Automatisches Registrieren von iOS-/iPadOS-Geräten mit der automatischen Geräteregistrierung von AppleAutomatically enroll iOS/iPadOS devices by using Apple's Automated Device Enrollment

Wichtig

Apple hat vor Kurzem vom Programm zur Geräteregistrierung (DEP, Device Enrollment Program) auf die automatische Geräteregistrierung (ADE, Automated Device Enrollment) umgestellt.Apple recently changed from using the Apple Device Enrollment Program (DEP) to using Apple Automated Device Enrollment (ADE). Die Microsoft Intune-Benutzeroberfläche spiegelt diese Änderung zurzeit nicht wider.The Microsoft Intune user interface doesn't currently reflect that change. Zurzeit wird das Programm zur Geräteregistrierung weiterhin im Intune-Portal angezeigt.Currently, you'll still see Device Enrollment Program in the Intune portal. Immer wenn Verweise auf DEP angezeigt werden, verwendet Intune nun die automatische Geräteregistrierung.Wherever you see references to DEP, Intune now uses Automated Device Enrollment.

Sie können Intune zum Registrieren von iOS/iPadOS-Geräten über die automatischen Geräteregistrierung konfigurieren, die von Apple erworben wurden.You can set up Intune to enroll iOS/iPadOS devices purchased through Apple's Automated Device Enrollment (ADE). Mit der automatischen Geräteregistrierung können Sie eine große Anzahl von Geräten registrieren, ohne diese jemals zu berühren.Automated Device Enrollment lets you enroll large numbers of devices without ever touching them. Geräte wie iPhones, iPads und MacBooks können direkt an Benutzer geliefert werden.Devices like iPhones, iPads, and MacBooks can be shipped directly to users. Wenn ein Benutzer das Gerät anschaltet, wird der Setup-Assistent, der in der Regel eine schnelle und unkomplizierte Installation für Apple-Produkte bietet, mit vordefinierten Einstellungen ausgeführt, und das Gerät wird für die Verwaltung registriert.When a user turns on the device, Setup Assistant, which includes the typical out-of-box-experience for Apple products, runs with preconfigured settings and the device enrolls into management.

Um die automatische Geräteregistrierung zu aktivieren, müssen Sie das Intune-Portale und entweder dasApple Business Manager-Portal (ABM) oder das Apple School Manager-Portal (ASM) verwenden.To enable ADE, you use the Intune portal and either the Apple Business Manager (ABM) portal or the Apple School Manager (ASM) portal. Sie benötigen in jedem der Apple-Portale auch eine Liste von Seriennummern oder eine Bestellnummer, um Geräte in Intune zur Verwaltung zuweisen zu können.In either Apple portal, you need a list of serial numbers or a purchase order so you can assign devices to Intune for management. Sie erstellen ADE-Registrierungsprofile in Intune.You create ADE enrollment profiles in Intune. Diese Profile enthalten Einstellungen, die während der Registrierung auf Geräte angewendet werden.These profiles contain settings that are applied to devices during enrollment. Die automatische Geräteregistrierung kann nicht mit einem Geräteregistrierungs-Manager-Konto verwendet werden.ADE can't be used with a Device Enrollment Manager account.

Hinweis

Bei der automatischen Geräteregistrierung werden Gerätekonfigurationen festgelegt, die nicht zwangsläufig von Endbenutzern entfernt werden können.ADE sets device configurations that can't necessarily be removed by end users. Daher muss das Gerät vor der Verwendung der ADE zurückgesetzt werden, um es in den werkseitigen (neuen) Zustand zurückzuversetzen.Therefore, before ADE is used, the device must be wiped to return it to an out-of-box (new) state. Weitere Informationen finden Sie unterBereitstellungsleitfaden: Registrieren von iOS- und iPadOS-Geräten bei Microsoft Intune.For more information, see Deployment guide: Enroll iOS and iPadOS devices.

Wenn während des Registrierungsvorgangs Probleme bei der Synchronisierung auftreten, können Sie unter Fehlermeldungen nach Lösungen suchen.If you experience sync problems during the enrollment process, you can look for solutions at Troubleshoot iOS/iPadOS device enrollment problems.

Automatische Geräteregistrierung und das UnternehmensportalAutomated Device Enrollment and Company Portal

Die automatische Geräteregistrierung ist mit der App Store-Version der Unternehmensportal-App nicht kompatibel.ADE enrollments aren't compatible with the App Store version of the Company Portal app. Sie können Benutzern Zugriff auf die Unternehmensportal-App über ein ADE-Gerät gewähren.You can give users access to the Company Portal app on an ADE device. Sie sollten diesen Zugriff aus einem der folgenden Gründe angeben:You might want to provide this access for one of the following reasons:

  • Um Benutzer auswählen lassen, welche Unternehmens-Apps sie auf ihren Geräten verwenden möchtenTo let users choose which corporate apps they want to use on their devices
  • Zum Verwenden einer modernen Authentifizierung zum Abschließen des RegistrierungsprozessesTo use modern authentication to complete the enrollment process
  • Zum Bereitstellen einer gestaffelten Registrierung, bei der das Gerät registriert wird und Geräterichtlinien empfängt, bevor sich Benutzer im Unternehmensportal authentifizierenTo provide a staged enrollment in which the device is enrolled and receives device policies before users authenticate in Company Portal

Sie können die moderne Authentifizierung während der Registrierung aktivieren, indem Sie die App mithilfe von Unternehmensportal mit VPP installieren (Apple Volume Purchase Program) im ADE-Profil mithilfe von Push auf das Gerät übertragen.To enable modern authentication during enrollment, push the app to the device by using Install Company Portal with VPP (Volume Purchase Program) in the ADE profile. Weitere Informationen finden Sie unter Automatisches Registrieren von iOS-/iPadOS-Geräten mit der automatischen Geräteregistrierung von Apple.For more information, see Automatically enroll iOS/iPadOS devices with Apple's ADE.

