Automatisches Registrieren von iOS-Geräten mit dem Programm zur Geräteregistrierung von AppleAutomatically enroll iOS devices with Apple's Device Enrollment Program

Gilt für: Intune in AzureApplies to: Intune on Azure
Suchen Sie nach der Dokumentation zu Intune in der klassischen Konsole?Looking for documentation about Intune in the classic console? Diese finden Sie hier.Go to here.

Dieses Thema unterstützt Sie dabei, die iOS-Geräteregistrierung für Geräte zu aktivieren, die über das Programm zur Geräteregistrierung (Device Enrollment Program, DEP) von Apple erworben wurden.This topic helps you enable iOS device enrollment for devices purchased through Apple's Device Enrollment Program (DEP). Sie können die Registrierung des Programms zur Geräteregistrierung für eine große Anzahl von Geräten aktivieren, ohne diese auch nur zu berühren.You can enable DEP enrollment for large numbers of devices without ever touching them. Sie können Geräte wie iPhones und iPad direkt an Benutzer versenden.You can ship devices like iPhones and iPads directly to users. Wenn der Benutzer das Gerät anschaltet, wird der Setup-Assistent mit vordefinierten Einstellungen ausgeführt, und das Gerät wird für die Verwaltung registriert.When the user turns on the device, Setup Assistant runs with preconfigured settings and the device enrolls into management.

Zur Aktivierung der DEP-Registrierung können Sie sowohl das Intune-Portal als auch das Apple DEP-Portal verwenden.To enable DEP enrollment, you use both the Intune and Apple DEP portals. Sie benötigen auch eine Liste von Seriennummern oder eine Bestellnummer, um Geräte in Intune zur Verwaltung zuweisen zu können.A list of serial numbers or a purchase order number is required so you can assign devices to Intune for management. Sie erstellen DEP-Registrierungsprofile, die Einstellungen enthalten, die für Geräte während der Registrierung gelten.You create DEP enrollment profiles containing settings that applied to devices during enrollment.

Die Registrierung mit DEP funktioniert übrigens nicht mit dem Geräteregistrierungs-Manager.By the way, DEP enrollment does not work with the device enrollment manager.

VoraussetzungenPrerequisites

Hinweis

Mehrstufige Authentifizierung (Multifactor authentication, MFA) funktioniert nicht während der Einrichtung der DEP-Registrierung mit Benutzeraffinität.Multifactor authentication (MFA) doesn't work during DEP enrollment set up for user affinity. Nach der Registrierung funktioniert die MFA auf Geräten wie erwartet.After enrollment, MFA works as expected on devices. Geräte können Benutzer nicht dazu auffordern, ihr Kennwort zu ändern, wenn sie sich zum ersten Mal anmelden.Devices can't prompt users who need to change their password when they first sign in. Außerdem werden Benutzer, deren Kennwörter abgelaufen sind, während der Registrierung nicht aufgefordert, ihr Kennwort zurückzusetzen.Additionally, users with expired passwords aren't prompted to reset their password during enrollment. Benutzer müssen ihr Kennwort auf einem anderen Gerät zurücksetzen.Users must use a different device to reset the password.

Abrufen des Apple-DEP-TokensGet the Apple DEP token

Bevor Sie iOS-Geräte mit DEP registrieren können, benötigen Sie ein DEP-Token-Datei (.p7m) von Apple.Before you can enroll iOS devices with DEP, you need a DEP token (.p7m) file from Apple. Mit diesem Token kann Intune Informationen zu DEP-Geräten synchronisieren, die Ihrem Unternehmen gehören.This token lets Intune sync information about DEP devices that your corporation owns. Damit kann Intune außerdem Registrierungsprofile zu Apple hochladen und diesen Profilen Geräte zuweisen.It also permits Intune to upload enrollment profiles to Apple and to assign devices to those profiles.

Verwenden Sie das Apple DEP-Portal, um ein DEP-Token zu erstellen.You use the Apple DEP portal to create a DEP token. Sie verwenden das DEP-Portal auch, um in Intune Geräte für die Verwaltung zuzuweisen.You also use the DEP portal to assign devices to Intune for management.

