iOS- und iPadOS-Geräteeinstellungen zur Verwendung gängiger iOS-/iPadOS-Features in Intune

  • Artikel

Hinweis

Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen findest du unter Einstellungskatalog.

Intune enthält einige integrierte Einstellungen, damit iOS-/iPadOS-Benutzer verschiedene Apple-Features auf ihren Geräten verwenden können. Beispielsweise können Sie AirPrint-Drucker steuern, Apps und Ordner zu den Dock- und Startbildschirmseiten hinzufügen, App-Benachrichtigungen anzeigen, Assettagdetails auf dem Sperrbildschirm anzeigen, einmaliges Anmelden verwenden und zertifikatauthentifizierung verwenden.

Diese Funktion gilt für:

  • iOS/iPadOS

Verwenden Sie diese Features, um iOS-/iPadOS-Geräte als Teil Ihrer MDM-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) zu steuern.

In diesem Artikel werden diese Einstellungen aufgelistet und die Funktionsweise der einzelnen Einstellungen beschrieben. Weitere Informationen zu diesen Features finden Sie unter Featureeinstellungen für iOS-/iPadOS- oder macOS-Geräte hinzufügen.

Bevor Sie beginnen:

Erstellen Sie ein Konfigurationsprofil für iOS-/iPadOS-Gerätefeatures.

Hinweis

Diese Einstellungen gelten für verschiedene Registrierungstypen, wobei einige Einstellungen für alle Registrierungsoptionen gelten. Weitere Informationen zu den verschiedenen Registrierungstypen findest du unter iOS-/iPadOS-Registrierung.

Airprint

Einstellungen gelten für: Alle Registrierungstypen

Hinweis

Achten Sie darauf, alle Drucker demselben Profil hinzuzufügen. Apple verhindert, dass mehrere AirPrint-Profile auf dasselbe Gerät ausgerichtet sind.

  • IP-Adresse: Geben Sie die IPv4- oder IPv6-Adresse des Druckers ein. Wenn Sie Hostnamen verwenden, um Drucker zu identifizieren, können Sie die IP-Adresse abrufen, indem Sie den Drucker im Terminal pingen. Weitere Informationen finden Sie unter Abrufen der IP-Adresse und des Pfads (in diesem Artikel).

  • Ressourcenpfad: Der Pfad ist in der Regel ipp/print für Drucker in Ihrem Netzwerk. Weitere Informationen finden Sie unter Abrufen der IP-Adresse und des Pfads (in diesem Artikel).

  • Port: Geben Sie den Lauschport des AirPrint-Ziels ein. Wenn Sie diese Eigenschaft leer lassen, verwendet AirPrint den Standardport.

    Diese Funktion gilt für:

    • iOS 11.0 und höher
    • iPadOS 13.0 und höher

  • TLS erzwingen: Deaktivieren (Standard) sichert AirPrint-Verbindungen nicht mit TLS. Aktivieren Sie sichere AirPrint-Verbindungen mit Transport Layer Security (TLS).

    Diese Funktion gilt für:

    • iOS 11.0 und höher
    • iPadOS 13.0 und höher

Zum Hinzufügen von AirPrint-Servern haben Sie folgende Möglichkeiten:

  • Geben Sie Druckerdetails ein, um der Liste ein AirPrint-Ziel hinzuzufügen. Viele AirPrint-Server können hinzugefügt werden.
  • Importieren Sie eine durch Trennzeichen getrennte Datei (.csv) mit diesen Informationen. Oder exportieren Sie, um eine Liste der airPrint-Server zu erstellen, die Sie hinzugefügt haben.

Abrufen der IP-Adresse des Servers, des Ressourcenpfads und des Ports

Zum Hinzufügen von AirPrinter-Servern benötigen Sie die IP-Adresse des Druckers, den Ressourcenpfad und den Port. Die folgenden Schritte zeigen, wie Sie diese Informationen abrufen.

  1. Öffnen Sie auf einem Mac, der eine Verbindung mit demselben lokalen Netzwerk (Subnetz) wie die AirPrint-Drucker herstellt, die Terminal-App (über /Applications/Utilities).

  2. Geben Sie in der Terminal-App ein ippfind, und drücken Sie die EINGABETASTE.

    Notieren Sie sich die Druckerinformationen. Es kann z. B. etwas wie ipp://myprinter.local.:631/ipp/port1zurückgeben. Der erste Teil ist der Name des Druckers. Der letzte Teil (ipp/port1) ist der Ressourcenpfad.

  3. Geben Sie in der Terminal-App ein ping myprinter.local, und drücken Sie die EINGABETASTE.

    Notieren Sie sich die IP-Adresse. Es kann z. B. etwas wie PING myprinter.local (10.50.25.21)zurückgeben.

  4. Verwenden Sie die Werte für IP-Adresse und Ressourcenpfad. In diesem Beispiel lautet 10.50.25.21die IP-Adresse , und der Ressourcenpfad ist /ipp/port1.

Layout des Startbildschirms

Diese Funktion gilt für:

  • iOS 9.3 oder höher
  • iOS 13.0 und höher
  • Automatisierte Geräteregistrierung (überwacht)

Was Sie wissen müssen

  • Fügen Sie eine App nur einmal dem Dock, der Seite, dem Ordner auf einer Seite oder dem Ordner im Dock hinzu. Das Hinzufügen derselben App an zwei beliebigen Stellen verhindert, dass die App auf Geräten angezeigt wird, und kann Fehler melden.

    Wenn Sie z. B. die Kamera-App einem Dock und einer Seite hinzufügen, wird die Kamera-App nicht angezeigt, und die Berichterstellung kann einen Fehler für die Richtlinie anzeigen. Um die Kamera-App dem Startbildschirmlayout hinzuzufügen, wählen Sie nur das Dock oder eine Seite aus, nicht beides.

