verwendet.

Dieser Artikel führt Sie durch die End-to-End-Schritte zum Erstellen und Verwalten Ihrer macOS-Endpunkte mithilfe von Microsoft Intune.

Verwenden dieses Leitfadens

Dieser Leitfaden umfasst sieben Phasen. Jede Phase umfasst eine Reihe von Schritten, mit denen Sie die Konfiguration und Bereitstellung Ihres macOS-Endpunkts erstellen können. Jede Phase baut auf der vorherigen Phase auf.

Führen Sie die Phasen und Schritte in der richtigen Reihenfolge aus. Die Phasen umfassen:

• Phase 1: Einrichten Ihrer Umgebung
• Phase 2: Registrieren eines Testendpunkts
• Phase 3: Schützen Ihres macOS-Endpunkts
• Phase 4: Anwenden organization spezifischer Anpassungen
• Phase 5: Optionale erweiterte Konfiguration
• Phase 6: Registrieren Der verbleibenden macOS-Endpunkte
• Phase 7: Support, Wartung und nächste Schritte

Am Ende dieses Leitfadens haben Sie einen macOS-Endpunkt bei Intune registriert und können in Ihren Szenarien mit der Überprüfung beginnen.

Phase 1: Einrichten Ihrer Umgebung

Bevor Sie Ihren ersten macOS-Endpunkt erstellen, müssen Sie einige Anforderungen und Konfigurationsfeatures konfigurieren.

In dieser Phase überprüfen Sie die Anforderungen, integrieren Intune mit Apple Business Manager (oder Apple School Manager), konfigurieren einige Features und fügen einige Apps zu Intune hinzu.

Schritt 1 – Netzwerkanforderungen

✅Einrichten Ihres Netzwerks

Um Ihren macOS-Endpunkt erfolgreich vorzubereiten und bereitzustellen, benötigt der Endpunkt Zugriff auf mehrere öffentliche Internetdienste.

• Starten Sie ihre Tests in einem offenen Netzwerk. Oder stellen Sie in Ihrem organization Netzwerk Zugriff auf alle Endpunkte bereit, die unter Netzwerkendpunkte für Microsoft Intune aufgeführt sind. Anschließend können Sie Ihr organization Netzwerk verwenden, um Ihre Konfiguration zu testen.

• Wenn Ihr Drahtlosnetzwerk Zertifikate erfordert, können Sie während des Tests mit einer Ethernet-Verbindung beginnen. Die Ethernet-Verbindung bietet Ihnen etwas Zeit, um den besten Ansatz für die drahtlosen Verbindungen zu bestimmen, die Geräte benötigen.

Achtung

Die SSL-Überprüfung kann dazu führen, dass der Zugriff auf Microsoft- und Apple-Dienste fehlschlägt. Weitere Informationen zu den Anforderungen von Apple finden Sie unter Verwenden von Apple-Produkten in Unternehmensnetzwerken.

Schritt 2: Registrierung und Lizenzierung

✅Create einer neuen Gruppe, Konfigurieren von Registrierungseinschränkungen und Zuweisen von Lizenzen

Um die Endpunkte für die Registrierung vorzubereiten, müssen Sie sicherstellen, dass die richtigen Endpunkte als Ziel verwendet werden und dass die Endpunkte ordnungsgemäß lizenziert sind.

Insbesondere gilt:

• Erstellen einer neuen Gruppe

  Create eine neue Microsoft Entra Testgruppe wie Intune MDM-Benutzer. Fügen Sie dieser Gruppe dann Testbenutzerkonten hinzu. Um zu begrenzen, wer Geräte registrieren kann, während Sie Ihre Konfiguration einrichten, richten Sie die Konfigurationen auf diese Gruppe aus.

  Verwenden Sie das Intune Admin Center, um eine Microsoft Entra Gruppe zu erstellen. Wenn Sie eine Gruppe in Intune erstellen, erstellen Sie eine Entra-Gruppe. Das Entra-Branding wird nicht angezeigt, aber das ist es, was Sie verwenden.

  Weitere Informationen findest du unter Create einer Gruppe zum Verwalten von Benutzern in Intune.

• Registrierungseinschränkungen

  Mit Registrierungseinschränkungen können Sie die Gerätetypen steuern, die sich bei Intune-Verwaltung registrieren können. Damit dieser Leitfaden erfolgreich ist, stellen Sie in einer Registrierungseinschränkung sicher, dass die macOS-Registrierung (MDM) zulässig ist, was die Standardkonfiguration ist. Weisen Sie diese Registrierungseinschränkung der neuen Gruppe zu, die Sie erstellt haben.

  Bei Bedarf/Wunsch können Sie auch die Registrierung bestimmter Geräte verhindern.

  Für Informationen zum Konfigurieren von Registrierungseinschränkungen wechseln Sie zu Festlegen von Registrierungseinschränkungen in Microsoft Intune.

• Lizenzierung

  Benutzer, die macOS-Geräte registrieren, benötigen eine Microsoft Intune- oder Microsoft Intune for Education-Lizenz. Um Lizenzen zuzuweisen, wechseln Sie zu Zuweisen von Microsoft Intune-Lizenzen. Weisen Sie die Lizenzen den von Ihnen erstellten Testkonten zu.

  Hinweis

  Beide Arten von Lizenzen sind in der Regel in Lizenzierungspaketen enthalten, z. B. Microsoft 365 E3 (oder A3) und höher. Weitere Informationen finden Sie unter Vergleichen Microsoft 365 Enterprise Plans.

Schritt 3: Hinzufügen des Apple MDM-Zertifikats

✅Hinzufügen des Pushzertifikats mit einer verwalteten Apple-ID

• Zum Verwalten von macOS-Geräten muss der Intune Mandant mit einem MDM-Pushzertifikat konfiguriert werden. Wenn Sie derzeit iOS-/iPadOS-Geräte in diesem Mandanten verwalten, ist dieser Schritt abgeschlossen.

• Verwenden Sie eine verwaltete Apple-ID mit dem Apple Business Manager (oder Apple School Manager) instance.