Damit das Unternehmensportal automatisch Updates ausführt und um die Unternehmensportal-App auf Geräten bereitzustellen, die bereits mit der automatischen Geräteregistrierung registriert wurden, stellen Sie die Unternehmensportal-App über Intune als erforderliche VPP-App (Apple Volume Purchase Program) mit angewendeter Anwendungskonfigurationsrichtlinie bereit.To enable Company Portal to update automatically and provide the Company Portal app on devices already enrolled with ADE, deploy the Company Portal app through Intune as a required VPP app with an application configuration policy applied. Stellen Sie die Unternehmensportal-App auf diese Weise bereit, um das Gerätestaging zu aktivieren.Deploy the Company Portal app in this way to enable Device Staging. Beim Gerätestaging wird ein Geräte vollständig registriert und empfängt Geräterichtlinien noch bevor eine Benutzeraffinität hinzugefügt wird.With Device Staging, a device is fully enrolled and receives device policies before the addition of a user affinity.

Überwachter ModusWhat is supervised mode?

Apple hat für iOS/iPadOS 5 den überwachten Modus eingeführt.Apple introduced supervised mode in iOS/iPadOS 5. Ein iOS/iPadOS-Gerät im überwachten Modus bietet eine erweiterte Verwaltungssteuerung, zum Beispiel das Blockieren von Bildschirmaufnahmen und das Blockieren der Installation von Apps aus dem App Store.An iOS/iPadOS device in supervised mode provides more management control, like blocking of screen captures and blocking of the installation of apps from App Store. Dies ist also bei unternehmenseigenen Geräten besonders nützlich.So it's especially useful for corporate-owned devices. Intune unterstützt die Konfiguration von Geräten für den überwachten Modus als Teil der automatischen Geräteregistrierung.Intune supports configuring devices for supervised mode as part of ADE.

Die Unterstützung für nicht überwachte ADE-Geräte ist seit iOS/iPadOS 11 veraltet.Support for unsupervised ADE devices was deprecated in iOS/iPadOS 11. In iOS/iPadOS 11 und höher sollten für ADE konfigurierte Geräte immer überwacht werden.In iOS/iPadOS 11 and later, ADE-configured devices should always be supervised. Das ADE-Flag is_supervised wird in iOS/iPadOS 13.0 und höher ignoriert.The ADE is_supervised flag will be ignored in iOS/iPadOS 13.0 and later. Alle iOS/iPadOS-Geräte mit Version 13.0 und höher werden bei einer Registrierung über die automatische Geräteregistrierung automatisch überwacht.All iOS/iPadOS devices with version 13.0 and later are automatically supervised when enrolled with Automated Device Enrollment.

VoraussetzungenPrerequisites

Unterstütztes VolumeSupported volume

  • Maximale Registrierungsprofile pro Token: 1.000Maximum enrollment profiles per token: 1,000.
  • Maximale Anzahl von Geräten mit automatischer Geräteregistrierung pro Profil: Identisch mit der maximalen Anzahl von Geräten pro Token.Maximum Automated Device Enrollment devices per profile: Same as the maximum number of devices per token.
  • Maximale Anzahl der Token für die automatische Geräteregistrierung pro Intune-Konto: 2.000Maximum Automated Device Enrollment tokens per Intune account: 2,000.
  • Maximale Anzahl von Geräten mit automatischer Geräteregistrierung pro Token: Es wird empfohlen, dass 60.000 Geräte pro Token nicht überschreiten.Maximum Automated Device Enrollment devices per token: We recommend that you don't exceed 60,000 devices per token. Andernfalls können Probleme mit der Synchronisierung auftreten.Otherwise you might have sync problems. Wenn Sie mehr als 60.000 Geräte registrieren, sollten Sie die Geräte auf mehrere ADE-Token aufteilen.If you have more than 60,000 devices, split the devices into multiple ADE tokens.

Abrufen eines Tokens für die automatische Geräteregistrierung von AppleGet an Apple Automated Device Enrollment token

Damit Sie iOS-/iPadOS-Geräte mit der automatischen Geräteregistrierung registrieren können, benötigen Sie eine ADE-Tokendatei (P7M) von Apple.Before you can enroll iOS/iPadOS devices with ADE, you need an ADE token (.p7m) file from Apple. Mit diesem Token kann Intune Informationen zu ADE-Geräten synchronisieren, die Ihrem Unternehmen gehören.This token lets Intune sync information about ADE devices that your corporation owns. Damit kann Intune außerdem Registrierungsprofile zu Apple hochladen und diesen Profilen Geräte zuweisen.It also allows Intune to upload enrollment profiles to Apple and to assign devices to those profiles.

Sie verwenden das Portal Apple Business Manager (ABM) oder Apple School Manager (ASM) zum Erstellen eines Tokens.You use the Apple Business Manager (ABM) or Apple School Manager (ASM) portal to create a token. Sie verwenden das ABM- oder ASM-Portal auch, um in Intune Geräte für die Verwaltung zuzuweisen.You also use the ABM or ASM portal to assign devices to Intune for management.

Hinweis

Sie können entweder das ABM-Portal oder das ASM-Portal verwenden, um ADE zu aktivieren.You can use either the ABM portal or the ASM portal to enable ADE. Der Rest dieses Artikels bezieht sich auf das ABM-Portal, die Schritte sind jedoch für beide Portale identisch.The rest of this article refers to the ABM portal, but the steps are the same for both portals.