  • Wenn Sie ein Startbildschirmlayout anwenden, wird jedes benutzerdefinierte Layout überschrieben. Daher wird empfohlen, Startbildschirmlayouts auf benutzerlosen Geräten zu verwenden.

  • Sie können bereits vorhandene Apps auf dem Gerät installiert haben, die nicht in der Konfiguration des Startbildschirmlayouts enthalten sind. Diese Apps werden in alphabetischer Reihenfolge nach den konfigurierten Apps angezeigt.

  • Wenn Sie die Rastereinstellungen des Startbildschirms verwenden, um Seiten oder Seiten und Apps zum Dock hinzuzufügen, werden die Symbole auf dem Startbildschirm und die Seiten gesperrt. Sie können nicht verschoben oder gelöscht werden. Dieses Verhalten kann bei iOS/iPadOS und den MDM-Richtlinien von Apple beabsichtigt sein.

Startbildschirm

Verwenden Sie dieses Feature, um Apps hinzuzufügen. Und sehen Sie sich an, wie diese Apps auf Seiten, im Dock und in Ordnern aussehen. Außerdem werden die App-Symbole angezeigt. VPP-Apps (Volume Purchase Program), Branchen-Apps und Weblink-Apps (Web-App-URLs) werden aus den von Ihnen hinzugefügten Client-Apps aufgefüllt.

  • Rastergröße: Wählen Sie eine geeignete Rastergröße für den Startbildschirm des Geräts aus. Eine App oder ein Ordner nimmt einen Platz im Raster ein. Wenn das Zielgerät die ausgewählte Größe nicht unterstützt, passen einige Apps möglicherweise nicht und werden an die nächste verfügbare Position auf einer neuen Seite verschoben. Zur Referenz:

    • iPhone 5 unterstützt 4 Spalten x 5 Zeilen
    • iPhone 6 und höher unterstützen 4 Spalten x 6 Zeilen
    • iPads unterstützen 5 Spalten x 6 Zeilen

  • +: Wählen Sie die Schaltfläche Hinzufügen aus, um Apps hinzuzufügen.

  • Erstellen eines Ordners oder Hinzufügen von Apps: Hinzufügen einer App oder eines Ordners:

    • App: Wählen Sie vorhandene Apps aus der Liste aus. Diese Option fügt Apps auf dem Startbildschirm auf Geräten hinzu. Wenn Sie über keine Apps verfügen, fügen Sie Apps zu Intune hinzu.

      Sie können auch nach Apps nach dem App-Namen suchen, z authenticator . B. oder drive. Oder suchen Sie nach dem App-Herausgeber, z Microsoft . B. oder Apple.

    • Ordner: Fügt dem Startbildschirm einen Ordner hinzu. Geben Sie den Ordnernamen ein, und wählen Sie vorhandene Apps aus der Liste aus, um in den Ordner zu wechseln. Dieser Ordnername wird Benutzern auf ihren Geräten angezeigt.

      Sie können auch nach Apps nach dem App-Namen suchen, z authenticator . B. oder drive. Oder suchen Sie nach dem App-Herausgeber, z Microsoft . B. oder Apple.

      Apps sind von links nach rechts angeordnet und in der gleichen Reihenfolge wie gezeigt. Apps können an andere Positionen verschoben werden. Sie können nur eine Seite in einem Ordner haben. Fügen Sie dem Ordner zur Umgehung neun (9) oder mehr Apps hinzu. Apps werden automatisch auf die nächste Seite verschoben. Sie können eine beliebige Kombination aus VPP-Apps, Weblinks (Web-Apps), Store-Apps, Branchen-Apps und System-Apps hinzufügen.

Dock

Fügen Sie bis zu vier (4) Elemente für iPhones und bis zu sechs (6) Elemente für iPads (Apps und Ordner kombiniert) zum Dock auf dem Bildschirm hinzu. Viele Geräte unterstützen weniger Elemente. Beispielsweise unterstützen iPhone-Geräte bis zu vier Elemente. Daher werden nur die ersten vier Elemente angezeigt, die Sie hinzufügen.

  • +: Wählen Sie die Schaltfläche Hinzufügen aus, um Apps oder Ordner zum Dock hinzuzufügen.

  • Erstellen eines Ordners oder Hinzufügen von Apps: Hinzufügen einer App oder eines Ordners:

    • App: Wählen Sie vorhandene Apps aus der Liste aus. Mit dieser Option werden Apps zum Dock auf dem Bildschirm hinzugefügt. Wenn Sie über keine Apps verfügen, fügen Sie Apps zu Intune hinzu.

      Sie können auch nach Apps nach dem App-Namen suchen, z authenticator . B. oder drive. Oder suchen Sie nach dem App-Herausgeber, z Microsoft . B. oder Apple.

    • Ordner: Fügt dem Dock auf dem Bildschirm einen Ordner hinzu. Geben Sie den Ordnernamen ein, und wählen Sie vorhandene Apps aus der Liste aus, um in den Ordner zu wechseln. Dieser Ordnername wird Benutzern auf ihren Geräten angezeigt.

      Sie können auch nach Apps nach dem App-Namen suchen, z authenticator . B. oder drive. Oder suchen Sie nach dem App-Herausgeber, z Microsoft . B. oder Apple.

      Apps sind von links nach rechts angeordnet und in der gleichen Reihenfolge wie gezeigt. Apps können an andere Positionen verschoben werden. Wenn Sie mehr Apps hinzufügen, als auf eine Seite passen, werden die Apps automatisch auf eine andere Seite verschoben. Sie können bis zu 20 Seiten in einem Ordner im Dock hinzufügen. Sie können eine beliebige Kombination aus VPP-Apps, Weblinks (Web-Apps), Store-Apps, Branchen-Apps und System-Apps hinzufügen.