  Verwenden Sie keine persönliche Apple-ID. Die Verwaltung des Apple Push Notification Service-Zertifikats ist während der Lebensdauer Ihrer Geräteverwaltungslösung von entscheidender Bedeutung. Der Zugriff mit einer persönlichen Apple-ID kann nicht mehr verfügbar sein, da sich die Mitarbeiter im Laufe der Zeit ändern.

Informationen zum Konfigurieren eines Apple MDM-Pushzertifikats finden Sie unter Abrufen eines Apple MDM Push-Zertifikats für Intune.

Schritt 4: Hinzufügen des automatischen Apple-Geräteregistrierungstokens

✅Verknüpfen des Apple-Tokens für die automatisierte Geräteregistrierung

Zum Verwalten von Geräten, die über Apple Business Manager (oder Apple School Manager) registriert wurden, müssen Sie ein MDM-Token einrichten und das Token mit Intune verknüpfen.

Dieses Token ist für die automatisierte Geräteregistrierung (Automated Device Enrollment, ADE) in Intune erforderlich. Das Token:

• Ermöglicht Intune das Synchronisieren von ADE-Geräteinformationen aus Ihrem Apple Business Manager- (oder Apple School Manager)-Konto.
• Ermöglicht Intune das Hochladen von Registrierungsprofilen in Apple.
• Ermöglicht Intune, diesen Profilen Geräte zuzuweisen.

Wenn Sie derzeit iOS-/iPadOS-Geräte in diesem Mandanten mit ADE verwalten, können einige dieser Schritte ausgeführt werden.

Informationen zum Konfigurieren von Apple Business Manager mit Intune finden Sie unter Registrieren von macOS-Geräten – Apple Business Manager oder Apple School Manager.

Die allgemeinen Schritte zum Konfigurieren von Apple Business Manager (oder Apple School Manager) mit Intune sind:

1. Verbinden Sie Intune mit Apple Business Manager (oder Apple School Manager).
2. Erstellen Sie in Intune ADE-Profile für das Apple Business Manager-Token.
3. Weisen Sie In Apple Business Manager Ihrem Intune MDM Geräte zu.
4. Weisen Sie ihren macOS-Geräten in Intune die ADE-Profile zu.

Schritt 5: Zielgeräte

✅Bestimmte Gruppen mithilfe von Benutzergruppen, Intune Filtern oder dynamischen Gruppen

macOS-Geräte mit Benutzeraffinität können für Profile und Apps mit Benutzer- oder Gerätegruppen verwendet werden. Es gibt zwei allgemeine Optionen für die dynamische Ausrichtung von Organisationen auf Geräte:

• Option 1: Alle Gerätegruppen mit einem Zuweisungsfilter für enrollmentProfileName

  Für kritische Apps und Richtlinien, die unmittelbar nach der Registrierung gelten müssen (Sicherheitseinstellungen, Einschränkungen, Unternehmensportal App), können Sie die Richtlinien der integrierten Gruppe Intune Alle Geräte zuweisen. Create einen Zuweisungsfilter mithilfe des Registrierungsprofils, das Sie in Schritt 4 – Hinzufügen des automatischen Apple-Geräteregistrierungstokens erstellt haben.

  Richtlinien und Apps, die auf die Gruppe Alle Geräte ausgerichtet sind, werden nach der Registrierung schneller angewendet als dynamische Gruppen. Nicht alle Konfigurationsprofile (wie macOS-Skripts) unterstützen Filter.

  Weitere Informationen zu Zuweisungsfiltern findest du unter Create Filter in Microsoft Intune.

• Option 2– Microsoft Entra dynamische Gruppe basierend auf enrollmentProfileName

  Um die Konfigurationen aus diesem Leitfaden auf die Testgeräte zu beschränken, die Sie über Apple Business Manager importieren, erstellen Sie eine dynamische Microsoft Entra Gruppe. Sie können dann alle Ihre Konfigurationen und Apps auf diese Gruppe ausrichten.

  1. Öffnen Sie das Microsoft Intune Admin Center.

  2. Wählen Sie Gruppen>Neue Gruppe aus, und geben Sie die folgenden Details ein:

     • Gruppentyp: Wählen Sie Sicherheit aus.
     • Gruppenname: Geben Sie macOS-Endpunkte ein.
     • Mitgliedschaftstyp: Wählen Sie Dynamisches Gerät aus.

  3. Wählen Sie für Dynamische Gerätemitgliederdie Option Dynamische Abfrage hinzufügen aus, und geben Sie die folgenden Eigenschaften ein:

     • Eigenschaft: Wählen Sie enrollmentProfileName aus.
     • Operator: Wählen Sie gleich aus.
     • Wert: Geben Sie den Namen Ihres Registrierungsprofils ein.

  4. Klicken Sie auf OK>Speichern>Create.

  Wenn Sie Apps und Richtlinien erstellen, können Sie die Richtlinien auf diese neue dynamische Microsoft Entra Gruppe ausrichten.

  Hinweis

  Nachdem Änderungen vorgenommen wurden, kann es mehrere Minuten dauern, bis dynamische Gruppen aufgefüllt sind. In großen Organisationen kann dies länger dauern. Warten Sie nach dem Erstellen einer neuen Gruppe einige Minuten, bevor Sie überprüfen, ob das Gerät Mitglied der Gruppe ist.

  Weitere Informationen zu dynamischen Gruppen für Geräte findest du unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID: Regeln für Geräte.

Schritt 6: Konfigurieren der Anfangseinstellungen und des einmaligen Anmeldens (Single Sign-On, SSO)

✅Optimieren der Ersten Ausführung

Mithilfe von Intune können Sie die erste Ausführung mithilfe integrierter Einstellungen im ADE-Registrierungsprofil optimieren. Wenn Sie das Registrierungsprofil erstellen, haben Sie insbesondere folgende Möglichkeiten:

• Konfigurieren Sie Endbenutzerinformationen im Setup-Assistenten vor.
• Verwenden Sie das Feature Warten der endgültigen Konfiguration . Dieses Feature verhindert, dass Endbenutzer auf eingeschränkte Inhalte zugreifen oder Einstellungen ändern können, bis die Intune Gerätekonfigurationsrichtlinien gelten.

