Aktivieren von BYOD mit IntuneEnable BYOD with Intune

Dieses Thema enthält einen allgemeinen Workflow für die Einrichtung von Intune, um eine BYOD-Lösung (BYOD = Bring Your Own Device) für Ihre Organisation zu aktivieren.This topic provides a high-level workflow for setting up Intune to enable a bring-your-own-device (BYOD) solution to your organization. Die Aufgabe wird in drei Prozessen organisiert und enthält unterstützende Links zu Themen zur Vorgehensweise.It organizes the task into three processes and links to supporting how-to topics.

Der Workflow wird in folgende drei Prozesse unterteilt.The workflow is divided into the following three processes. Sie können die Aspekte der einzelnen Prozesse zum Erfüllen der Anforderungen Ihrer Organisation anpassen.You can tailor aspects of each process to meet your organization’s requirements.

  • Unter Registrieren von Geräten und Prüfen auf Konformität wird beschrieben, wie Benutzer ihre persönlichen Geräte für die Verwaltung in Intune registrieren können.Enroll devices and check for compliance describes how to enable users to enroll their personal devices into management with Intune. Intune verwaltet iOS-, macOS-, Android- und Windows-Geräte.Intune manages iOS, macOS, Android, and Windows devices. In diesem Abschnitt wird zudem beschrieben, wie Richtlinien für Geräte bereitgestellt werden und wie sichergestellt wird, dass sie grundlegende Sicherheitsanforderungen erfüllen.This section also describes how to deploy policies to devices and ensure they meet basic security requirements.

  • Unter Erteilen von Zugriff auf Unternehmensressourcen wird gezeigt, wie Sie es Benutzern ermöglichen können, einfach und sicher auf Unternehmensressourcen zuzugreifen.Provide access to company resources shows you how you can enable users to access company resources easily and securely. Hierzu werden Zugriffsprofile für verwaltete Geräte bereitgestellt.You do this by deploying access profiles to managed devices. In diesem Abschnitt wird zudem erläutert, wie Bereitstellungen von per Volumenlizenz erworbenen Apps in Intune verwaltet werden können.This section also explains how to manage volume-purchased app deployments with Intune.

  • UnterSchützen von Unternehmensdaten erfahren Sie, wie Sie bedingten Zugriff auf Unternehmensressourcen erteilen, Datenverlust verhindern und Unternehmens-Apps und -daten von Geräten entfernen, wenn sie nicht mehr für die Arbeit benötigt werden oder verloren bzw. gestohlen wurden.Protect company data helps you learn how to provide conditional access to company resources, prevent data loss, and remove company apps and data from devices when they are no longer needed for work or have been lost or stolen.

Allgemeines Workflowdiagramm zur Aktivierung von BYOD mit Microsoft IntuneHigh-level workflow diagram for enabling BYOD with Microsoft Intune

VorbereitungBefore you begin

Bevor Benutzer Geräte registrieren können, müssen Sie den Intune-Dienst selbst vorbereiten.Before users can enroll devices, you first need to prepare the Intune service itself. Hierzu müssen Sie Benutzern Lizenzen zuweisen und die Autorität für die Verwaltung mobiler Geräte festlegen.To do so, assign licenses to users and set the mobile device management authority.

Zudem sollten Sie das Unternehmensportal anpassen.While you're at it, you should also customize the company portal. Fügen Sie ein Unternehmensbranding hinzu, und stellen Sie Supportinformationen für Benutzer bereit.Add company branding and provide users with support information. Dadurch wird eine vertrauenswürdige Benutzererfahrung der Registrierung und der Unterstützung für Ihre Benutzer erzeugt.This creates a trusted enrollment and support experience for your users. Sie können auch Nutzungsbedingungen erstellen, die Benutzer vor der Registrierung akzeptieren müssen. Alternativ auch Geräteeinschränkungen, um anzugeben, welche Plattformen Sie unterstützen.You can also create terms of use that users must accept before enrolling, or device restrictions to specify which platforms you support.

Registrieren von Geräten und Prüfen auf KonformitätEnroll devices and check for compliance

Nachdem Sie den Intune-Dienst vorbereitet haben, müssen Sie für die verschiedenen Gerätetypen, die Sie verwalten möchten, verschiedene Registrierungsanforderungen erfüllen.After you prepare the Intune service, you need to meet the various enrollment requirements for the different device types that you want to manage. Der Prozess zum Registrieren von Geräten bei der Verwaltung ist einfach, unterscheidet sich jedoch abhängig von dem Gerätetyp.The process to enroll devices into management is straightforward, but differs slightly based on device type.