Beispiel

Im folgenden Beispiel zeigt der Dockbildschirm die Apps Safari, Mail und Aktien an. Die Aktien-App wird ausgewählt, um ihre Eigenschaften anzuzeigen:

Beispieleinstellungen für das iOS-/iPadOS-Startbildschirmlayout in Microsoft Intune

Wenn Sie die Richtlinie einem iPhone zuweisen, sieht das Dock in etwa wie in der folgenden Abbildung aus:

Beispiel für ein iOS-/iPadOS-Docklayout auf einem iPhone-Gerät

App-Benachrichtigungen

Einstellungen gelten für: Automatisierte Geräteregistrierung (überwacht)

  • Hinzufügen: Hinzufügen von Benachrichtigungen für Apps:

    Hinzufügen einer App-Benachrichtigung im Konfigurationsprofil für iOS-/iPadOS-Gerätefeatures in Microsoft Intune

    • App-Bündel-ID: Geben Sie die App-Bundle-ID der App ein, die Sie hinzufügen möchten. Einige Beispiele finden Sie unter Bundle-IDs für integrierte iOS-/iPadOS-Apps . Wenn diese Einstellung nicht konfiguriert oder leer gelassen wird, ändert oder aktualisiert Intune diese Einstellung nicht.

    • App-Name: Geben Sie den Namen der App ein, die Sie hinzufügen möchten. Dieser Name wird als Referenz im Microsoft Intune Admin Center verwendet. Es wird nicht auf Geräten angezeigt. Wenn diese Einstellung nicht konfiguriert oder leer gelassen wird, ändert oder aktualisiert Intune diese Einstellung nicht.

    • Herausgeber: Geben Sie den Herausgeber der App ein, die Sie hinzufügen. Dieser Name wird als Referenz im Microsoft Intune Admin Center verwendet. Es wird nicht auf Geräten angezeigt. Wenn diese Einstellung nicht konfiguriert oder leer gelassen wird, ändert oder aktualisiert Intune diese Einstellung nicht.

    • Benachrichtigungen: Aktivieren oder Deaktivieren des Sendens von Benachrichtigungen an Geräte durch die App. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

      Wenn sie auf Aktivieren festgelegt ist, konfigurieren Sie auch Folgendes:

      • Im Benachrichtigungscenter anzeigen: Aktivieren ermöglicht der App, Benachrichtigungen im Benachrichtigungscenter des Geräts anzuzeigen. Deaktivieren verhindert, dass die App Benachrichtigungen im Benachrichtigungscenter anzeigt. Wenn diese Einstellung nicht konfiguriert oder leer gelassen wird, ändert oder aktualisiert Intune diese Einstellung nicht.

      • Auf Sperrbildschirm anzeigen: Aktivieren zeigt App-Benachrichtigungen auf dem Sperrbildschirm des Geräts an. Deaktivieren verhindert, dass die App Benachrichtigungen auf dem Sperrbildschirm anzeigt. Wenn diese Einstellung nicht konfiguriert oder leer gelassen wird, ändert oder aktualisiert Intune diese Einstellung nicht.

      • Warnungstyp: Wenn Geräte entsperrt werden, wählen Sie aus, wie die Benachrichtigung angezeigt wird. Folgende Optionen sind verfügbar:

        • Keine: Es wird keine Benachrichtigung angezeigt.
        • Banner: Ein Banner wird kurz mit der Benachrichtigung angezeigt. Diese Einstellung kann auch als temporäres Banner bezeichnet werden.
        • Modal: Die Benachrichtigung wird angezeigt, und Benutzer müssen sie manuell schließen, bevor Sie das Gerät weiterhin verwenden. Diese Einstellung kann auch als persistentes Banner bezeichnet werden.

      • Badge für App-Symbol: Aktivieren fügt dem App-Symbol ein Signal hinzu. Der Badge bedeutet, dass die App eine Benachrichtigung gesendet hat. Deaktivieren fügt dem App-Symbol keinen Badge hinzu. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht.

      • Sounds aktivieren: Bei Aktivieren wird ein Sound wiedergegeben, wenn eine Benachrichtigung übermittelt wird. Deaktivieren gibt keinen Ton wieder, wenn eine Benachrichtigung übermittelt wird. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht.

      • Vorschau anzeigen: Zeigt eine Vorschau der aktuellen App-Benachrichtigungen an. Wählen Sie aus, wann die Vorschau angezeigt werden soll. Der ausgewählte Wert überschreibt den vom Benutzer konfigurierten Wert auf dem Gerät (Einstellungen > Benachrichtigungen > anzeigen Vorschauen). Folgende Optionen sind verfügbar:

        • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
        • Wenn entsperrt: Die Vorschau wird nur angezeigt, wenn das Gerät entsperrt ist.
        • Immer: Die Vorschau wird immer auf dem Sperrbildschirm angezeigt.
        • Nie: Die Vorschau wird nie angezeigt.

        Diese Funktion gilt für:

        • iOS/iPadOS 14.0 und höher

Sperrbildschirmnachricht

Diese Funktion gilt für:

  • iOS 9.3 und höher
  • iOS 13.0 und höher

Einstellungen gelten für: Automatisierte Geräteregistrierung (überwacht)

  • "If Lost, Return to ..." Meldung: Wenn Geräte verloren gehen oder gestohlen werden, geben Sie eine Notiz ein, die ihnen helfen kann, das Gerät zurückzugeben, wenn es gefunden wird. Sie können einen beliebigen Text eingeben. Geben Sie zum Beispiel If found, call Contoso at ... ein.

    Der eingegebene Text wird auf Geräten im Anmeldefenster und auf dem Sperrbildschirm angezeigt.