Hinweis

Wenn Sie das Token aus der klassischen Intune-Konsole vor der Migration zu Azure löschen, stellt Intune womöglich ein gelöschtes Apple DEP-Token wieder her.If you delete the token from the Intune classic console before migrating to Azure, Intune might restore a deleted Apple DEP token. Sie können das DEP-Token erneut aus dem Azure-Portal löschen.You can delete the DEP token again from the Azure portal. Sie können das DEP-Token erneut aus dem Azure-Portal löschen.You can delete the DEP token again from the Azure portal.

Schritt 1: Laden Sie ein Intune-Zertifikat mit öffentlichem Schlüssel herunter, das zum Erstellen eines Apple-DEP-Tokens erforderlich ist.Step 1. Download an Intune public key certificate required to create an Apple DEP token.

  1. Wählen Sie in Intune im Azure-Portal die Optionen Geräteregistrierung > Apple Registrierung > Registrierungsprogrammtoken aus.In Intune in the Azure portal, choose Device enrollment > Apple enrollment > Enrollment Program Token.

    Screenshot des Bereichs „Registrierungsprogrammtoken“ im Arbeitsbereich „Apple-Zertifikate“

  2. Wählen Sie Laden Sie Ihr Zertifikat mit öffentlichem Schlüssel herunter aus, um die Verschlüsselungsschlüsseldatei (PEM) herunterzuladen und lokal zu speichern.Choose Download your public key to download and save the encryption key (.pem) file locally. Die PEM-Datei wird verwendet, um ein Vertrauensstellungszertifikat vom Apple Device Enrollment Program-Portal anzufordern.The .pem file is used to request a trust-relationship certificate from the Apple Device Enrollment Program portal.

    Screenshot des Bereichs „Registrierungsprogrammtoken“ im Arbeitsbereich „Apple-Zertifikate“ zum Herunterladen des öffentlichen Schlüssels

Schritt 2: Erstellen Sie ein Apple-DEP-Token und laden Sie es herunter.Step 2. Create and download an Apple DEP token.

  1. Wählen Sie Create a token via Apple's Device Enrollment Program (Token über das Programm zur Geräteregistrierung von Apple erstellen) aus, um das Portal des Bereitstellungsprogramms von Apple zu öffnen. Melden Sie sich mit der Apple-ID Ihres Unternehmens an.Choose Create a token via Apple's Device Enrollment Program to open Apple's Deployment Program portal, and sign in with your company Apple ID. Diese Apple-ID kann später zum Erneuern Ihres DEP-Token verwendet werden.You can use this Apple ID to renew your DEP token.
  2. Wählen Sie im Portal des Bereitstellungsprogramms von Apple die Option Erste Schritte für das Programm zur Geräteregistrierung aus.In Apple's Deployment Programs portal, choose Get Started for Device Enrollment Program.

  3. Wählen Sie auf der Seite Server verwalten die Option MDM-Server hinzufügen aus.On the Manage Servers page, choose Add MDM Server.

  4. Geben Sie den MDM-Servernamen ein, und wählen Sie anschließend Weiter aus.Enter the MDM Server Name, and then choose Next. Der Servername dient als Referenz zum Identifizieren des MDM-Servers (mobile device management, Verwaltung mobiler Geräte).The server name is for your reference to identify the mobile device management (MDM) server. Es handelt sich nicht um den Namen oder die URL des Microsoft Intune-Servers.It is not the name or URL of the Microsoft Intune server.

    Screenshot zum Hinzufügen eines MDM-Servernamens für DEP und Klick auf „Weiter“.

  5. Das Dialogfeld <Servername> hinzufügen wird geöffnet, und die Meldung Laden Sie Ihren öffentlichen Schlüssel hoch wird angezeigt.The Add <ServerName> dialog box opens, stating Upload Your Public Key. Wählen Sie Datei auswählen aus,Choose Choose File… um die PEM-Datei hochzuladen, und wählen Sie anschließend Weiter aus.to upload the .pem file, and then choose Next.

  6. Im Dialogfeld <Servername> hinzufügen wird der Link Ihr Servertoken angezeigt.The Add <ServerName> dialog box shows a Your Server Token link. Laden Sie die Servertokendatei (.p7m) auf Ihren Computer herunter, und wählen Sie anschließend Fertig aus.Download the server token (.p7m) file to your computer, and then choose Done.