Schritt 1: Herunterladen des öffentlichen Schlüsselzertifikats in IntuneStep 1: Download the Intune public key certificate

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Geräte > iOS/iPadOS > iOS/iPadOS enrollment (iOS-/iPadOS-Registrierung):In Microsoft Endpoint Manager admin center, select Devices > iOS/iPadOS > iOS/iPadOS enrollment:

    Screenshot, der das Microsoft Endpoint Manager Admin Center anzeigt

  2. Klicken Sie auf Enrollment Program Tokens (Token für Registrierungsprogramm) > Hinzufügen.Select Enrollment Program Tokens > Add.

  3. Gehen Sie auf der Registerkarte Grundlagen wie folgt vor:On the Basics tab:

    1. Klicken Sie auf Ich stimme zu, um Microsoft die Berechtigung zu erteilen, Benutzer- und Geräteinformationen an Apple zu senden:Select I agree to give permission to Microsoft to send user and device information to Apple:

      Screenshot, der den Bildschirm „Token für Registrierungsprogramm hinzufügen“ anzeigt

    2. Klicken Sie auf Download the Intune public key certificate required to create the token (Öffentliches, für die Tokenerstellung erforderliches Intune-Schlüsselzertifikat herunterladen).Select Download the Intune public key certificate required to create the token. Mit diesem Schritt wird die Verschlüsselungsschlüsseldatei (.pem) heruntergeladen und lokal gespeichert.This step downloads and saves the encryption key (.pem) file locally. Mithilfe der PEM-Datei wird ein Vertrauensstellungszertifikat vom Apple Business Manager-Portal angefordert.The .pem file is used to request a trust-relationship certificate from the Apple Business Manager portal.

      Sie werden diese PEM-Datei in Apple Business Manager in folgendem Abschnitt hochladen: Schritt 2: Navigieren zum Apple Business Manager-Portal (in diesem Artikel).You'll upload this .pem file in Apple Business Manager in Step 2: Go to the Apple Business Manager portal (in this article).

    3. Lassen Sie diese Registerkarte und Seite des Webbrowsers geöffnet.Keep this web browser tab and page open. Wenn Sie die Registerkarte schließen, geschieht Folgendes:If you close the tab:

      • Das Zertifikat, das Sie heruntergeladen haben, wird ungültig.The certificate you downloaded is invalidated.
      • Sie müssen die Schritte wiederholen.You have to repeat steps.
      • Auf der Registerkarte Überprüfen und erstellen ist die Schaltfläche Erstellen nicht verfügbar, und Sie können diese Verfahren nicht abschließen.On the Review + create tab, the Create button isn't available, and you can't complete this procedure.

Schritt 2: Navigieren zum Apple Business Manager-PortalStep 2: Go to the Apple Business Manager portal

Erstellen und erneuern Sie Ihr ADE-Token (MDM-Server) im Apple Business Manager-Portal.Use the Apple Business Manager portal to create and renew your ADE token (MDM server). Dieses Token wird zu Intune hinzugefügt und ist für die Kommunikation zwischen Intune und Apple zuständig.This token is added to Intune and communicates between Intune and Apple.

Hinweis

Die folgenden Schritte geben an, wie Sie in Apple Business Manager vorgehen müssen.The following steps describe what you need to do in Apple Business Manager. Informationen zu den einzelnen Schritten finden Sie in der Apple-Dokumentation.For the specific steps, refer to Apple's documentation. Der Leitfaden für Apple Business Manager (auf der Apple-Website) ist möglicherweise hilfreich.Apple Business Manager User Guide (on Apple's website) might be helpful.

Herunterladen des Apple-TokensDownload the Apple token

  1. Melden Sie sich mit Ihrer Unternehmens-Apple-ID in Apple Business Manager an.In Apple Business Manager, sign in with your company's Apple ID.

  2. Führen Sie in diesem Portal die folgenden Schritte aus.In this portal, complete the following steps.

    • In den Einstellungen werden alle Tokens angezeigt.In settings, all tokens are shown. Fügen Sie einen MDM-Server hinzu, und laden Sie das öffentliche Schlüsselzertifikat (PEM-Datei) hoch, das Sie in Intune an folgender Stelle heruntergeladen haben: Schritt 1: Herunterladen des öffentlichen Schlüsselzertifikats in Intune (in diesem Artikel).Add an MDM server, and upload the public key certificate (.pem file) that you downloaded from Intune in Step 1: Download the Intune public key certificate (in this article).

      Der Servername dient der Identifikation des MDM-Servers.Use the server name to identify the mobile device management (MDM) server. Es handelt sich nicht um den Namen oder die URL des Microsoft Intune-Diensts.It isn't the name or URL of the Microsoft Intune service.

    • Nachdem Sie den MDM-Server gespeichert haben, wählen Sie ihn aus, und laden Sie dann das Token (.p7m-Datei) herunter.After you save the MDM server, select it, and then download the token (.p7m file). Laden Sie dann dieses .p7m-Token in Intune hoch,in Schritt 4: Hochladen Ihres Tokens und Beenden (in diesem Artikel).You'll upload this .p7m token in Intune in Step 4: Upload your token and finish (in this article).