  • iOS- und Mac-Geräte: Sie müssen ein Apple MDM-Push-Zertifikat abrufen, um iPads, iPhones oder macOS-Geräte zu registrieren.iOS and Mac devices You need to get an Apple MDM push certificate to enroll iPads, iPhones, or macOS devices. Nachdem Sie Ihr MDM-Push-Zertifikat in Intune hochgeladen haben, können Benutzer mithilfe der Unternehmensportal-App iOS-Geräte registrieren und auf der Unternehmensportal-Website macOS-Geräte registrieren.After you've uploaded your MDM push certificate to Intune, users can enroll iOS devices using the Company Portal app and use the Company Portal website to enroll macOS devices.

  • Android-Geräte Sie müssen nichts tun, um den Intune-Dienst für die Registrierung von Android-Geräten vorzubereiten.Android devices There's nothing you need to do to get the Intune service ready to enroll Android devices. Benutzer können einfach über die Unternehmensportal-App, die in Google Play zur Verfügung steht, Ihre Geräte registrieren.Users can just enroll their Android devices into management using the Company Portal app available from Google Play.

  • Windows Phones und PCs Windows-Geräte können mit zusätzlichen Konfigurationen registriert werden.Windows Phones and PCs Windows devices can be enrolled with additional configuration. Sie können die automatische Registrierung für Windows 10-PCs und mobile Windows 10-Geräte in Azure Active Directory (AD) Premium aktivieren, um die Benutzererfahrung zu vereinfachen.You can enable automatic enrollment for Windows 10 PCs and Windows 10 mobile devices in Azure Active Directory (AD) Premium to simplify the end user experience. Wenn Sie nicht über Azure AD Premium verfügen, oder Sie Windows 8.1 unterstützen müssen, können Sie einen DNS-Alias für den Registrierungsserver erstellen, um die Registrierung einfacher zu gestalten.If you don't have Azure AD Premium or if you need to support Windows 8.1, you can create a DNS alias for the enrollment server to make enrollment easier.

Sicherstellen der Erfüllung grundlegender Sicherheitsanforderungen bei verwalteten GerätenMake sure that managed devices meet basic security requirements

Nachdem Benutzer ihre Geräte für die Verwaltung registriert haben, muss die IT sicherstellen, dass die für den Zugriff auf Unternehmens-Apps und -daten verwendeten Geräte die grundlegenden Sicherheitsanforderungen erfüllen.After users enroll their devices into management, IT needs to make sure that devices used to access company apps and data meet basic security requirements. Diese Regeln könnten die Verwendung einer PIN für den Zugriff auf Geräte und das Verschlüsseln von Daten, die auf Geräten gespeichert sind, einschließen.These rules might include using a PIN to access devices and encrypting data stored on devices. Eine Gruppe solcher Regeln wird als Konformitätsrichtlinie bezeichnet.A set of such rules is called a compliance policy.

Wenn Sie für einen Benutzer eine Konformitätsrichtlinie bereitstellen, werden alle seine von Intune verwalteten Geräte dahingehend überprüft, ob sie die grundlegenden Sicherheitsanforderungen erfüllen, die Sie im Rahmen Ihrer BYOD-Richtlinie definiert haben.When you deploy a compliance policy to a user, Intune checks each device the user has managed by Intune to see if the device meets the basic security requirements you defined as part of your BYOD policy. Nachdem ein Gerät auf die Konformität der Richtlinien überprüft wurde, meldet es seinen Status an Intune zurück.After a device has been evaluated for policy compliance, it reports its status back to Intune. In einigen Fällen werden Benutzer möglicherweise dazu aufgefordert, Einstellungen wie ihre PIN oder Geräteverschlüsselung zu korrigieren.In some cases, users might be asked to fix settings, such as their PIN or device encryption. In anderen Fällen benachrichtigt die Unternehmensportal-App den Benutzer einfach über alle Einstellungen, die Ihre Richtlinie nicht erfüllen.Other times, the company portal app simply notifies the user about any settings that don't meet your policy.

Bereitstellen des Zugriffs auf UnternehmensressourcenProvide access to company resources

Die meisten Mitarbeiter möchten auf Ihrem Mobilgerät als Erstes Zugriff auf Unternehmens-E-Mails und -Daten erhalten.The first thing most employees want to access on their mobile device is company email and documents. Sie erwarten, dass die Einrichtung ohne komplexe Schritte verläuft, und dass sie nicht beim Helpdesk anrufen müssen.They expect to set it up without going through complex steps or calling the help desk. Intune erleichtert Ihnen das Erstellen und Bereitstellen von E-Mail-Einstellungen für native E-Mail-Apps, die auf mobilen Geräten vorinstalliert sind.Intune makes it easy for you to create and deploy email settings for native email apps that are pre-installed on mobile devices.