Weitere Informationen zu diesem Feature und zur ADE-Registrierung finden Sie unter Automatisches Registrieren von Macs mit Apple Business Manager oder Apple School Manager.

✅Reduzieren von App-Anmeldeaufforderungen mit SSO

In Intune können Sie Einstellungen konfigurieren, die die Anzahl der Anmeldeaufforderungen verringern, die Endbenutzer bei der Verwendung von Apps erhalten, einschließlich Microsoft 365-Apps. Diese Konfiguration besteht aus zwei Teilen:

• Teil 1: Verwenden Sie das Microsoft Enterprise SSO-Plug-In, um einmaliges Anmelden (Single Sign-On, SSO) für Apps und Websites bereitzustellen, die Microsoft Entra ID für die Authentifizierung verwenden, einschließlich Microsoft 365-Apps.

  Um diese Richtlinien zu erstellen, wechseln Sie im Intune Admin Center zu:

  • Geräte > Configuration > Create > Settings catalog > Authentication > Extensible Single Sign-On (SSO): Fügen Sie die folgenden Einstellungen hinzu, und konfigurieren Sie sie:

    Name	Konfiguration
    Erweiterungsbezeichner	com.microsoft.CompanyPortalMac.ssoextension
    Teambezeichner	UBF8T346G9
    Typ	Umleiten
    URLs	https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com

  • Konfigurieren Sie die folgenden optionalen Einstellungen:

    Key	Typ	Wert
    AppPrefixAllowList	String	com.apple.,com.microsoft
    browser_sso_interaction_enabled	Ganze Zahl	1
    disable_explicit_app_prompt	Ganze Zahl	1

  Weitere Informationen zum Enterprise SSO-Plug-In, einschließlich der Erstellung der Richtlinie, finden Sie unter Konfigurieren des macOS Enterprise SSO-Plug-Ins mit Intune.

  Hinweis

  Microsoft hat Unterstützung für Platform SSO (öffnet die Website von Apple) mit Microsoft Entra für die öffentliche Vorschau veröffentlicht. Weitere Informationen zum Einrichten des einmaligen Anmeldens für Platform finden Sie unter Konfigurieren des einmaligen Anmeldens für Plattform für macOS-Geräte in Microsoft Intune.

• Teil 2: Verwenden Sie den Intune-Einstellungskatalog, um die folgenden Einstellungen zu konfigurieren, die Anmeldeaufforderungen reduzieren, einschließlich Microsoft AutoUpdate (MAU) und Microsoft Office.

  • Geräte > Configuration > Create > Settings catalog > Microsoft AutoUpdate (MAU): Fügen Sie die folgenden Einstellungen hinzu, und konfigurieren Sie sie:

    • Datensammlungsrichtlinie automatisch bestätigen: Wählen Sie Bestätigen – erforderliche und optionale Daten senden aus.

      Weitere Informationen zu dieser Einstellung findest du unter Verwenden von Einstellungen zum Verwalten von Datenschutzsteuerelementen für Office für Mac

    • AutoUpdate aktivieren: Wählen Sie True aus.

      Diese Einstellung erzwingt, dass Microsoft AutoUpdate aktiviert wird. Weitere Informationen zu Microsoft AutoUpdate, das Microsoft 365 Apps und Unternehmensportal aktualisiert, finden Sie unter Bereitstellen von Updates für Office für Mac.

  • Geräte > Configuration > Create > Einstellungskatalog > Microsoft Office > Microsoft Office: Fügen Sie die folgenden Einstellungen hinzu, und konfigurieren Sie sie:

    • Office-Aktivierungsadresse Email: Geben Sie ein{{userprincipalname}}.
    • Automatische Anmeldung aktivieren: Wählen Sie True aus.

    Diese Einstellungen optimieren den Anmeldevorgang beim ersten Öffnen von Office-Apps. Weitere Informationen zu diesen Einstellungen findest du unter Set suite-wide preferences for Office für Mac(Set suite-wide preferences for Office für Mac).

  Weitere Informationen zum Einstellungskatalog, einschließlich der Erstellung einer Richtlinie, finden Sie unter Verwenden des Einstellungskatalogs zum Konfigurieren von Einstellungen in Microsoft Intune.

Schritt 7: Hinzufügen und Zuweisen von Apps, die erforderlich sind

✅Hinzufügen eines Mindestsatzes von Apps zu Intune

Ihr organization enthält möglicherweise einige Apps, die auf Ihren macOS-Geräten erforderlich sind. Ihre organization kann erfordern, dass diese Apps auf allen Geräten installiert sind, die von Intune verwaltet werden.

Fügen Sie in diesem Schritt diese Apps Intune hinzu, und weisen Sie sie Ihrer Gruppe zu.

Einige Apps, die sie benötigen, sind:

• Unternehmensportal-App

  Microsoft empfiehlt, die Intune-Unternehmensportal-App als erforderliche Anwendung auf allen Geräten bereitzustellen. Die Unternehmensportal-App ist der Self-Service-Hub für Benutzer. In der Unternehmensportal-App können Benutzer Apps installieren, ihr Gerät mit Intune synchronisieren, die Konformität überprüfen status und vieles mehr.

  Die Unternehmensportal-App ist auch für die SSO-Erweiterung erforderlich, die Sie in Schritt 6 – Konfigurieren von Anfangseinstellungen und einmaligem Anmelden (Single Sign-On, SSO) (in diesem Artikel) konfigurieren).

  Um die Unternehmensportal-App als erforderliche App bereitzustellen, wechseln Sie zu Hinzufügen der Unternehmensportal für macOS-App.

• Microsoft 365 Apps

  Microsoft 365-Apps wie Word, Excel, OneDrive und Outlook können mithilfe des integrierten App-Profils von Microsoft 365-Apps für macOS in Intune problemlos auf Geräten bereitgestellt werden.

  Um Microsoft 365 Apps bereitzustellen, gehen Sie zu:

  • Zuweisen von Microsoft 365 zu macOS-Geräten mit Microsoft Intune
  • Bereitstellen von Microsoft 365 Apps für Mac mit Microsoft Intune – Ausführliche Informationen

Phase 2: Registrieren eines Testendpunkts

In der nächsten Phase wird ein macOS-Testgerät bei Intune registriert. In dieser Phase werden Sie mit den ersten Schritten vertraut, damit Sie bereit sind, alle Ihre macOS-Geräte in Intune zu registrieren.