  7. Wechseln Sie zu Bereitstellungsprogramme > Programm zur Geräteregistrierung > Geräte verwalten.Go to Deployment Programs > Device Enrollment Program > Manage Devices.

  8. Geben Sie unter Geräte auswählen nach an, wie die Geräte identifiziert werden sollen:Under Choose Devices By, specify how devices are identified:

    • SeriennummerSerial Number
    • ReihenfolgeOrder Number
    • Upload der CSV-DateiUpload CSV File.

    Screenshot bei Festlegen von „Geräte auswählen nach“ auf „Seriennummer“, der Einstellung „Aktion auswählen“ auf „Zu Server zuweisen“ und der Auswahl des Servernamens.

  9. Wählen Sie als Nächstes für Aktion auswählen die Option Zu Server zuweisen aus. Wählen Sie den für Microsoft Intune angegebenen <Servernamen> und anschließend OK aus.For Choose Action, choose Assign to Server, choose the <ServerName> specified for Microsoft Intune, and then choose OK. Das Apple-Portal weist die angegebenen Geräte dem Intune-Server für die Verwaltung zu und zeigt dann Zuweisung abgeschlossen an.The Apple portal assigns the specified devices to the Intune server for management and then displays Assignment Complete.

    Wechseln Sie im Apple-Portal zu Bereitstellungsprogramme > Programm zur Geräteregistrierung > Zuweisungsverlauf anzeigen, um eine Liste der Geräte und ihre MDM-Server-Zuordnung anzuzeigen.In the Apple portal, go to Deployment Programs > Device Enrollment Program > View Assignment History to see a list of devices and their MDM server assignment.

Schritt 3: Geben Sie die zum Erstellen Ihres Registrierungsprogrammtokens verwendete Apple-ID ein.Step 3. Enter the Apple ID used to create your enrollment program token.
Geben Sie in Intune im Azure-Portal für die zukünftige Verwendung Ihre Apple-ID an.In Intune in the Azure portal, provide the Apple ID for future reference. Verwenden Sie diese ID zur zukünftigen Erneuerung Ihres Registrierungsprogrammtokens, damit Sie nicht alle Geräte erneut registrieren müssen.Use this ID to renew your enrollment program token in the future to avoid needing to re-enroll all your devices.

Screenshot der Angabe der Apple-ID zur Erstellung des Registrierungsprogrammtokens und Navigieren zu diesem Token

Schritt 4: Navigieren Sie zu Ihrem Registrierungsprogrammtoken, das hochgeladen werden soll.Step 4. Browse to your enrollment program token to upload.
Wechseln Sie zur Zertifikatsdatei (.pem), wählen Sie Öffnen aus, und wählen Sie dann Hochladenaus.Go to the certificate (.pem) file, choose Open, and then choose Upload. Mit dem Push-Zertifikat kann Intune iOS-Geräte registrieren und verwalten, indem die Richtlinie auf registrierte mobile Geräte übertragen wird.With the push certificate, Intune can enroll and manage iOS devices by pushing policy to enrolled mobile devices. Intune führt eine automatische Synchronisierung mit Apple durch, um Ihr Registrierungsprogrammkonto anzuzeigen.Intune automatically synchronizes with Apple to see your enrollment program account.

Erstellen eines Apple-RegistrierungsprofilsCreate an Apple enrollment profile

Da Sie nun Ihr Token installiert haben, können Sie ein Registrierungsprofil für DEP-Geräte erstellen.Now that you've installed your token, you can create an enrollment profile for DEP devices. Ein Geräteregistrierungsprofil definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden.A device enrollment profile defines the settings applied to a group of devices during enrollment.