  • Informationen zum Assettag: Geben Sie Informationen zum Assettag des Geräts ein. Geben Sie z. B. oder ein Owned by Contoso CorpSerial Number: {{serialnumber}}.

    Gerätetoken können auch verwendet werden, um diesen Feldern gerätespezifische Informationen hinzuzufügen. Geben Sie z. B. oder Device ID: {{DEVICEID}}einSerial Number: {{serialnumber}}, um die Seriennummer anzuzeigen. Auf dem Sperrbildschirm wird der Text ähnlich wie angezeigt Serial Number 123456789ABC. Achten Sie beim Eingeben von Variablen darauf, dass Sie geschweifte Klammern {{ }}verwenden.

    Die folgenden Geräteinformationsvariablen werden unterstützt. Variablen werden auf der Benutzeroberfläche nicht überprüft und die Groß-/Kleinschreibung wird beachtet. Wenn Sie eine falsche Variable eingeben, werden Profile angezeigt, die mit falscher Eingabe gespeichert wurden. Wenn Sie beispielsweise anstelle von {{deviceid}} oder {{DEVICEID}}eingeben{{DeviceID}}, wird die Literalzeichenfolge anstelle der eindeutigen ID des Geräts angezeigt. Achten Sie darauf, die richtigen Informationen einzugeben. Alle Variablen in Kleinbuchstaben oder Großbuchstaben werden unterstützt, aber keine Mischung.

    • {{AADDeviceId}}: Microsoft Entra Geräte-ID
    • {{AccountId}}: Intune Mandanten-ID oder Konto-ID
    • {{AccountName}}: Intune Mandanten- oder Kontoname
    • {{AppleId}}: Apple-ID des Benutzers
    • {{Department}}: Abteilung zugewiesen während des Setup-Assistenten
    • {{DeviceId}}: Intune Geräte-ID
    • {{DeviceName}}: Intune Gerätename
    • {{domain}}:Domänennamen
    • {{EASID}}: Exchange Active Sync ID
    • {{EDUUserType}}: Benutzertyp
    • {{IMEI}}: IMEI des Geräts
    • {{mail}}: Email Adresse des Benutzers
    • {{ManagedAppleId}}: Verwaltete Apple-ID des Benutzers
    • {{MEID}}: MEID des Geräts
    • {{partialUPN}}: UPN-Präfix vor dem @-Symbol
    • {{SearchableDeviceKey}}: NGC-Schlüssel-ID
    • {{SerialNumber}}: Seriennummer des Geräts
    • {{SerialNumberLast4Digits}}: Letzte 4 Ziffern der Seriennummer des Geräts
    • {{SIGNEDDEVICEID}}: Dem Client während Unternehmensportal Registrierung zugewiesenes Geräte-ID-Blob
    • {{SignedDeviceIdWithUserId}}: Dem Client mit Benutzeraffinität während des Apple-Setup-Assistenten zugewiesenes Geräte-ID-Blob
    • {{UDID}}: UdID des Geräts
    • {{UDIDLast4Digits}}: Letzte 4 Ziffern der UdID des Geräts
    • {{UserId}}: benutzer-ID Intune
    • {{UserName}}: Benutzername
    • {{userPrincipalName}}: UPN des Benutzers

Single Sign-On

Die Einstellungen gelten für: Geräteregistrierung, automatisierte Geräteregistrierung (überwacht)

  • Microsoft Entra Benutzernamensattribut: Intune sucht für jeden Benutzer in Microsoft Entra ID nach diesem Attribut. Intune füllt dann das entsprechende Feld (z. B. den UPN) auf, bevor der XML-Code generiert wird, der auf Geräten installiert wird. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig fordert das Betriebssystem Benutzer zur Eingabe eines Kerberos-Prinzipalnamens auf, wenn das Profil auf Geräten bereitgestellt wird. Ein Prinzipalname ist erforderlich, damit MDMs SSO-Profile installieren können.

    • Benutzerprinzipalname: Der Benutzerprinzipalname (User Principal Name, UPN) wird wie folgt analysiert:

      iOS/iPadOS Username SSO-Attribut in Microsoft Intune

      Sie können den Bereich auch mit dem Text überschreiben, den Sie im Textfeld Bereich eingeben.

      Contoso verfügt beispielsweise über mehrere Regionen, darunter Europa, Asien und Nordamerika. Contoso möchte, dass seine Asia-Benutzer SSO verwenden, und die App erfordert den UPN im username@asia.contoso.com Format. Wenn Sie Benutzerprinzipalname auswählen, wird der Bereich für jeden Benutzer aus Microsoft Entra ID übernommen, d. hcontoso.com. . Wählen Sie daher für Benutzer in Asien Benutzerprinzipalname aus, und geben Sie ein asia.contoso.com. Der UPN des Benutzers wird username@asia.contoso.comanstelle von username@contoso.comzu .

    • Intune Geräte-ID: Intune wählt automatisch die Intune Geräte-ID aus. Standardmäßig:

      • Apps müssen nur die Geräte-ID verwenden. Wenn Ihre App jedoch den Bereich und die Geräte-ID verwendet, können Sie den Bereich in das Textfeld Bereich eingeben.
      • Wenn Sie die Geräte-ID verwenden, lassen Sie den Bereich leer.

    • Azure AD-Geräte-ID: Die Microsoft Entra-Geräte-ID

    • SAM-Kontoname: Intune füllt den Namen des lokalen Security Accounts Manager-Kontos (SAM) auf.

  • Bereich: Geben Sie den Domänenteil der URL ein. Geben Sie beispielsweise contoso.com ein.

  • URLs: Fügen Sie alle URLs in Ihrem organization hinzu, die eine Benutzerauthentifizierung mit einmaligem Anmelden (Single Sign-On, SSO) erfordern.