Um Ihren ersten organization macOS-Endpunkt zu registrieren, stellen Sie sicher, dass das macOS-Gerät wie folgt lautet:

• Bei Apple Business Manager (oder Apple School Manager) registriert und Ihrem Intune MDM zugewiesen (öffnet die Apple-Website)
• Zuweisung eines Registrierungsprofils in Intune

Die allgemeinen Schritte zum Registrieren Ihres ersten macOS-Endpunkts bei Intune sind:

1. Löschen oder Zurücksetzen des macOS-Endpunkts. Dieser Schritt ist für vorhandene Geräte erforderlich. Wenn Sie ein macOS-Gerät registrieren, das bereits eingerichtet ist, wird das Gerät als persönliches Gerät betrachtet. Daher müssen Sie das Gerät löschen oder zurücksetzen, bevor Sie es bei Intune registrieren können.

   Für neue Geräte, die nicht eingerichtet sind, können Sie diesen Schritt überspringen. Wenn Sie nicht sicher sind, ob das Gerät eingerichtet ist, setzen Sie das Gerät zurück.

2. Wechseln Sie zum Setup-Assistenten.

3. Öffnen Sie die Unternehmensportal-App, und melden Sie sich mit Ihrem organization-Konto an (user@contoso.com).

Wenn sich der Benutzer anmeldet, gilt die Registrierungsrichtlinie. Nach Abschluss des Vorgangs wird Ihr macOS-Endpunkt in Intune registriert.

Phase 3: Schützen Ihrer macOS-Endpunkte

In dieser Phase konfigurieren Sie Sicherheitseinstellungen und -features, die zum Schutz Ihrer Endpunkte beitragen, einschließlich der Aktualisierung von Geräten.

Dieser Abschnitt konzentriert sich auf die verschiedenen Endpunktsicherheitsfeatures in Microsoft Intune, einschließlich:

• Konformitäts- und Richtlinien für bedingten Zugriff
• Microsoft Defender für Endpunkt
• Sicherheit des FileVault-, Firewall- und Gatekeeper-Endpunkts
• Softwareupdates
• Gastkonto
• Anmeldung im Leerlauf
• Mac-Evaluierungshilfsprogramm

Konformitäts- und Richtlinien für bedingten Zugriff

✅Create Konformitätsrichtlinien und Erzwingen der Konformität mit bedingtem Zugriff

• Konformitätsrichtlinien überprüfen die von Ihnen konfigurierten Geräteeinstellungen und können einige einstellungen korrigieren, die nicht kompatibel sind. Sie können beispielsweise Konformitätsrichtlinien erstellen, die die Kennwortkomplexität, die status, die Bedrohungsstufen, die Registrierung status und vieles mehr überprüfen.

  Wenn Konfigurationseinstellungen zwischen Konformitätsrichtlinien und anderen Richtlinien in Konflikt stehen, hat die Konformitätsrichtlinie Vorrang. Weitere Informationen findest du unter Konformitäts- und Gerätekonfigurationsrichtlinien, die konflikte.

• Der bedingte Zugriff kann verwendet werden, um die von Ihnen erstellten Konformitätsrichtlinien zu erzwingen. In Kombination können Endbenutzer aufgefordert werden, ihre Geräte zu registrieren und einen Mindestsicherheitsstandard zu erfüllen, bevor sie auf organization Ressourcen zugreifen. Wenn ein Gerät nicht konform ist, können Sie den Zugriff auf Ressourcen wie E-Mail blockieren oder den Benutzer dazu auffordern, sein Gerät zu registrieren und das Problem zu beheben.

Hinweis

Um zu bestätigen, dass Sie die richtigen Gerätesteuerelemente erzwingen, arbeiten Sie mit Ihrem Team zusammen, das Ihre Entra-Richtlinien für bedingten Zugriff verwaltet.

Sie können Konformitäts- und Richtlinien für bedingten Zugriff im Intune Admin Center erstellen.

Für weitere Informationen wechseln Sie zu:

• Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten
• Bedingter Zugriff und Intune
• Anfordern eines kompatiblen Geräts oder einer MFA
• Was ist bedingter Zugriff in Microsoft Entra ID?

Microsoft Defender für Endpunkt

✅Verwenden von Microsoft Defender for Endpoint für die Bedrohungsabwehr

Microsoft Defender for Endpoint ist eine mobile Threat Defense-Lösung, die Ihre Geräte vor Sicherheitsbedrohungen schützt.

In Intune können Sie eine Verbindung mit Ihrem Microsoft Defender for Endpoint-Dienst herstellen, Intune Richtlinien mithilfe Microsoft Defender for Endpoint Einstellungen erstellen und die Richtlinien dann auf Ihren Geräten bereitstellen.

Für weitere Informationen wechseln Sie zu:

• Konfigurieren von Microsoft Defender für Endpunkt in Intune
• Bereitstellen von Microsoft Defender for Endpoint unter macOS mit Microsoft Intune

Integrierte Endpunktsicherheit

✅Verschlüsseln von Geräten mit FileVault-Datenträgerverschlüsselung

FileVault ist ein Verschlüsselungsfeature für den gesamten Datenträger, das dazu beiträgt, nicht autorisierten Zugriff zu verhindern. Die FileVault-Einstellungen sind in den Intune-Einstellungskatalog integriert und als Konformitätsrichtlinien verfügbar.

Daher können Sie FileVault konfigurieren, die Konformität überprüfen und die Richtlinien auf Ihren Geräten bereitstellen.

Um diese Richtlinien zu erstellen, wechseln Sie im Intune Admin Center zu:

• Gerätekonfiguration >> Create > Einstellungskatalog > Vollständige Datenträgerverschlüsselung
• Gerätekonformität >> Erfordert die Verschlüsselung des Datenspeichers auf dem Gerät

Weitere Informationen zu FileVault:For more information about FileVault, go to:

• Verschlüsseln von macOS-Geräten mit FileVault-Datenträgerverschlüsselung mit Intune
• Verwenden Sie FileVault, um den Startdatenträger auf Ihrem Mac zu verschlüsseln (öffnet die Apple-Website)

✅Konfigurieren der Firewall

Die Firewall ist eine Anwendungsfirewall und trägt dazu bei, eingehende Angriffe zu verhindern. Die Firewalleinstellungen sind in den Intune-Einstellungskatalog integriert und als Konformitätsrichtlinien verfügbar.