Hinweis

Intune unterstützt die Konfiguration von Android for Work-E-Mail-Profilen für die Gmail- und Nine Work-E-Mail-Apps, die aus dem Google Play-Store bezogen werden können.Intune supports Android for Work email profile configuration for the Gmail and Nine Work email apps found in the Google Play store.

Intune hilft Ihnen auch dabei, den Zugriff auf lokale Unternehmensdaten zu steuern und zu schützen, wenn Benutzer extern arbeiten.Intune also helps you control and protect access to on-premises company data when users work offsite. Die WLAN-, VPN- und E-Mail-Profile von Intune greifen ineinander, um den Zugriff auf die Dateien und Ressourcen zuzulassen, die Benutzer für ihre Arbeit benötigen, unabhängig davon, wo sie gespeichert sind.Intune Wi-Fi, VPN, and email profiles work together to permit access to the files and resources that they need to do their work wherever they are. Die lokal gehosteten Webanwendungen und Services Ihres Unternehmens können mithilfe von Azure Active Directory-Anwendungsproxy und bedingtem Zugriff ebenfalls geschützt und auf sicheren Zugriff eingeschränkt werden.Your company's web applications and services hosted on-premises can also be securely accessed and protected using the Azure Active Directory Application Proxy and conditional access.

Verwalten von Apps aus einem VolumenprogrammManage volume-purchased apps

Mit Intune können Sie folgende Vorgänge ohne großen Aufwand durchführen:With Intune, it is easy to:

  • Importieren der Volumenlizenzinformationen aus beiden App StoresImport the volume license information from either app store
  • Nachverfolgen der Anzahl der verwendeten LizenzenTrack how many licenses you have used
  • Verhindern, dass Ihre Benutzer mehr Kopien der App installieren, als Sie besitzenPrevent your users from installing more copies of the app than you own
  • Übermitteln von Store-Apps für verwaltete GeräteDeliver store apps to managed devices
  • Anvisieren von Apps für nicht verwaltete Geräte über die Unternehmensportal-WebsiteTarget apps to unmanaged devices using the company portal website

Mit Intune können Sie Apps verwalten und bereitstellen, die Sie im Rahmen von Volumenprogrammen im iOS App Store und dem Microsoft Store für Unternehmen erworben haben.Intune also allows you to manage and deploy apps that you purchased in volume from the iOS app store and the Microsoft Store for Business. Dadurch können Sie den Verwaltungsaufwand reduzieren, den das Nachverfolgen von erworbenen Volumenlizenzen mit sich bringt.This helps you reduce the administrative overhead of tracking volume-purchased apps.

Tipp

Sie können Einmaliges Anmelden (Single Sign On, SSO) mit Azure AD Connect konfigurieren.You can configure Single Sign On (SSO) with Azure AD Connect. Mit SSO können sich Benutzer mit dem lokal verwendeten Domänenbenutzernamen und dem zugehörigen Kennwort bei Apps anzumelden.SSO lets users sign into apps with the domain user name and password they use on-premises. Ferner können Sie mit dem Azure Active Directory-Anwendungsproxy internetbasierten Zugriff auf lokal gehostete Web-Apps bereitstellen.Also, you can provide internet-based access to web apps hosted on-premises using the Azure Active Directory Application Proxy.

Schützen von UnternehmensdatenProtect company data

Intune schützt Unternehmensdaten auf vielen Technologieebenen.Intune protects company data through many technology layers. Auf der Ebene der Identität wird der Zugriff auf Dienste durch bedingten Zugriff geschützt.At the identity layer, conditional access protects access to services. Der bedingte Zugriff erlaubt nur verwalteten und konformen Geräten den Zugriff auf Unternehmensressourcen.Conditional access only allows managed and compliant devices to access company resources. Auf Client-App-Ebene schützen App-Schutzrichtlinien vor Datenverlust.At the client app layer, app protection policies protects against data loss. App-Schutzrichtlinien verhindern, dass Daten in nicht geschützte Apps oder Speicherorte verschoben werden.App protection policies prevent data from moving to apps or storage locations that are not protected. Mithilfe dieser Richtlinien können Sie bei Verlust oder Diebstahl eines Geräts auch die Unternehmensdaten zurücksetzen.These policies also let you wipe company data when a device is lost or stolen.