    Wenn ein Benutzer beispielsweise eine Verbindung mit einer dieser Websites herstellt, verwendet das iOS-/iPadOS-Gerät die SSO-Anmeldeinformationen. Benutzer müssen keine Anmeldeinformationen erneut eingeben. Wenn die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) aktiviert ist, müssen Benutzer die zweite Authentifizierung eingeben.

    Ferner gilt Folgendes:

    • Diese URLs müssen ordnungsgemäß formatierter FQDN sein. Apple erfordert, dass die URLs im http://<yourURL.domain> Format vorliegen.

    • Die URL-Abgleichsmuster müssen mit http:// oder https://beginnen. Es wird eine einfache Zeichenfolgen-Übereinstimmung ausgeführt, sodass das http://www.contoso.com/ URL-Präfix nicht mit übereinstimmt http://www.contoso.com:80/. Mit iOS 10.0 und höher und iPadOS 13.0 und höher kann ein einzelner Wildcard * verwendet werden, um alle übereinstimmenden Werte einzugeben. Entspricht z. Bhttp://*.contoso.com/. sowohl als http://www.contoso.comauch http://store.contoso.com/ .

      Die http://.com Muster und https://.com stimmen mit allen HTTP- bzw. HTTPS-URLs überein.

  • Apps: Fügen Sie Apps auf Benutzergeräten hinzu, die einmaliges Anmelden verwenden können.

    Das AppIdentifierMatches Array muss Zeichenfolgen enthalten, die den App-Bündel-IDs entsprechen. Diese Zeichenfolgen können genaue Übereinstimmungen sein, z com.contoso.myapp. B. , oder geben Sie mithilfe des Wildcardzeichens eine Präfix-Übereinstimmung für die * Bündel-ID ein. Das Wildcardzeichen muss nach einem Punktzeichen (.) angezeigt werden und kann nur einmal am Ende der Zeichenfolge angezeigt werden, z com.contoso.*. B. . Wenn ein Wildcard enthalten ist, wird jeder App, deren Bündel-ID mit dem Präfix beginnt, Zugriff auf das Konto gewährt.

    Verwenden Sie App-Name , um einen benutzerfreundlichen Namen einzugeben, mit dem Sie die Bündel-ID leichter identifizieren können.

  • Zertifikat zur Verlängerung von Anmeldeinformationen: Wenn Sie Zertifikate für die Authentifizierung (keine Kennwörter) verwenden, wählen Sie das vorhandene SCEP - oder PFX-Zertifikat als Authentifizierungszertifikat aus. In der Regel handelt es sich bei diesem Zertifikat um dasselbe Zertifikat, das benutzern für andere Profile wie VPN, WLAN oder E-Mail bereitgestellt wird.

Webinhaltsfilter

Einstellungen gelten für: Automatisierte Geräteregistrierung (überwacht)

Diese Einstellungen verwenden die Webinhaltsfilter-Einstellungen von Apple. Weitere Informationen zu diesen Einstellungen finden Sie auf der Plattformbereitstellungswebsite von Apple (öffnet die Website von Apple).

  • Filtertyp: Wählen Sie aus, um bestimmte Websites zuzulassen. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.

    • Konfigurieren von URLs: Verwenden Sie den integrierten Webfilter von Apple, der nach begriffenen Erwachsenen sucht, einschließlich obszöner Ausdrücke und sexuell expliziter Sprache. Dieses Feature wertet jede Webseite beim Laden aus und identifiziert und blockiert ungeeignete Inhalte. Sie können auch URLs hinzufügen, die nicht vom Filter überprüft werden sollen. Oder blockieren Sie bestimmte URLs, unabhängig von den Filtereinstellungen von Apple.

      • Zulässige URLs: Fügen Sie die URLs hinzu, die Sie zulassen möchten. Diese URLs umgehen den Webfilter von Apple.

        Die von Ihnen eingegebenen URLs sind die URLs, die vom Apple-Webfilter nicht ausgewertet werden sollen. Diese URLs sind keine Liste zulässiger Websites. Um eine Liste der zulässigen Websites zu erstellen, legen Sie filtertypauf Nur bestimmte Websites fest.

      • Blockierte URLs: Fügen Sie die URLs hinzu, die Sie nicht mehr öffnen möchten, unabhängig von den Apple-Webfiltereinstellungen.

    • Nur bestimmte Websites (nur für Safari-Webbrowser): Diese URLs werden den Lesezeichen des Safari-Browsers hinzugefügt. Benutzer dürfen diese Websites nur besuchen; es können keine anderen Websites geöffnet werden. Verwenden Sie diese Option nur, wenn Sie die genaue Liste der URLs kennen, auf die Benutzer zugreifen können.

      • URL: Geben Sie die URL der Website ein, die Sie zulassen möchten. Geben Sie beispielsweise https://www.contoso.com ein.
      • Lesezeichenpfad: Apple hat diese Einstellung geändert. Alle Lesezeichen werden in den Ordner Zulässige Websites verschoben. Lesezeichen werden nicht in den von Ihnen eingegebenen Lesezeichenpfad eingegeben.
      • Titel: Geben Sie einen beschreibenden Titel für das Lesezeichen ein.

      Wenn Sie keine URLs eingeben, können Benutzer nicht auf Websites mit Ausnahme von microsoft.com, microsoft.netund apple.comzugreifen. Intune lässt diese URLs automatisch zu.

App-Erweiterung für einmaliges Anmelden

Diese Funktion gilt für:

  • iOS 13.0 und höher
  • iPadOS 13.0 und höher

Einstellungen gelten für: Alle Registrierungstypen

  • SSO-App-Erweiterungstyp: Wählen Sie den Typ der SSO-App-Erweiterung aus. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig verwendet das Betriebssystem keine App-Erweiterungen. Um eine App-Erweiterung zu deaktivieren, können Sie den SSO-App-Erweiterungstyp in Nicht konfiguriert ändern.