Zuweisen von Geräten zum Apple-Token (MDM-Server)Assign devices to the Apple token (MDM server)

  1. Klicken Sie auf Apple Business Manager > Devices (Geräte), und wählen Sie die Geräte aus, die diesem Token zugewiesen werden sollen.In Apple Business Manager > Devices, select the devices you want to assign to this token. Sie können nach verschiedenen Geräteeigenschaften sortieren, z. B. die Seriennummer.You can sort by various device properties, like serial number. und mehrere Geräte gleichzeitig auswählen.You can also select multiple devices simultaneously.
  2. Bearbeiten Sie die Geräteverwaltung, und wählen Sie den soeben hinzugefügten MDM-Server aus.Edit device management, and select the MDM server you just added. In diesem Schritt werden dem Token Geräte zugewiesen.This step assigns devices to the token.

Schritt 3: Speichern der Apple-IDStep 3: Save the Apple ID

  1. Wechseln Sie in Ihrem Webbrowser zurück zur Intune-Seite Add enrollment program token (Token für Registrierungsprogramm hinzufügen).In your web browser, go back to the Add enrollment program token page in Intune. Diese Seite sollte geöffnet bleiben, so wie unter Schritt 1: Herunterladen des öffentlichen Schlüsselzertifikats in Intune (in diesem Artikel).You should have kept this page open, as noted in Step 1: Download the Intune public key certificate (in this article).

  2. Geben Sie unter Apple ID Ihre ID ein.In Apple ID, enter your ID. In diesem Schritt wird die ID gespeichert.This step saves the ID. Die ID kann in Zukunft verwendet werden.The ID can be used in the future.

    Screenshot mit dem App-ID-Feld auf der Registerkarte Basics (Grundlagen)

Schritt 4: Hochladen Ihres Tokens und BeendenStep 4: Upload your token and finish

  1. Navigieren Sie in Apple-Token zur .p7m-Zertifikatsdatei, und wählen Sie dann Open (Öffnen) aus.In Apple token, browse to the .p7m certificate file, and then select Open.

    Sie haben dieses .p7m-Token im Abschnitt Schritt 2: Navigieren zum Apple Business Manager-Portal heruntergeladen.You downloaded this .p7m token in Step 2: Go to the Apple Business Manager portal.

  2. Wählen Sie Weiter aus.Select Next.

  3. (Optional.) Wenn Sie Bereichstags auf dieses ADE-Token anwenden möchten, klicken Sie auf Bereichstags auswählen, und wählen Sie die vorhandenen Bereichstags aus.(Optional.) If you want to apply scope tags to this ADE token, click Select scope tags, and then select existing scope tags. Bereichstags, die auf ein Token angewendet wurden, werden von Profilen und Geräten geerbt, die diesem Token hinzugefügt werden.Scope tags applied to a token are inherited by profiles and devices added to the token.

    Weitere Informationen zu Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung und von Bereichstags für verteilte IT.For more information on scope tags, see Use role-based access control (RBAC) and scope tags for distributed IT.

    Wählen Sie Weiter aus.Select Next.

  4. Wählen Sie auf der Registerkarte Überprüfen + erstellen die Option Erstellen aus.On the Review + create tab, select Create.

Mit dem Pushzertifikat kann Intune iOS-/iPadOS-Geräte registrieren und verwalten, indem Richtlinien auf registrierte mobile Geräte gepusht wird.With the push certificate, Intune can enroll and manage iOS/iPadOS devices by pushing policies to enrolled mobile devices. Intune führt eine automatische Synchronisierung mit Apple durch, um auf Ihr Registrierungsprogrammkonto zuzugreifen.Intune automatically synchronizes with Apple to access your enrollment program account.

Erstellen eines Apple-RegistrierungsprofilsCreate an Apple enrollment profile

Da Sie nun Ihr Token installiert haben, können Sie ein Registrierungsprofil für ADE-Geräte erstellen.Now that you've installed your token, you can create an enrollment profile for ADE devices. Ein Geräteregistrierungsprofil definiert die Einstellungen, die während der Registrierung auf eine Gruppe von Geräten angewendet werden.A device enrollment profile defines the settings applied to a group of devices during enrollment. Es gilt ein Limit von 1.000 Registrierungsprofilen pro ADE-Token.There's a limit of 1,000 enrollment profiles per ADE token.

Hinweis

Geräte werden blockiert, wenn nicht genügend Unternehmensportallizenzen für ein VPP-Token vorhanden sind oder das Token abgelaufen ist.Devices will be blocked if there aren't enough Company Portal licenses for a VPP token or if the token is expired. Intune zeigt eine Warnung an, wenn ein Token in Kürze abläuft oder bald keine Lizenzen mehr zur Verfügung stehen.Intune will display an alert when a token is about to expire or licenses are running low.

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens (Geräte > iOS/iPadOS > iOS/iPadOS-Registrierung > Token für Registrierungsprogramm).In Microsoft Endpoint Manager admin center, select Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment Program Tokens.

  2. Wählen Sie ein Token aus, und wählen Sie dann Profiles > Create profile > iOS/iPadOS (Profile > Profil erstellen > iOS/iPadOS) aus:Select a token, and then select Profiles > Create profile > iOS/iPadOS:

    Screenshot: Erstellen eines iOS- und iPadOS-Registrierungsprofils in Microsoft Endpoint Manager Admin Center

  3. Geben Sie zu administrativen Zwecken auf der Registerkarte Grundlegende Einstellungen einen Namen und eine Beschreibung für das Profil ein.On the Basics tab, enter a Name and Description for the profile for administrative purposes. Benutzer können diese Informationen nicht sehen.Users don't see these details.