Daher können Sie die Firewall konfigurieren, die Konformität überprüfen und die Richtlinien auf Ihren Geräten bereitstellen.

Um diese Richtlinien zu erstellen, wechseln Sie im Intune Admin Center zu:

• Geräte > Konfigurations-Create-Einstellungskatalog >>:

  • Netzwerkfirewall >
  • Sicherheit > Sicherheitseinstellungen

• Firewall zur Gerätekonformität >>

Weitere Informationen zur macOS-Firewall findest du unter:

• Firewallrichtlinie für Endpunktsicherheit in Intune
• Ändern der Firewalleinstellungen auf dem Mac (öffnet die Apple-Website)

✅Konfigurieren von Gatekeeper

Gatekeeper stellt sicher, dass nur vertrauenswürdige Software auf dem Gerät ausgeführt wird. Die Gatekeeper-Einstellungen sind in den Intune-Einstellungskatalog integriert und als Konformitätsrichtlinien verfügbar.

Daher können Sie Gatekeeper konfigurieren, die Konformität überprüfen und die Richtlinien auf Ihren Geräten bereitstellen.

Um diese Richtlinien zu erstellen, wechseln Sie im Intune Admin Center zu:

• Geräte > Konfigurations > - Create > Einstellungskatalog > Systemrichtlinie Systemrichtliniensteuerung>:

  • Identifizierten Entwickler zulassen: Wählen Sie True aus.
  • Bewertung aktivieren: Wählen Sie True aus.

• Geräte > Konfigurations > - Create > Einstellungskatalog > Systemrichtlinie Verwaltete Systemrichtlinie>:

  • Außerkraftsetzung deaktivieren: Wählen Sie True aus.

• Gerätekonformitätsgatekeeper >>

Weitere Informationen zu Gatekeeper:For more information about Gatekeeper, go to:

• Verwenden Des Einstellungskatalogs zum Konfigurieren von Einstellungen in Microsoft Intune
• Gatekeeper- und Laufzeitschutz in macOS (öffnet die Website von Apple)

Softwareupdates

✅Konfigurieren von Software Updates

Auf Geräten sind Softwareupdates wichtig, und Sie müssen bestimmen, wie die Updates installiert werden. Sie haben einige Optionen.

Wenn Sie diese Einstellungen konfigurieren, erzwingen und schränken Sie das Verhalten im Knoten Softwareupdate der Einstellungs-App> auf dem Gerät ein.

• Option 1 – macOS 14.0 und neuere Geräte (empfohlen): Verwenden Sie auf macOS 14.0- und neueren Geräten den Intune Einstellungskatalog, um eine Richtlinie für verwaltete Softwareupdates zu erstellen. Dieses Feature verwendet die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple und ist der empfohlene Ansatz zum Aktualisieren von macOS-Geräten.

  Im Intune Admin Center konfigurieren Sie insbesondere die folgenden Einstellungen:

  • Gerätekonfiguration >> Create > Einstellungskatalog > Deklaratives Geräteverwaltung > Softwareupdate

  • Optional: Unter Einschränkungen im Gerätekonfigurations >> - Create > Einstellungskatalogs >können Sie die folgenden Einstellungen verwenden, um zu verzögern, wie lange benutzer nach der Veröffentlichung eines Updates die Updates manuell installieren können. Diese Einstellungen verwenden die MDM-Einstellungen von Apple:

    • Erzwungene Softwareupdates: Verzögerte Installation des Betriebssystems: 0-30
    • Erzwungene Softwareupdates Hauptbetriebssystem verzögerte Installation: 0-30
    • Erzwungenes Softwareupdate nicht verzögerte Installation des Betriebssystems: 0-30

    Die Einstellungen für den deklarativen Einstellungskatalog > Geräteverwaltung > Einstellungen für Softwareupdates haben Vorrang vor den Einstellungen für Katalogeinschränkungen>. Weitere Informationen findest du unter Rangfolge der Einstellungen in der MacOS-Updaterichtlinie.

• Option 2 – macOS 13.0 und älter (empfohlen) – Auf macOS 13.0 und älteren Geräten können Sie eine Kombination aus dem Intune-Einstellungskatalog und einer Intune Softwareupdaterichtlinie verwenden. Diese Features verwenden die MDM-Einstellungen von Apple.

  Im Intune Admin Center können Sie insbesondere die folgenden Einstellungen konfigurieren:

  • Geräte > Apple aktualisiert > macOS-Updaterichtlinie

  • Gerätekonfiguration >> Create > Einstellungskatalog > Softwareupdate

  Einige der Einstellungen in beiden Richtlinientypen (Softwareupdates und Einstellungskatalog) können sich überlappen. Achten Sie daher darauf, was Sie in jeder Richtlinie konfigurieren. Die Einstellungen in der macOS-Updaterichtlinie haben Vorrang vor den Einstellungen katalog > SoftwareUpdate-Einstellungen. Weitere Informationen findest du unter Rangfolge der Einstellungen in der MacOS-Updaterichtlinie.

• Option 3 (nicht empfohlen): Endbenutzer installieren die Updates manuell. Dieser Ansatz basiert darauf, dass Endbenutzer entscheiden, wann die Updates installiert werden sollen. Außerdem können sie ein Update installieren, das Ihr organization nicht genehmigt.

Weitere Informationen zur Planung Ihrer macOS-Updatestrategie finden Sie im Planungshandbuch zu Softwareupdates für verwaltete macOS-Geräte in Microsoft Intune.

Gastkonto

✅Deaktivieren des Gastkontos

Sie sollten das Gastkonto auf macOS-Endpunkten deaktivieren. Sie können das Gastkonto mithilfe des Intune Einstellungskatalogs deaktivieren:

• Geräte > Konfigurations > - Create > Einstellungskatalog > Konten > Konten:
  • Gastkonto deaktivieren: Wählen Sie True aus.