    • Microsoft Entra ID: Verwendet das Microsoft Entra ID Enterprise SSO-Plug-In, eine Umleitungs-SSO-App-Erweiterung. Dieses Plug-In bietet SSO für lokales Active Directory-Konten in allen Anwendungen, die das Feature für einmaliges Anmelden von Apple Enterprise unterstützen. Verwenden Sie diesen SSO-App-Erweiterungstyp, um SSO für Microsoft-Apps, organization-Apps und Websites zu aktivieren, die sich mit Microsoft Entra ID authentifizieren.

      Das SSO-Plug-In fungiert als erweiterter Authentifizierungsbroker, der Sicherheits- und Benutzerfreundlichkeitsverbesserungen bietet. Alle Apps, die die Microsoft Authenticator-App für die Authentifizierung verwenden, erhalten weiterhin SSO mit dem Microsoft Enterprise SSO-Plug-In für Apple-Geräte.

      Wichtig

      Um einmaliges Anmelden mit dem App-Erweiterungstyp Microsoft Entra SSO zu erreichen, installieren Sie zuerst die iOS/iPadOS Microsoft Authenticator-App auf Geräten. Die Authenticator-App übermittelt das Microsoft Enterprise SSO-Plug-In an Geräte, und die Einstellungen der MDM-SSO-App-Erweiterung aktivieren das Plug-In. Sobald Authenticator und das SSO-App-Erweiterungsprofil auf Geräten installiert sind, müssen Benutzer ihre Anmeldeinformationen eingeben, um sich anzumelden und eine Sitzung auf ihren Geräten einzurichten. Diese Sitzung wird dann für verschiedene Anwendungen verwendet, ohne dass benutzer sich erneut authentifizieren müssen. Weitere Informationen zu Authenticator findest du unter Was ist die Microsoft Authenticator-App?

      Weitere Informationen findest du unter Verwenden des Microsoft Enterprise SSO-Plug-Ins auf iOS-/iPadOS-Geräten.

    • Umleitung: Verwenden Sie eine generische, anpassbare Umleitungs-App-Erweiterung, um SSO mit modernen Authentifizierungsflows zu verwenden. Stellen Sie sicher, dass Sie die Erweiterungs-ID für die App-Erweiterung Ihres organization kennen.

    • Anmeldeinformationen: Verwenden Sie eine generische, anpassbare App-Erweiterung für Anmeldeinformationen, um SSO mit Challenge-and-Response-Authentifizierungsflows zu verwenden. Stellen Sie sicher, dass Sie die Erweiterungs-ID für die App-Erweiterung Ihres organization kennen.

    • Kerberos: Verwenden Sie die integrierte Kerberos-Erweiterung von Apple, die in iOS 13.0 und höher und iPadOS 13.0 und höher enthalten ist. Diese Option ist eine Kerberos-spezifische Version der App-Erweiterung für Anmeldeinformationen .

    Tipp

    Mit den Typen "Umleitung " und "Anmeldeinformationen " fügen Sie Ihre eigenen Konfigurationswerte hinzu, um die Erweiterung zu durchlaufen. Wenn Sie Anmeldeinformationen verwenden, sollten Sie die von Apple im Kerberos-Typ bereitgestellten integrierten Konfigurationseinstellungen verwenden.

    Nachdem sich Benutzer erfolgreich bei der Authenticator-App angemeldet haben, werden sie nicht aufgefordert, sich bei anderen Apps anzumelden, die die SSO-Erweiterung verwenden. Wenn Benutzer verwaltete Apps, die die SSO-Erweiterung nicht verwenden, zum ersten Mal öffnen, werden sie aufgefordert, das angemeldete Konto auszuwählen.

  • Modus für gemeinsam genutzte Geräte aktivieren (nur Microsoft Entra ID): Wählen Sie Ja aus, wenn Sie das Microsoft Enterprise SSO-Plug-In auf iOS-/iPadOS-Geräten bereitstellen, die für Microsoft Entra Modus für gemeinsam genutzte Geräte konfiguriert sind. Geräte im freigegebenen Modus ermöglichen vielen Benutzern das globale An- und Abmelden von Anwendungen, die den Modus für gemeinsam genutzte Geräte unterstützen. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig sind iOS-/iPadOS-Geräte nicht für mehrere Benutzer vorgesehen.

    Weitere Informationen zum Modus für gemeinsam genutzte Geräte und dessen Aktivierung finden Sie unter Übersicht über den Modus für gemeinsam genutzte Geräte und den Modus für gemeinsam genutzte Geräte für iOS-Geräte.

    Diese Funktion gilt für:

    • iOS/iPadOS 13.5 und höher

  • Erweiterungs-ID (Umleitung und Anmeldeinformationen): Geben Sie den Paketbezeichner ein, der Ihre SSO-App-Erweiterung identifiziert, z. B com.apple.extensiblesso. .

  • Team-ID (Umleitung und Anmeldeinformationen): Geben Sie die Team-ID Ihrer SSO-App-Erweiterung ein. Ein Teambezeichner ist eine 10-stellige alphanumerische Zeichenfolge (Zahlen und Buchstaben), die von Apple generiert wird, z. B ABCDE12345. . Die Team-ID ist nicht erforderlich.

    Suchen Sie Ihre Team-ID (öffnet die Website von Apple) enthält weitere Informationen.

  • Bereich (Anmeldeinformationen und Kerberos): Geben Sie den Namen Ihres Authentifizierungsbereichs ein. Der Bereichsname sollte groß geschrieben werden, z CONTOSO.COM. B. . In der Regel ist Ihr Bereichsname mit dem Namen Ihrer DNS-Domäne identisch, jedoch in Großbuchstaben.