    Screenshot mit den Feldern „Name“ und „Beschreibung“ in Microsoft Endpoint Manager Admin Center

  4. Wählen Sie Weiter aus.Select Next.

  5. Wählen Sie in der Liste Benutzeraffinität eine Option aus, die bestimmt, ob sich Geräte mit diesem Profil mit oder ohne einen zugewiesenen Benutzer registrieren müssen.In the User Affinity list, select an option that determines whether devices with this profile must enroll with or without an assigned user.

    • Mit Benutzeraffinität registrieren:Enroll with User Affinity. Wählen Sie diese Option für Geräte aus, die Benutzern gehören, die das Unternehmensportal für Dienste wie das Installieren von Apps verwenden möchten.Select this option for devices that belong to users who want to use Company Portal for services like installing apps. Wenn Sie Active Directory-Verbunddienste (AD FS) verwenden und zur Authentifizierung den Setup-Assistenten verwenden, ist der Endpunkt WS-Trust 1.3 Username/Mixed erforderlich.If you're using Active Directory Federation Services and you're using Setup Assistant to authenticate, a WS-Trust 1.3 Username/Mixed endpoint is required. Weitere InformationenLearn more.

    • Ohne Benutzeraffinität registrieren:Enroll without User Affinity. Wählen Sie diese Option für Geräte aus, die keinem einzelnen Benutzer angehören.Select this option for devices that aren't affiliated with a single user. Verwenden Sie diese Option für Geräte, die nicht auf lokale Benutzerdaten zugreifen.Use this option for devices that don't access local user data. Diese Option wird in der Regel für Kioskgeräte, Verkaufsstellengeräte oder gemeinsam genutzte Geräte verwendet.This option is typically used for kiosk, point of sale (POS), or shared-utility devices.

      In manchen Situationen sollten Sie einen primären Benutzer für Geräte zuordnen, die ohne Benutzeraffinität registriert wurden.In some situations, you might want to associate a primary user on devices enrolled without user affinity. Zum Durchführen dieser Aufgabe können Sie den IntuneUDAUserlessDevice-Schlüssel in einer App-Konfigurationsrichtlinie für verwaltete Geräte an die Unternehmensportal-App senden.To do this task, you can send the IntuneUDAUserlessDevice key to the Company Portal app in an app configuration policy for managed devices. Der erste Benutzer, der sich bei der Unternehmensportal-App anmeldet wird als primärer Benutzer festgelegt.The first user that signs in to the Company Portal app is established as the primary user. Wenn sich der erste Benutzer abmeldet und ein anderer Benutzer anmeldet, bleibt der erste Benutzer der primäre Benutzer des Geräts.If the first user signs out and a second user signs in, the first user remains the primary user of the device. Weitere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS- und iPadOS-ADE-Geräten.For more information, see Configure the Company Portal app to support iOS and iPadOS ADE devices.

  6. Wenn Sie Mit Benutzeraffinität registrieren ausgewählt haben, können Sie es Benutzern ermöglichen, sich über das Unternehmensportal statt über den Apple-Setup-Assistenten zu authentifizieren:If you chose Enroll with User Affinity, you can let users authenticate with Company Portal instead of the Apple Setup Assistant:

    Screenshot mit dem Abschnitt „Benutzeraffinität und Authentifizierungsmethode“

    Hinweis

    Authentifizieren Sie sich bei der Unternehmensportal-App, wenn Folgendes auf Sie zutrifft:Authenticate with the Company Portal app if you want to:

    • Sie möchten die mehrstufige Authentifizierung verwenden.Use multifactor authentication.
    • Sie möchten Benutzer zum Ändern ihres Kennworts auffordern, wenn sie sich zum ersten Mal anmelden.Prompt users to change their passwords when they first sign in.
    • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.Prompt users to reset their expired passwords during enrollment.

    Diese Features werden nicht unterstützt, wenn Sie die Authentifizierung über den Setup-Assistenten von Apple durchführen.These features aren't supported when you authenticate by using Apple Setup Assistant.

    Weitere Informationen zum Anmelden von iOS-/iPadOS-Geräten finden Sie im Bereitstellungsleitfaden: Registrieren von iOS- und iPadOS-Geräten bei Microsoft Intune.For more information on enrolling iOS/iPadOS devices, see Deployment guide: Enroll iOS and iPadOS devices in Microsoft Intune.

  7. Wenn Sie Unternehmensportal als Ihre Authentifizierungsmethode ausgewählt haben, können Sie das Unternehmensportal mithilfe eines VPP-Tokens automatisch auf dem Gerät installieren.If you selected Company Portal for your authentication method, you can use a VPP token to automatically install Company Portal on the device. In diesem Fall muss der Benutzer keine Apple-ID angeben.In this case, the user doesn't have to provide an Apple ID. Wählen Sie unter Unternehmensportal mit VPP installieren ein Token aus, um das Unternehmensportal mit einem VPP-Token zu installieren.To install Company Portal by using a VPP token, select a token in Install Company Portal with VPP. Sie müssen das Unternehmensportal dem VPP-Token bereits hinzugefügt haben.You need to have already added Company Portal to the VPP token. Um sicherzustellen, dass das Unternehmensportal nach der Registrierung weiterhin aktualisiert wird, stellen Sie sicher, dass Sie in Intune eine App-Bereitstellung konfiguriert haben (Intune > Client-Apps).To ensure that Company Portal continues to be updated after enrollment, make sure that you've configured an app deployment in Intune (Intune > Client Apps).