Leerlauftimeout

✅Festlegen eines Leerlauftimeouts

Mithilfe des Intune-Einstellungskatalogs steuern Sie den Zeitraum nach dem Leerlauf, der macOS zur Eingabe eines Kennworts auffordert:

• Geräte > Konfigurations-Create-Einstellungskatalog >>> Systemkonfiguration > Bildschirmschoner:

  • Kennwort anfordern: Wählen Sie True aus.
  • Windows-Leerlaufzeit anmelden: Geben Sie einen Wert wie 300ein, der 5 Minuten beträgt.
  • Kennwortverzögerung anfordern: Geben Sie etwas wie 5ein.
  • Modulname: Geben Sie den Namen des Bildschirmschonermoduls ein, z. B. Flurry.

• Geräte > Konfigurations > - Create > Einstellungskatalog > Benutzerfreundlichkeit > Bildschirmschoner Benutzer:

  • Leerlaufzeit: Geben Sie einen Wert wie 300ein, der 5 Minuten beträgt.
  • Modulname: Geben Sie den Namen des Bildschirmschonermoduls ein, z. B. Flurry.

• Für Ihre Desktop- und Laptopgeräte gibt es Einstellungen, mit denen Sie Energie sparen können:

  Geräte > Configuration > Create > Settings Catalog > System Configuration > Energy Saver:

  • Desktop Power > Display Sleep Timer
  • Laptop-Akkuleistungsanzeige-Energiespartimer >
  • Laptop-Energiesparmodus-Timer >

Tipp

Um den Namen des Bildschirmschonermoduls zu ermitteln, legen Sie den Bildschirmschoner fest, öffnen Sie die Terminal-App, und führen Sie den folgenden Befehl aus:

defaults -currentHost read com.apple.screensaver

macOS-Evaluierungshilfsprogramm

✅Verwenden des macOS-Evaluierungshilfsprogramms

Das Mac Evaluation Utility bestätigt, dass Ihr Mac über die von Apple empfohlene Konfiguration und Einstellungen verfügt. Um auf das Mac Evaluation Utility zuzugreifen, melden Sie sich bei Apple Seed for IT (öffnet die Apple-Website) >Resources an.

Phase 4: Anwenden organization spezifischer Anpassungen

In dieser Phase wenden Sie organization spezifische Einstellungen und Apps an und überprüfen Ihre lokale Konfiguration.

In dieser Phase können Sie alle Features anpassen, die für Ihre organization spezifisch sind. Beachten Sie die verschiedenen Komponenten von macOS. Es gibt Abschnitte für jeden der folgenden Bereiche:

• Apps
• Gerätekonfiguration für das Dock, Benachrichtigungen, Einstellungsdateien & benutzerdefinierte Richtlinien und Hintergrundbild
• Gerätename
• Zertifikate
• WLAN

Apps

✅Hinzufügen weiterer Apps zu Intune

In Phase 1 – Einrichten Ihrer Umgebung haben Sie einige Apps hinzugefügt, die auf den Geräten erforderlich sind. Fügen Sie in diesem Schritt weitere Apps hinzu, die die Endbenutzererfahrung oder Produktivität verbessern können.

• Branchen-Apps

  In Intune können Sie branchenspezifische Apps mithilfe der folgenden Optionen bereitstellen:

  • Fügen Sie das App-Paket (.pkg) zu Intune hinzu, und verwenden Sie ein Shellskript, um die App bereitzustellen. Dieses Feature verwendet die Intune-Verwaltungserweiterung. Es kann nicht signierte Pakete und Pakete ohne Nutzlast bereitstellen und unterstützt Pre- und Post-Skripts.
  • Fügen Sie das Image des App-Datenträgers (.dmg) zu Intune hinzu, und verwenden Sie Intune Richtlinie, um die App bereitzustellen.
  • Apps, die mit dem Volumenkaufplan (Volume Purchase Plan, VPP) von Apple lizenziert sind und Intune Richtlinie verwenden, um die App bereitzustellen
  • Fügen Sie das App-Paket (.pkg) zu Intune hinzu, und verwenden Sie Intune Richtlinie, um die App bereitzustellen.

• Microsoft Edge

  Sie können Microsoft Edge mithilfe des integrierten Bereitstellungstyps auf macOS-Endpunkten bereitstellen. Weitere Informationen findest du unter Hinzufügen von Microsoft Edge zu macOS-Geräten mithilfe von Microsoft Intune.

  Sie können Microsoft Edge-Einstellungen auch mithilfe des Intune-Einstellungskatalogs konfigurieren:

  • Gerätekonfiguration >> Create > Einstellungskatalog > Microsoft Edge

• Microsoft OneDrive

  In Phase 1 – Einrichten Ihrer Umgebung haben Sie Microsoft 365-Apps hinzugefügt, die Microsoft OneDrive enthalten. Wenn Sie microsoft OneDrive also zuvor hinzugefügt haben, müssen Sie es nicht erneut hinzufügen. Wenn Sie es zuvor nicht hinzugefügt haben, können Sie Microsoft OneDrive auch separat mithilfe eines heruntergeladenen App-Pakets (.pkg) bereitstellen.

  Sie können die Microsoft OneDrive-Einstellungen auch mithilfe des Intune-Einstellungskatalogs konfigurieren. Beispielsweise können die folgenden Einstellungen für Ihre organization gelten:

  • Geräte > Konfigurations > - Create > Einstellungskatalog > Microsoft Office > Microsoft OneDrive:

    • Automatisches und automatisches Aktivieren des Features "Ordnersicherung" (Verschiebung bekannter Ordner): Geben Sie Ihre <Microsoft Entra Mandanten-ID> ein.
    • Dateien bei Bedarf aktivieren: Wählen Sie True aus.
    • Bei Anmeldung öffnen: Wählen Sie True aus.

  • Geräte > Konfiguration > Create > Einstellungen Katalog > App-Verwaltung > NS-Erweiterungsverwaltung:

    • Zulässige Erweiterungen: Geben Sie ein com.microsoft.OneDrive.FinderSync.