  • Domänen (Anmeldeinformationen und Kerberos): Geben Sie die Domänen- oder Hostnamen der Websites ein, die sich über einmaliges Anmelden authentifizieren können. Wenn Ihre Website beispielsweise ist mysite.contoso.com, ist der mysite Hostname und .contoso.com der Domänenname. Wenn Benutzer eine Verbindung mit einer dieser Websites herstellen, übernimmt die App-Erweiterung die Authentifizierungsanforderung. Diese Authentifizierung ermöglicht Benutzern die Verwendung von Face ID, Touch ID oder Apple Pincode/Kennung für die Anmeldung.

    • Alle Domänen in Ihrer App-Erweiterung für einmaliges Anmelden Intune Profilen müssen eindeutig sein. Sie können eine Domäne in keinem Anmelde-App-Erweiterungsprofil wiederholen, auch wenn Sie verschiedene Typen von SSO-App-Erweiterungen verwenden.
    • Bei diesen Domänen wird die Groß-/Kleinschreibung nicht beachtet.
    • Die Domäne muss mit einem Punkt (.) beginnen.

  • URLs (nur Umleitung): Geben Sie die URL-Präfixe Ihrer Identitätsanbieter ein, in deren Namen die Umleitungs-App-Erweiterung SSO verwendet. Wenn Benutzer zu diesen URLs umgeleitet werden, greift die SSO-App-Erweiterung ein und fordert SSO auf.

    • Alle URLs in Ihrem Intune Profile der App-Erweiterung für einmaliges Anmelden müssen eindeutig sein. Sie können eine Domäne in keinem SSO-App-Erweiterungsprofil wiederholen, auch wenn Sie verschiedene Typen von SSO-App-Erweiterungen verwenden.
    • Die URLs müssen mit http:// oder https://beginnen.

  • Zusätzliche Konfiguration (Microsoft Entra ID, Umleitung und Anmeldeinformationen): Geben Sie weitere erweiterungsspezifische Daten ein, die an die SSO-App-Erweiterung übergeben werden sollen:

    • Schlüssel: Geben Sie den Namen des Elements ein, das Sie hinzufügen möchten, z user name . B. oder AppAllowList.

    • Typ: Geben Sie den Datentyp ein. Folgende Optionen sind verfügbar:

      • String
      • Boolescher Wert: Geben Sie unter Konfigurationswert oder FalseeinTrue.
      • Ganze Zahl: Geben Sie unter Konfigurationswert eine Zahl ein.

    • Wert: Geben Sie die Daten ein.

    • Hinzufügen: Wählen Sie diese Option aus, um Ihre Konfigurationsschlüssel hinzuzufügen.

  • Verwendung Keychain blockieren (nur Kerberos): Ja verhindert, dass Kennwörter im Keychain gespeichert werden. Wenn dies blockiert ist, werden Benutzer nicht aufgefordert, ihr Kennwort zu speichern, und müssen das Kennwort erneut eingeben, wenn das Kerberos-Ticket abläuft. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Speichern und Speichern von Kennwörtern im Keychain zu. Benutzer werden nicht aufgefordert, ihr Kennwort erneut einzugeben, wenn das Ticket abläuft.

  • Face ID, Touch ID oder Kennung erforderlich (nur Kerberos): Ja zwingt Benutzer, ihre Face ID, Touch ID oder ihre Gerätekennung einzugeben, wenn die Anmeldeinformationen zum Aktualisieren des Kerberos-Tickets erforderlich sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise nicht, dass Benutzer Biometrie oder Gerätekennung verwenden, um das Kerberos-Ticket zu aktualisieren. Wenn die Schlüsselbundverwendung blockiert ist, gilt diese Einstellung nicht.

  • Als Standardbereich festlegen (nur Kerberos): Ja legt den Bereichswert fest, den Sie als Standardbereich eingegeben haben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig legt das Betriebssystem möglicherweise keinen Standardbereich fest.

    • Wenn Sie mehrere Kerberos-SSO-App-Erweiterungen in Ihrem organization konfigurieren, wählen Sie Ja aus.
    • Wenn Sie mehrere Bereiche verwenden, wählen Sie Ja aus. Es legt den Bereichswert fest, den Sie als Standardbereich eingegeben haben.
    • Wenn Sie nur über einen Bereich verfügen, wählen Sie Nicht konfiguriert (Standard) aus.

  • AutoErmittlung blockieren (nur Kerberos): Ja verhindert, dass die Kerberos-Erweiterung automatisch LDAP und DNS verwendet, um den Namen des Active Directory-Standorts zu ermitteln. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

  • Nur verwaltete Apps zulassen (nur Kerberos): Wenn diese Option auf Ja festgelegt ist, erlaubt die Kerberos-Erweiterung nur verwaltete Apps und alle Apps, die mit der App-Bündel-ID eingegeben werden, den Zugriff auf die Anmeldeinformationen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass nicht verwaltete Apps auf die Anmeldeinformationen zugreifen.

    Diese Funktion gilt für:

    • iOS/iPadOS 14 und höher

  • Prinzipalname (nur Kerberos): Geben Sie den Benutzernamen des Kerberos-Prinzipals ein. Sie müssen den Bereichsnamen nicht einschließen. In ist z. Buser@contoso.comuser. der Prinzipalname und contoso.com der Bereichsname.

    • Sie können auch Variablen im Prinzipalnamen verwenden, indem Sie geschweifte Klammern {{ }}eingeben. Geben Sie Username: {{username}}beispielsweise ein, um den Benutzernamen anzuzeigen.
    • Seien Sie vorsichtig bei der Variablenersetzung. Variablen werden auf der Benutzeroberfläche nicht überprüft, und die Groß-/Kleinschreibung wird beachtet. Achten Sie darauf, die richtigen Informationen einzugeben.