    Um sicherzustellen, dass keine Benutzerinteraktion erforderlich ist, sollten Sie das Unternehmensportal unbedingt als iOS-/iPadOS-VPP-App verwenden, als erforderliche App festlegen und für die Zuordnung die Gerätelizenzierung verwenden.To ensure that user interaction isn't required, you'll probably want to make Company Portal an iOS/iPadOS VPP app, make it a required app, and use device licensing for the assignment. Stellen Sie sicher, dass das Token nicht abläuft, und dass Sie über genügend Gerätelizenzen für das Unternehmensportal verfügen.Make sure that the token doesn't expire and that you have enough device licenses for Company Portal. Wenn das Token abgelaufen ist, oder wenn dessen Lizenzen abgelaufen sind, installiert Intune stattdessen das App Store-Unternehmensportal und fordert zur Eingabe einer Apple-ID auf.If the token expires or runs out of licenses, Intune installs the App Store Company Portal instead and prompts for an Apple ID.

    Hinweis

    Wenn Sie die Authentifizierungsmethode auf Unternehmensportal festlegen, stellen Sie sicher, dass die Geräteregistrierung innerhalb der ersten 24 Stunden abgeschlossen wird, nachdem das Unternehmensportal auf das ADE-Gerät heruntergeladen wurde.If you set the authentication method to Company Portal, make sure that the device enrollment process is completed within the first 24 hours of the Company Portal download to the ADE device. Andernfalls schlägt die Registrierung möglicherweise fehl, und es wird eine Zurücksetzung auf Werkseinstellungen erforderlich, um das Gerät zu registrieren.Otherwise enrollment might fail, and a factory reset will be needed to enroll the device.

    Screenshot mit den Optionen zum Installieren der Unternehmensportal-App mit VPP

  8. Wenn Sie Setup-Assistent als Authentifizierungsmethode ausgewählt haben, aber auch den bedingen Zugriff verwenden oder Unternehmens-Apps auf den Geräten bereitstellen möchten, müssen Sie das Unternehmensportal auf den Geräten installieren und sich anmelden, um die Azure AD-Registrierung abzuschließen.If you selected Setup Assistant for the authentication method but you also want to use Conditional Access or deploy company apps on the devices, you need to install Company Portal on the devices and sign in to complete the Azure AD registration. Wählen Sie hierzu Ja für Unternehmensportal installieren aus.To do so, select Yes for Install Company Portal. Wenn Sie möchten, dass Benutzer das Unternehmensportal erhalten, ohne sich beim App Store authentifizieren zu müssen, wählen Sie Unternehmensportal mit VPP installieren aus, und wählen Sie ein VPP-Token aus.If you want users to receive Company Portal without having to authenticate in to the App Store, in Install Company Portal with VPP, select a VPP token. Vergewissern Sie sich, dass das Token nicht abläuft, und dass Sie über genügend Gerätelizenzen für die Unternehmensportal-App verfügen, um eine ordnungsgemäße Bereitstellung zu ermöglichen.Make sure the token doesn't expire and that you have enough device licenses for the Company Portal app to deploy correctly.

  9. Wenn Sie ein Token für Unternehmensportal mit VPP installieren ausgewählt haben, können Sie das Gerät unmittelbar nach Beendigung des Setup-Assistenten in den Einzelanwendungsmodus (insbesondere die Unternehmensportal-App) sperren.If you select a token for Install Company Portal with VPP, you can lock the device in Single App Mode (specifically, the Company Portal app) right after the Setup Assistant completes. Wählen Sie für Run Company Portal in Single App Mode until authentication (Unternehmensportal bis zur Authentifizierung im Einzelanwendungsmodus ausführen) Ja aus, um diese Option festzulegen.Select Yes for Run Company Portal in Single App Mode until authentication to set this option. Der Benutzer muss sich erst authentifizieren, indem er sich über das Unternehmensportal anmeldet, um das Gerät zu verwenden.To use the device, the user must first authenticate by signing in with Company Portal.

    Mehrstufige Authentifizierung wird auf einem einzelnen Gerät, das im Einzelanwendungsmodus gesperrt ist, nicht unterstützt.Multifactor authentication isn't supported on a single device locked in Single App Mode. Diese Einschränkung gibt es, weil das Gerät nicht zu einer anderen App wechseln kann, um den zweiten Authentifizierungsfaktor abzuschließen.This limitation exists because the device can't switch to a different app to complete the second factor of authentication. Daher muss sich der zweite Faktor, wenn Sie mehrstufige Authentifizierung auf einem Einzelanwendungsmodus-Gerät verwenden möchten, auf einem anderen Gerät befinden.If you want multifactor authentication on a Single App Mode device, the second factor must be on a different device.

    Dieses Feature wird nur für iOS/iPadOS 11.3.1 und höher unterstützt.This feature is supported only for iOS/iPadOS 11.3.1 and later.

    Screenshot mit der Option „Run Company Portal in Single App Mode“ (Unternehmensportal im Einzelanwendungsmodus ausführen)

  10. Wenn Sie möchten, dass Geräte, die dieses Profil verwenden, überwacht werden, wählen Sie Ja in der Liste für Überwacht aus:If you want devices using this profile to be supervised, select Yes in the Supervised list:

    Screenshot mit der Option „Überwacht“

    Bei überwachten Geräten stehen mehr Verwaltungsfunktionen zur Verfügung, und die Aktivierungssperre ist standardmäßig deaktiviert.Supervised devices give you more management options and disabled Activation Lock by default. Microsoft empfiehlt, die automatische Geräteregistrierung als Mechanismus zur Aktivierung des überwachten Modus zu verwenden. Dies gilt insbesondere, wenn Sie eine große Anzahl von iOS-/iPadOS-Geräten bereitstellen.Microsoft recommends that you use ADE as the mechanism for enabling supervised mode, especially if you're deploying large numbers of iOS/iPadOS devices. Apple Shared iPad for Business-Geräte müssen überwacht werden.Apple Shared iPad for Business devices must be supervised.