    Wenn Sie die VPP-Version von OneDrive bereitstellen, geben Sie ein com.microsoft.OneDrive-Mac.FinderSync.

    Während der Microsoft OneDrive-Konfiguration werden Endbenutzer aufgefordert, Synchronisierungssymbole zuzulassen, indem sie die Finder-Synchronisierungserweiterung aktivieren. Es gibt ein Beispielskript, mit dem die Findererweiterung für den Benutzer konfiguriert werden kann. Weitere Informationen zum Skript finden Sie unter GitHub – Microsoft Intune Shell-Beispiele.

Gerätekonfiguration

Der Einstellungskatalog vereinfacht, wie Sie eine Richtlinie erstellen und wie Sie alle verfügbaren Einstellungen anzeigen können. In verschiedenen Phasen und Schritten in diesem Leitfaden verwenden Sie den Intune Einstellungskatalog, um Gerätefeatures und -einstellungen zu konfigurieren.

Beispielsweise haben wir den Einstellungskatalog verwendet, um die folgenden Featurebereiche zu konfigurieren:

• Microsoft Edge-Browsereinstellungen
• Microsoft AutoUpdate
• Microsoft Office
• Softwareupdates
• Benutzererfahrung

Es gibt viele Geräteeinstellungen, die Sie mithilfe des Einstellungskatalogs konfigurieren können, einschließlich:

✅Dock

• Gerätekonfigurations-Create-Einstellungskatalog >>>> für Benutzeroberflächen-Dock >

Sie können elemente auch mithilfe eines GitHub -Microsoft Intune Dockshell-Beispiels oder Partner-Befehlszeilentools wie GitHub – DockUtil hinzufügen oder daraus entfernen.

✅Benachrichtigungsaufforderungen

• Gerätekonfiguration >> Create > Einstellungen Katalog > Benachrichtigungen der Benutzeroberfläche > Benachrichtigungen >

  Sie sollten die Bündel-ID für jede Anwendung eingeben, für die Sie Benachrichtigungen steuern möchten.

Weitere Informationen finden Sie unter Benachrichtigungen MDM-Nutzdateneinstellungen für Apple-Geräte (öffnet die Website von Apple).

✅Einstellungsdateien und benutzerdefinierte Richtlinien

• Einstellungsdateien definieren App-Eigenschaften oder -Einstellungen, die Sie vorkonfigurieren möchten. Im Intune Einstellungskatalog gibt es viele integrierte Einstellungen für Apps, z. B. Microsoft Edge und Microsoft Office. Daher benötigen Sie möglicherweise keine Einstellungsdatei.

  Microsoft empfiehlt die Verwendung der integrierten Einstellungen im Einstellungskatalog. Wenn der Einstellungskatalog nicht über die erforderlichen Einstellungen verfügt, fügen Sie eine Einstellungsdatei zu Intune hinzu.

  Weitere Informationen findest du unter Hinzufügen einer Eigenschaftenlistendatei zu macOS-Geräten mithilfe von Microsoft Intune

• Benutzerdefinierte Profile sind so konzipiert, dass Geräteeinstellungen und -features hinzugefügt werden, die nicht in Intune integriert sind.

  Microsoft empfiehlt die Verwendung der integrierten Einstellungen im Einstellungskatalog. Wenn der Einstellungskatalog nicht über die erforderlichen Einstellungen verfügt, verwenden Sie ein benutzerdefiniertes Profil.

  Weitere Informationen findest du unter Benutzerdefinierte Profile.

✅Wallpaper

Sie können ein Hintergrundbild unter macOS erzwingen, indem Sie eine Kombination aus einem Beispielskript und dem Einstellungskatalog verwenden:

• Geräte > Configuration > Create > Settings Catalog > User Experience > Desktop:
  • Bildpfad außer Kraft setzen: "Geben Sie den <Pfad des Bilds> ein".

Die Imagedatei muss auf dem macOS-Endpunkt vorhanden sein. Um ein Bild von einem Webspeicherort herunterzuladen, können Sie ein Beispielskript auf GitHub – Microsoft Intune Hintergrundbild-Shell-Beispiel verwenden. Sie können auch ein App-Pakettool verwenden, um eine Datei zu kopieren und dann mithilfe der nicht verwalteten PKG-Bereitstellungsfunktion bereitzustellen.

Gerätename

✅Umbenennen von Geräten

Mithilfe eines Shellskripts können Sie die Geräte umbenennen, um bestimmte Informationen wie die Seriennummer des Geräts in Kombination mit dem Länder-/Regionscode einzuschließen.

Weitere Informationen findest du unter GitHub – Microsoft Shell-Skripts zum Umbenennen von Mac-Geräten.

Zertifikate

✅Hinzufügen von Zertifikaten für die zertifikatbasierte Authentifizierung

Wenn Sie die zertifikatbasierte Authentifizierung für eine kennwortlose Umgebung verwenden, können Sie Intune verwenden, um Zertifikate hinzuzufügen und bereitzustellen.

Weitere Informationen finden Sie unter Typen von Zertifikaten, die in Microsoft Intune verfügbar sind.

WLAN

✅Vorkonfigurieren einer Wi-Fi-Verbindung

Mit Intune können Sie eine Wi-Fi Verbindung erstellen, die Ihre Netzwerkinformationen enthält, und die Verbindung dann auf Ihren macOS-Geräten bereitstellen. Wenn Ihre Geräte über WLAN eine Verbindung mit dem organization herstellen, erstellen Sie eine Wi-Fi-Verbindungsrichtlinie.

Weitere Informationen findest du unter Konfigurieren Wi-Fi Einstellungen für macOS-Geräte in Microsoft Intune.

Phase 5: Zwischenspeichern (optional)

Es gibt einige Zwischenspeicherungsfeatures, mit denen Sie Die Netzwerkbandbreite reduzieren können.

✅Verwenden der Inhaltszwischenspeicherung

Wenn Sie über eine große Anzahl von macOS- oder iOS/iPadOS-Geräten in Ihrem Netzwerk verfügen, können Sie Apple Content Cache bereitstellen, um die Internetbandbreite zu reduzieren. Apple Content Cache kann Inhalte zwischenspeichern, die in Apple-Diensten wie Software-Updates- und VPP-Apps gehostet werden.