  1. Wählen Sie in Intune im Azure-Portal die Optionen Geräteregistrierung > Apple Registrierung aus.In Intune in the Azure portal, choose Device enrollment > Apple Enrollment.
  2. Wählen Sie unter Registrierungsprogramm für Apple den Eintrag Profile des Registrierungsprogramms > Erstellen aus.Under Enrollment Program for Apple, choose Enrollment Program Profiles > Create.
  3. Geben Sie unter Registrierungsprofil erstellen einen Namen und eine Beschreibung für das Profil zu administrativen Zwecken ein.On Create Enrollment Profile, enter a Name and Description for the profile for administrative purposes. Benutzer können diese Informationen nicht sehen.Users do not see these details. Sie können das Feld Name zum Erstellen einer dynamischen Gruppe in Azure Active Directory verwenden.You can use this Name field to create a dynamic group in Azure Active Directory. Verwenden Sie den Profilnamen, um den Parameter „enrollmentProfileName“ zu definieren, um Geräte mit diesem Registrierungsprofil zuzuweisen.Use the profile name to define the enrollmentProfileName parameter to assign devices with this enrollment profile. Erfahren Sie mehr über dynamische Gruppen in Azure Active Directory.Learn more about Azure Active Directory dynamic groups.

    Wählen Sie für Benutzeraffinität aus, ob Geräte mit diesem Profil mit oder ohne einen zugewiesenen Benutzer registriert werden.For User Affinity, choose whether devices with this profile enroll with or without an assigned user.

    • Mit Benutzeraffinität registrieren: Wählen Sie diese Option für Geräte aus, die Benutzern gehören und das Unternehmensportal verwenden müssen, um Dienste wie z.B. die Installation von Apps nutzen zu können.Enroll with user affinity - Choose for devices that belong to users and that need to use the company portal for services like installing apps.

    • Ohne Benutzeraffinität registrieren: Wählen Sie diese Option für ein Gerät aus, das an keinen Benutzer angeschlossen ist.Enroll without user affinity - Choose for device unaffiliated with a single user. Verwenden Sie diese Zuweisung für Geräte, die Aufgaben ohne den Zugriff auf lokale Benutzerdaten ausführen.Use for devices that perform tasks without accessing local user data. Apps wie die Unternehmensportal-App funktionieren nicht.Apps like the Company Portal app don’t work.

  4. Wählen Sie Geräteverwaltungseinstellungen aus, um folgenden Profileinstellungen zu konfigurieren.Choose Device Management Settings to configure the following profile settings:

    Screenshot der Auswahl des Verwaltungsmodus

    • Überwacht: Dieser Verwaltungsmodus ermöglicht weitere Verwaltungsoptionen und deaktiviert standardmäßig die Aktivierungssperre.Supervised - a management mode that enables more management options and disabled Activation Lock by default. Wenn Sie das Kontrollkästchen nicht aktivieren, stehen Ihnen nur beschränkte Verwaltungsfunktionen zur Verfügung.If you leave the check box blank, you have limited management capabilities.

    • Registrierung gesperrt:: (Erfordert den Vorbereitungsmodus „Überwacht“) Deaktiviert iOS-Einstellungen, die das Entfernen des Verwaltungsprofils zulassen könnten.Locked enrollment - (Requires Management Mode = Supervised) Disables iOS settings that could allow removal of the management profile. Wenn Sie dieses Kontrollkästchen nicht aktivieren, kann das Verwaltungsprofil aus dem Menü „Einstellungen“ entfernt werden.If you leave the check box blank, it allows the management profile to be removed from the Settings menu. Nach der Gerätebereitstellung können Sie diese Einstellung ändern, ohne das Gerät auf Werkseinstellung zurückzusetzen.After device enrollment, you cannot change this setting without factory resetting the device.

    • Kopplung zulassen: Gibt an, ob iOS-Geräte mit Computern synchronisiert werden können.Allow Pairing - Specifies whether iOS devices can sync with computers. Wenn Sie Apple Configurator nach Zertifikat zulassen auswählen, müssen Sie unter Apple Configurator-Zertifikate ein Zertifikat auswählen.If you chose Allow Apple Configurator by certificate, you must choose a certificate under Apple Configurator Certificates.

    • Apple Configurator-Zertifikate: Wenn Sie Apple Configurator nach Zertifikat zulassen unter Kopplung zulassen ausgewählt haben, wählen Sie ein Apple Configurator-Zertifikat aus, das Sie importieren möchten.Apple Configurator Certificates - If you chose Allow Apple Configurator by certificate under Allow Pairing, choose an Apple Configurator Certificate to import.