    Die Benutzer werden auf zweierlei Weise benachrichtigt, dass ihre Geräte überwacht werden:Users are notified that their devices are supervised in two ways:

    • Auf dem Sperrbildschirm wird Folgendes angezeigt: This iPhone is managed by company name. (Dieses iPhone wird von verwaltet.)The lock screen says: This iPhone is managed by company name.
    • Auf dem Bildschirm Settings > General > About (Einstellungen > Allgemein > Info) wird Folgendes angezeigt: This iPhone is supervised. Company name can monitor your Internet traffic and locate this device. (Dieses iPhone wird überwacht. kann Ihren Internetdatenverkehr überwachen und den Standort dieses Geräts ermitteln.)The Settings > General > About screen says: This iPhone is supervised. Company name can monitor your Internet traffic and locate this device.

    Hinweis

    Wenn ein Gerät ohne Überwachung registriert ist, müssen Sie Apple Configurator verwenden, wenn Sie es auf „Überwacht“ festlegen möchten.If a device is enrolled without supervision, you need to use Apple Configurator if you want to set it to supervised. Um das Gerät auf diese Weise zurückzusetzen, müssen Sie es mit einem USB-Kabel mit einem Mac verbinden.To reset the device in this way, you need to connect it to a Mac with a USB cable. Weitere Informationen finden Sie unter Apple Configurator – Hilfe.For more information, see Apple Configurator Help.

  11. Wählen Sie in der Liste Gesperrte Registrierung die Option Ja oder Nein aus.In the Locked enrollment list, select Yes or No. Wenn Gesperrte Registrierung aktiviert ist, sind die iOS-/iPadOS-Einstellungen deaktiviert, mit denen das Verwaltungsprofil aus dem Menü Einstellungen entfernt werden kann.Locked enrollment disables iOS/iPadOS settings that allow the management profile to be removed from the Settings menu. Nach der Geräteregistrierung können Sie diese Einstellung nicht ändern, ohne das Gerät zurückzusetzen.After device enrollment, you can't change this setting without wiping the device. Um diese Option verwenden zu können, muss für das Gerät die Verwaltungsoption Überwacht auf Ja festgelegt sein.To use this option, the device must have the Supervised management option set to Yes.

    Hinweis

    Wenn das Gerät mit gesperrter Registrierung registriert wurde, können Benutzer nicht mehr Gerät entfernen oder Zurück auf Werkseinstellungen in der Unternehmensportal-App verwenden.If a device is enrolled with locked enrollment, the user won't be able to use Remove Device or Factory Reset in the Company Portal app. Die Optionen sind für den Benutzer nicht verfügbar.The options will be unavailable to the user. Der Benutzer wird auch nicht in der Lage sein, das Gerät auf der Website des Unternehmensportals zu entfernen.Also, the user won't be able to remove the device on the Company Portal website.

    Wenn ein BYOD-Gerät in ein Apple-ADE-Gerät konvertiert und mit einem Profil registriert wird, für das die gesperrte Registrierung aktiviert ist, kann der Benutzer Gerät entfernen und Zurück auf Werkseinstellungen für 30 Tage verwenden.If a BYOD device is converted to an Apple ADE device and enrolled with a profile that has locked enrollment enabled, the user will be allowed to use Remove Device and Factory Reset for 30 days. Nach 30 Tagen werden die Optionen deaktiviert oder sind nicht mehr verfügbar.After 30 days, the options will be disabled or unavailable. Weitere Informationen finden Sie unter Manuelles Vorbereiten von Geräten.For more information, see Prepare devices manually.

  12. Wenn Sie sich in den vorherigen Schritten für die Optionen Ohne Benutzeraffinität registrieren und Überwacht entschieden haben, müssen Sie sich entscheiden, ob die Geräte als Apple Shared iPad for Business-Geräte konfiguriert werden sollen oder nicht.If you selected Enroll without User Affinity and Supervised in the previous steps, you need to decide whether to configure the devices to be Apple Shared iPad for Business devices. Wenn Sie Ja für Shared iPad festlegen, können sich mehrere Benutzer beim einem einzelnen Gerät anmelden.If you select Yes for Shared iPad, multiple users will be able to sign in to a single device. Benutzer authentifizieren sich mit ihren verwalteten Apple-IDs und ihren föderierten Authentifizierungskonten oder über eine temporäre Sitzung (z. B. mit einem Gastkonto).Users will authenticate by using their Managed Apple IDs and federated authentication accounts or by using a temporary session (like the Guest account). Für diese Option ist iOS/iPadOS 13.4 oder höher erforderlich.This option requires iOS/iPadOS 13.4 or later.

    Wenn Sie Ihre Geräte als Apple Shared iPad for Business-Geräte konfigurieren möchten, müssen Sie einen Wert für die Einstellung Maximale Anzahl zwischengespeicherter Benutzer festlegen.If you configured your devices as Apple Shared iPad for Business devices, you need to set Maximum cached users. Legen Sie die Anzahl der Benutzer fest, die Sie für das Shared iPad-Gerät erwarten.Set this value to the number of users that you expect to use the shared iPad. Sie können bis zu 24 Benutzer auf einem Gerät mit 32 GB oder 64 GB zwischenspeichern.You can cache up to 24 users on a 32-GB or 64-GB device. Wenn Sie eine niedrige Anzahl auswählen, kann es eine Weile dauern, bis die Daten Ihrer Benutzer auf ihren Geräten angezeigt werden, nachdem sie sich angemeldet haben.If you choose a low number, it might take a while for your users' data to appear on their devices after they sign in. Wenn Sie sich für eine hohe Anzahl entscheiden, verfügen Ihre Benutzer möglicherweise nicht über ausreichend Speicherplatz.If you choose a high number, your users might not have enough disk space.