Weitere Informationen finden Sie unter Einführung in das Zwischenspeichern von Inhalten (öffnet die Apple-Website).

✅Lokaler AutoUpdate-Cache

Viele Microsoft-Apps unter macOS werden mithilfe der Microsoft AutoUpdate-Anwendung aktualisiert. Diese App kann auf eine andere URL für Inhalte verweisen.

Sie können die Admin GitHub – Microsoft AutoUpdate Cache verwenden, um einen lokalen Cache für Microsoft AutoUpdate zu konfigurieren.

Weitere Informationen findest du unter GitHub – Microsoft AutoUpdate Cache Admin.

Phase 6: Registrieren Der verbleibenden macOS-Endpunkte

Bisher haben Sie Ihre Konfiguration erstellt und Apps hinzugefügt. Jetzt können Sie alle Ihre macOS-Endpunkte mit einer Automatisierten Geräteregistrierungsrichtlinie mithilfe von Microsoft Intune registrieren.

✅Create der Richtlinie für die automatische Geräteregistrierung

Die Registrierungsrichtlinie wird Ihrer neuen Gruppe zugewiesen. Wenn die Geräte die Registrierungsrichtlinie erhalten, wird der Registrierungsprozess gestartet, und die app & Konfigurationsrichtlinien, die Sie erstellt haben, werden angewendet.

Weitere Informationen zur automatisierten Geräteregistrierung und zu den ersten Schritten finden Sie unter Automatisches Registrieren von Macs mit Apple Business Manager oder Apple School Manager.

Phase 7: Support, Wartung und nächste Schritte

Die letzte Phase besteht darin, Ihre macOS-Geräte zu unterstützen und zu warten. Diese Phase umfasst die Verwendung Intune Features wie Remotehilfe, Überwachung Ihrer Apple-Zertifikate und vieles mehr.

Intune verwaltet macOS-Geräte mithilfe der integrierten MDM-Funktionen des Betriebssystems und des IME-Agents (Intune Management Extension).

Diese beiden Komponenten bieten separate Funktionen und kommunizieren über verschiedene Kanäle mit dem macOS-Gerät. Die Registrierung wird über Apple Business Manager orchestriert, MDM wird über den Apple Push Notification Service orchestriert, und der IME kommuniziert direkt mit Intune.

Weitere Informationen zur Intune-Verwaltungserweiterung findest du unter Grundlegendes zu Microsoft Intune Verwaltungs-Agent für macOS.

MacOS-Registrierungswartung

✅Verlängern von Apple-Zertifikaten und Synchronisieren von ADE-Token

Damit Ihre Mac-Geräte ihre Verbindung mit Intune aufrechterhalten und die Registrierung fortsetzen können, gibt es mehrere wichtige Bereiche, die Sie in regelmäßigen Abständen in der Konsole überprüfen und bei Bedarf Maßnahmen ergreifen sollten:

• Ablauf des Apple Push Notification Service-Zertifikats

  Das Apple Push Notification Service-Zertifikat muss jährlich erneuert werden. Wenn dieses Zertifikat abläuft, können Intune keine Geräte verwalten, die mit diesem Zertifikat registriert wurden. Stellen Sie sicher, dass Sie dieses Zertifikat jedes Jahr erneuern.

  Weitere Informationen finden Sie unter Abrufen eines Apple MDM Push-Zertifikats für Intune.

• Ablauf des Apple Automated Device Enrollment-Zertifikats

  Wenn Sie eine Verbindung zwischen Apple Business Manager (oder Apple School Manager) und Intune einrichten, wird ein Zertifikat verwendet. Dieses Zertifikat muss jährlich erneuert werden. Wenn dieses Zertifikat nicht erneuert wird, können Änderungen von Apple Business Manager (oder Apple School Manager) nicht mit Intune synchronisiert werden.

  Weitere Informationen findest du unter Registrieren von macOS-Geräten – Apple Business Manager oder Apple School Manager.

• Synchronisierungs-status für die automatisierte Geräteregistrierung von Apple

  Apple hält die Synchronisierung von ADE-Token aus, wenn die Geschäftsbedingungen in Apple Business Manager (oder Apple School Manager) geändert werden. Sie können sich nach einer Hauptversion des Betriebssystems ändern, aber dies kann jederzeit geschehen.

  Sie sollten die Synchronisierungs-status auf Probleme überwachen, die Aufmerksamkeit erfordern.

  Weitere Informationen findest du unter Synchronisieren verwalteter Geräte.

Remotehilfe

✅Remotehilfe aktivieren

Remotehilfe ist eine cloudbasierte Lösung für sichere Helpdeskverbindungen, die rollenbasierte Zugriffssteuerungen verwenden. Mit der Verbindung können Ihre Supportmitarbeiter eine Remoteverbindung mit Endbenutzergeräten herstellen.

Für weitere Informationen wechseln Sie zu:

• Verwenden von Remotehilfe unter macOS zur Unterstützung authentifizierter Benutzer
• Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune

Benutzerdefinierte Attribute

✅Verwenden von benutzerdefinierten Eigenschaften zum Abrufen von Berichtsinformationen

In Intune können Sie Shellskripts verwenden, um benutzerdefinierte Eigenschaften von verwalteten macOS-Geräten zu sammeln. Dieses Feature ist eine hervorragende Möglichkeit, benutzerdefinierte Berichtsinformationen zu erhalten.

Weitere Informationen findest du unter Verwenden von Shellskripts auf macOS-Geräten in Microsoft Intune.

Konfigurieren von Apple Business Manager für die automatische Benutzerbereitstellung

✅Verwenden von Entra-Benutzerkonten für die ABM-Verwaltung und verwaltete Apple-IDs

Microsoft Entra ID können so konfiguriert werden, dass Benutzer mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch für Apple Business Manager (ABM) bereitgestellt und die Bereitstellung aufgehoben werden.

Weitere Informationen findest du unter Tutorial: Konfigurieren von Apple Business Manager für die automatische Benutzerbereitstellung.

Verwandte Artikel

• macOS-Plattformleitfaden
• Microsoft Intune verwaltet sicher Identitäten, Apps und Geräte