  • Active Directory-Standortcode (nur Kerberos): Geben Sie den Namen des Active Directory-Standorts ein, den die Kerberos-Erweiterung verwenden soll. Möglicherweise müssen Sie diesen Wert nicht ändern, da die Kerberos-Erweiterung den Active Directory-Standortcode automatisch finden kann.

  • Cachename (nur Kerberos): Geben Sie den GSS-Namen (Generic Security Services) des Kerberos-Caches ein. Sie müssen diesen Wert höchstwahrscheinlich nicht festlegen.

  • Text des Anmeldefensters (nur Kerberos): Geben Sie den Text ein, der Benutzern im Kerberos-Anmeldefenster angezeigt wird.

    Diese Funktion gilt für:

    • iOS/iPadOS 14 und höher

  • App-Bündel-IDs (Microsoft Entra ID, Kerberos): Geben Sie die Bündel-IDs aller anderen Apps ein, die einmaliges Anmelden über eine Erweiterung auf Ihren Geräten erhalten sollen.

    Wenn Sie den App-Erweiterungstyp Microsoft Entra ID SSO verwenden, gehen Sie wie vor:

    • Diese Apps verwenden das Microsoft Enterprise SSO-Plug-In, um den Benutzer zu authentifizieren, ohne dass eine Anmeldung erforderlich ist.

    • Die eingegebenen App-Bündel-IDs verfügen über die Berechtigung, die Microsoft Entra SSO-App-Erweiterung zu verwenden, wenn sie keine Microsoft-Bibliotheken wie Microsoft Authentication Library (MSAL) verwenden.

      Die Benutzeroberfläche für diese Apps ist im Vergleich zu den Microsoft-Bibliotheken möglicherweise nicht so nahtlos. Ältere Apps, die die MSAL-Authentifizierung verwenden, oder Apps, die nicht die neuesten Microsoft-Bibliotheken verwenden, müssen dieser Liste hinzugefügt werden, damit sie ordnungsgemäß mit der Microsoft Azure SSO-App-Erweiterung funktionieren.

    Wenn Sie den App-Erweiterungstyp Kerberos-SSO verwenden, werden die folgenden Apps verwendet:If you use the Kerberos SSO app extension type, then these apps:

    • Zugriff auf das Kerberos Ticket Granting Ticket
    • Zugriff auf das Authentifizierungsticket haben
    • Authentifizieren von Benutzern bei Diensten, auf die sie zugreifen dürfen

  • Domänenbereichszuordnung (nur Kerberos): Geben Sie die DOMÄNEN-DNS-Suffixe ein, die Ihrem Bereich zugeordnet werden sollen. Verwenden Sie diese Einstellung, wenn die DNS-Namen der Hosts nicht mit dem Bereichsnamen übereinstimmen. Sie müssen diese benutzerdefinierte Domänen-zu-Bereich-Zuordnung wahrscheinlich nicht erstellen.

  • PKINIT-Zertifikat (nur Kerberos): Wählen Sie das PKINIT-Zertifikat (Public Key Cryptography for Initial Authentication) aus, das für die Kerberos-Authentifizierung verwendet werden kann. Sie können zwischen PKCS- oder SCEP-Zertifikaten wählen, die Sie in Intune hinzugefügt haben.

    Weitere Informationen zu Zertifikaten findest du unter Verwenden von Zertifikaten für die Authentifizierung in Microsoft Intune.

Hintergrundbild

Es kann zu unerwartetem Verhalten führen, wenn ein Profil ohne Bild Geräten mit einem vorhandenen Image zugewiesen wird. Beispielsweise erstellen Sie ein Profil ohne Image. Dieses Profil wird Geräten zugewiesen, die bereits über ein Image verfügen. In diesem Szenario kann sich das Image in den Gerätestandard ändern, oder das ursprüngliche Bild bleibt auf dem Gerät. Dieses Verhalten wird durch die MDM-Plattform von Apple gesteuert und eingeschränkt.

Einstellungen gelten für: Automatisierte Geräteregistrierung (überwacht)

  • Hintergrundbild Anzeigeort: Wählen Sie eine Position auf Geräten aus, auf der das Bild angezeigt wird. Folgende Optionen sind verfügbar:
    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Geräten wird kein benutzerdefiniertes Image hinzugefügt. Standardmäßig kann das Betriebssystem ein eigenes Image festlegen.
    • Sperrbildschirm: Fügt das Bild dem Sperrbildschirm hinzu.
    • Startbildschirm: Fügt das Bild dem Startbildschirm hinzu.
    • Sperrbildschirm und Startbildschirm: Verwendet das gleiche Bild auf dem Sperrbildschirm und dem Startbildschirm.
  • Hintergrundbild: Laden Sie ein vorhandenes .png, .jpg oder .jpeg Bild hoch, das Sie verwenden möchten. Stellen Sie sicher, dass die Dateigröße kleiner als 750 KB ist. Sie können auch ein hinzugefügtes Image entfernen .

Tipp

  • Beim Konfigurieren einer Hintergrundbildrichtlinie empfiehlt Microsoft, die Einstellung Änderung des Hintergrundbilds blockieren zu aktivieren. Diese Einstellung verhindert, dass Benutzer das Hintergrundbild ändern.
  • Um verschiedene Bilder auf dem Sperrbildschirm und dem Startbildschirm anzuzeigen, erstellen Sie ein Profil mit dem Sperrbildschirmbild. Erstellen Sie ein weiteres Profil mit dem Startbildschirmbild. Weisen Sie Beide Profile Ihren iOS-/iPadOS-Benutzer- oder Gerätegruppen zu.