    Wählen Sie Speichern aus.Choose Save.

  5. Wählen Sie Einstellungen des Einrichtungs-Assistenten aus, um die folgenden Profileinstellungen zu konfigurieren:Choose Setup Assistant Settings to configure the following profile settings:

    Screenshot der Auswahl der Konfigurationseinstellungen mit verfügbaren Einstellungen für ein neues Profil des Registrierungsprogramms

    • Abteilungsname: Wird angezeigt, wenn Benutzer während der Aktivierung auf Info zur Konfiguration tippen.Department Name - Appears when users tap About Configuration during activation.

    • Abteilungstelefonnummer: Wird angezeigt, wenn der Benutzer während der Aktivierung auf die Schaltfläche Benötigen Sie Hilfe? klickt.Department Phone - Appears when the user clicks the Need Help button during activation.

    • Setup-Assistent-Optionen: Diese optionalen Einstellungen können später im iOS-Menü Einstellungen eingerichtet werden.Setup Assistant Options - These optional settings can be set up later in the iOS Settings menu.

      • KennungPasscode
      • StandortdiensteLocation Services
      • WiederherstellenRestore
      • Apple-IDApple ID
      • GeschäftsbedingungenTerms and Conditions
      • Touch IDTouch ID
      • Apple PayApple Pay
      • ZoomZoom
      • SiriSiri
      • DiagnosedatenDiagnostic Data

      Wählen Sie Speichern aus.Choose Save.

  6. Wählen Sie zum Speichern der Profileinstellungen Erstellen auf dem Blatt Registrierungsprofil erstellen aus.To save the profile settings, choose Create on the Create Enrollment Profile blade. Das Registrierungsprofil wird in der Liste der Registrierungsprofile des Apple-Registrierungsprogramms angezeigt.The enrollment profile appears in the Apple Enrollment Program Enrollment Profiles list.

Synchronisieren verwalteter GeräteSync managed devices

Nachdem Intune nun die Berechtigung zum Verwalten Ihrer Geräte besitzt, können Sie Intune mit Apple synchronisieren, um Ihre verwalteten Geräte in Intune im Azure-Portal anzuzeigen.Now that Intune has permission to manage your devices, you can synchronize Intune with Apple to see your managed devices in Intune in the Azure portal.

  1. Wählen Sie in Intune im Azure-Portal die Optionen Geräteregistrierung > Apple Registrierung > Registrierungsprogrammgeräte aus.In Intune in the Azure portal, choose Device enrollment > Apple Enrollment > Enrollment Program Devices.
  2. Wählen Sie unter Geräte des Registrierungsprogramms die Option Synchronisieren.Under Enrollment Program Devices, choose Sync.

    Screenshot des ausgewählten Knotens „Geräte des Registrierungprogramms“ und des ausgewählten Links „Synchronisierung“

  3. Wählen Sie auf dem Blatt Synchronisieren die Option Synchronisierung anfordern aus.On the Sync blade, choose Request Sync. Die Statusanzeige zeigt die Zeitdauer, die Sie warten müssen, bevor Sie die Synchronisierung erneut anfordern können.The progress bar shows the amount of time you must wait before requesting Sync again.

    Screenshot des Blatts „Synchronisierung“ mit ausgewähltem Link „Synchronisierung anfordern“

    Zur Einhaltung der Apple-Bedingungen für zulässigen Datenverkehr des Registrierungsprogramms erzwingt Intune die folgenden Einschränkungen:To comply with Apple’s terms for acceptable enrollment program traffic, Intune imposes the following restrictions:

    • Eine vollständige Synchronisation kann nicht öfter als einmal alle sieben Tage erfolgen.A full sync can run no more than once every seven days. Während einer vollständigen Synchronisierung aktualisiert Intune jede Seriennummer von Apple, die Intune zugewiesen ist.During a full sync, Intune refreshes every Apple serial number assigned to Intune. Wenn eine vollständige Synchronisierung innerhalb von sieben Tagen nach der vorherigen vollständigen Synchronisierung versucht wird, aktualisiert Intune nur Seriennummern, die nicht bereits in Intune aufgeführt sind.If a full sync is attempted within seven days of the previous full sync, Intune only refreshes serial numbers that are not already listed in Intune.
    • Synchronisierungsanforderungen müssen innerhalb von 15 Minuten abgeschlossen sein.Any sync request is given 15 minutes to finish. Während dieser Zeit oder bis zum erfolgreichen Erfüllen der Anforderung wird die Schaltfläche Synchronisieren deaktiviert.During this time or until the request succeeds, the Sync button is disabled.
    • Intune synchronisiert alle 24 Stunden neue und entfernte Geräte für Apple.Intune syncs new and removed devices with Apple every 24 hours.
  4. Wählen Sie im Arbeitsbereich „Geräte des Registrierungsprogramms“ die Option Aktualisieren aus, um Ihre Geräte anzuzeigen.In the Enrollment Program Devices workspace, choose Refresh to see your devices.

Zuweisen eines Registrierungsprofils an GeräteAssign an enrollment profile to devices

Sie müssen Geräten ein Profil des Registrierungsprogramms zuweisen, bevor Sie mit der Registrierung beginnen können.You must assign an enrollment program profile to devices before they can enroll.

Hinweis

Sie können auch auf dem Blatt Apple-Seriennummern Profilen Seriennummern zuweisen.You can also assign serial numbers to profiles from the Apple Serial Numbers blade.

  1. Wählen Sie im Intune-Portal die Option Geräteregistrierung > Apple-Registrierung und dann Profile des Registrierungsprogramms aus.In Intune in the Azure portal, choose Device enrollment > Apple Enrollment, and then choose Enrollment Program Profiles.
  2. Wählen Sie aus der Liste Profile des Registrierungsprogramms das Profil aus, das den Geräten zugewiesen werden soll, und wählen Sie anschließend Geräte zuweisen aus.From the list of Enrollment Program Profiles, choose the profile you want to assign to devices and then choose Assign devices.

    Screenshot von Gerätezuweisungen, für die „Zuweisen“ ausgewählt ist.

  3. Wählen Sie Zuweisen und anschließend die Geräte aus, die diesem Profil zugewiesen werden sollen.Choose Assign and then choose the devices you want to assign this profile. Sie können die Ansicht nach verfügbaren Geräten filtern:You can filter to view available devices:

    • Nicht zugewiesenunassigned
    • Beliebigany
    • <Profilname><profile name>
  4. Wählen Sie die Geräte aus, die zugewiesen werden sollen.Choose the devices you want to assign. Mit dem Kontrollkästchen oberhalb der Spalte werden bis zu 1000 aufgelistete Geräte ausgewählt. Klicken Sie dann auf Zuweisen.The checkbox above the column selects up to 1000 listed devices, and then click Assign. Um mehr als 1000 Geräte zu registrieren, wiederholen Sie die Zuweisungsschritte, bis allen Geräten ein Registrierungsprofil zugewiesen ist.To enroll more than 1000 devices, repeat the assignment steps until all devices are assigned an enrollment profile.

    Screenshot der Schaltfläche „Zuweisen“ zum Zuweisen des Profils des Registrierungsprogramms in Intune

Verteilen von GerätenDistribute devices

Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune aktiviert und haben ein Profil zugewiesen, damit Ihre DEP-Geräte registriert werden können.You have enabled management and syncing between Apple and Intune, and assigned a profile to let your DEP devices enroll. Sie können jetzt Geräte an Benutzer verteilen.You can now distribute devices to users. Für Geräte mit Benutzeraffinität muss jedem Benutzer eine Intune-Lizenz zugewiesen werden.Devices with user affinity require each user be assigned an Intune license. Geräte ohne Benutzeraffinität benötigen eine Gerätelizenz.Devices without user affinity require a device license. Ein aktiviertes Gerät kann kein Registrierungsprofil anwenden, bis das Gerät nicht auf Werkseinstellung zurückgesetzt wurde.An activated device cannot apply an enrollment profile until the device is factory reset.

Informationen finden Sie unter Registrieren Ihres iOS-Geräts in Intune mit dem Programm zur Geräteregistrierung.See Enroll your iOS device in Intune with the Device Enrollment Program.

Um Feedback zu einem Produkt zu geben, besuchen Sie folgende Seite Intune Feedback