Erzwingen des bedingten Zugriffs auf UnternehmensressourcenEnforce conditional access to company resources

Sie können Konformitätsrichtlinien mit Richtlinien für bedingten Zugriff kombinieren, um zu prüfen, ob Geräte die grundlegenden Sicherheitsanforderungen erfüllen, die für Ihre BYOD-Richtlinie erforderlich sind.You can combine compliance policies with conditional access policies to check if devices meet the basic security requirements that your BYOD policy requires. Wenn ein Gerät die Anforderungen nicht erfüllt, werden so lange Regeln erzwungen und der Zugriff verweigert, bis das Gerät die Richtlinienanforderungen erfüllt.If a device doesn't meet the requirements, rules are enforced and access is denied until the device meets policy requirements. Dadurch wird sichergestellt, dass nur verwaltete und konforme Geräte auf Unternehmensdaten von Diensten wie Exchange (Exchange lokal oder Exchange Online), SharePoint Online, Skype for Business Online und weiterhin zugreifen können.This ensures that only managed and compliant devices can access company data from services like Exchange (Exchange On-premises or Exchange Online, SharePoint Online, Skype for Business Online, and others.

Wichtig

Richtlinien für bedingten Zugriff werden nicht funktionieren, wenn keine Kompatibilitätsrichtlinie für die Überprüfung der Kompatibilität vorhanden ist.Conditional access policies will not work if there is no compliance policy in place to validate compliance.

Vermeiden von Datenverlust bei Unternehmensdaten mithilfe von App-SchutzrichtlinienPrevent data loss of company data with app protection policies

Mit den App-Schutzrichtlinien von Intune können Sie auswählen, wie auf Ihre Daten zugegriffen werden soll – mit oder ohne Geräteregistrierung.With Intune app protection policies, you can choose how your data is accessed, with or without device enrollment. Durch diese Vielseitigkeit können Sie Unternehmensdaten schützen, sodass Benutzer weiterhin sicher auf Unternehmensdaten zugreifen können, selbst wenn sie ihr Gerät nicht bei Intune registriert haben.This versatility lets you protect company data so that even if a user doesn't enroll their device into Intune, they can still access company data securely.

Sie können Intune-Geräteschutzrichtlinien verwenden, um Unternehmensdaten zu schützen, auf die über iOS- und Android-Geräte zugegriffen wird.You can use Intune app protection policies to help protect company data that is accessed by iOS and Android devices. Wenn Sie diese App-basierten Richtlinien verwenden, können Sie steuern, wie Unternehmensdaten von Mitarbeitern verwendet und geteilt werden, selbst wenn die zugreifenden Geräte nicht von Intune verwaltet werdenWhen you use these app-level policies, you can control how company data is used and shared by employees even if the device itself isn’t managed by Intune

Mithilfe von Windows Information Protection (WIP) können Sie das Gleiche für verwaltete Windows 10-Geräte erreichen.Use Windows Information Protection (WIP) to do the same for managed Windows 10 devices. Diese Richtlinien beeinträchtigen nicht die Benutzerfreundlichkeit für Mitarbeiter.These policies work without interfering with the employee experience. Sie machen keine Änderungen an Ihrer Netzwerkumgebung oder anderen Apps erforderlich.They do not require changes to your network environment or other apps.

Entfernen von Unternehmensdaten, ohne personenbezogene Daten zu beeinträchtigenRemove company data while leaving personal data intact

Wenn ein Gerät nicht mehr für die Arbeit benötigt wird, einem neuen Verwendungszweck dienen soll oder verloren gegangen ist, müssen Sie dazu in der Lage sein, Unternehmens-Apps und -daten davon zu entfernen.When a device is no longer needed for work, is being repurposed, or has gone missing, you can remove company apps and data from it. Dazu können Sie die Funktionen zum Entfernen von Unternehmensdaten und die Zurücksetzung auf Werkseinstellungen von Intune verwenden.To do this, you can use Intune's remove company data and factory reset capabilities. Ihre Benutzer können über das Intune-Unternehmensportal auch ihre eigenen Geräte zurücksetzen, wenn diese Geräte in Intune registriert sind.Your users can also remotely reset their own personally owned devices from the Intune Company Portal if those devices are enrolled in Intune.

Die Zurücksetzung auf Werkseinstellungen setzt ein Gerät auf die werkseitigen Standardeinstellungen zurück, entfernt alle Benutzerdaten sowie -einstellungen und entfernt das Gerät aus der Verwaltung durch Intune.A factory reset restores a device to its factory default settings, removes user data and settings, and removes the device from Intune management. Unternehmensdaten entfernen entfernt nur Unternehmensdaten von dem Gerät, die persönlichen Daten des Benutzers bleiben jedoch intakt.Remove company data removes only company data from the device but leaves users’ personal data intact.

Sobald der Vorgang initiiert wurde, beginnt das Gerät umgehend mit dem Zurücksetzen.Once initiated, the device immediately begins the reset process. Wenn der Prozess beendet ist, sind alle Unternehmensdaten gelöscht, und der Gerätename wird aus Intune entfernt.When the process is complete, all company data is deleted and the device name is removed from the Intune. Dadurch wird der Geräteverwaltungs-Lebenszyklus beendet.This ends the device management lifecycle.