    Hinweis

    Wenn Sie Apple Shared iPad for Business einrichten möchten, konfigurieren Sie die folgenden Einstellungen:If you want to set up Apple Shared iPad for Business, configure these settings:

    • Wählen Sie in der Liste Benutzeraffinität die Option Ohne Benutzeraffinität registrieren aus.In the User Affinity list, select Enroll without User Affinity.
    • Wählen Sie in der Liste Überwacht die Option Ja aus.In the Supervised list, select Yes.
    • Wählen Sie in der Liste Shared iPad die Option Ja aus.In the Shared iPad list, select Yes.

    Temporäre Sitzungen sind standardmäßig aktiviert und ermöglichen Ihren Benutzern die Anmeldung bei einem Shared iPad-Gerät ohne ein verwaltetes Apple-ID-Konto.Temporary sessions are enabled by default and allow your users to sign in to a shared iPad without a Managed Apple ID account. Sie können temporäre Sitzungen auf Shared iPad-Geräten deaktivieren, indem Sie die Einstellungen für Geräteeinschränkungen für iOS/iPadOS und das Shared iPad-Gerät konfigurieren.You can disable temporary sessions on shared iPads by configuring iOS/iPadOS Shared iPad device restriction settings.

  13. Wählen Sie in der Liste Sync with computers (Mit Computern synchronisieren) eine Option für die Geräte aus, die dieses Profil verwenden.In the Sync with computers list, select an option for the devices that use this profile. Wenn Sie Apple Configurator nach Zertifikat zulassen auswählen, müssen Sie unter Apple Configurator-Zertifikate ein Zertifikat auswählen.If you select Allow Apple Configurator by certificate, you need to choose a certificate under Apple Configurator Certificates. Bei iOS/iPadOS 13.0 und höher wurde diese Einstellung von Apple als veraltet markiert.For iOS/iPadOS 13.0 and later, Apple deprecated this setting.

    Hinweis

    Wenn Mit Computern synchronisieren auf Alle ablehnen festgelegt ist, wird der Port auf iOS- und iPadOS-Geräten beschränkt.If you set Sync with computers to Deny all, the port will be limited on iOS and iPadOS devices. Der Port wird ausschließlich auf den Ladevorgang beschränkt.The port will be limited to only charging. Die Verwendung von iTunes oder Apple Configurator 2 wird blockiert.It will be blocked from using iTunes or Apple Configurator 2.

    Wenn Sync with computers (Mit Computern synchronisieren) auf Apple Configurator nach Zertifikat zulassen festgelegt ist, stellen Sie sicher, dass Sie eine lokale Kopie des Zertifikats speichern, die Sie später verwenden können.If you set Sync with computers to Allow Apple Configurator by certificate, make sure you have a local copy of the certificate that you can use later. Sie können keine Änderungen an der hochgeladenen Kopie vornehmen. Es ist daher wichtig, eine Kopie dieses Zertifikats beizubehalten.You won't be able to make changes to the uploaded copy, and it's important to retain an copy of this certificate. Wenn Sie eine Verbindung mit dem iOS/iPadOS-Gerät über ein macOS-Gerät oder PC herstellen möchten, muss dasselbe Zertifikat auf dem Gerät installiert sein, von dem die Verbindung mit dem iOS/iPadOS-Gerät ausgeht.If you want to connect to the iOS/iPadOS device from a macOS device or PC, the same certificate must be installed on the device making the connection to the iOS/iPadOS device.

  14. Wenn Sie im vorherigen Schritt Apple Configurator nach Zertifikat zulassen ausgewählt haben, müssen Sie ein Apple Configurator-Zertifikat zum Importieren auswählen.If you selected Allow Apple Configurator by certificate in the previous step, choose an Apple Configurator certificate to import.

  15. Sie können ein Benennungsformat für Geräte angeben, das sowohl bei deren Registrierung als auch bei jeder ihrer späteren Anmeldungen automatisch angewendet wird.You can specify a naming format for devices that's automatically applied when they're enrolled and upon each successive check-in. Um eine Benennungsvorlage zu erstellen, wählen Sie Ja unter Vorlage für Gerätenamen anwenden aus.To create a naming template, select Yes under Apply device name template. Geben Sie dann in das Feld Vorlage für Gerätenamen den Namen der Vorlage ein, die für die Geräte verwendet werden soll, für die dieses Profil verwendet wird.Then, in the Device Name Template box, enter the template to use for the names that use this profile. Sie können ein Vorlagenformat angeben, das den Gerätetyp und die Seriennummer enthält.You can specify a template format that includes the device type and serial number. Dieses Feature unterstützt iPhone, iPad und iPod Touch.This feature supports iPhone, iPad, and iPod Touch.

  16. Wählen Sie Weiter: Anpassung des Setup-Assistenten.Select Next: Setup Assistant Customization.

  17. Wählen Sie Anpassung des Setup-Assistenten aus, um die folgenden Profileinstellungen zu konfigurieren:On the Setup Assistant Customization tab, configure the following profile settings:

    AbteilungseinstellungenDepartment setting BeschreibungDescription
    AbteilungDepartment Wird angezeigt, wenn der Benutzer während der Aktivierung auf Info zur Konfiguration tippt.Appears when users tap About Configuration during activation.
    AbteilungstelefonnummerDepartment Phone Diese Einstellung wird angezeigt, wenn Benutzer während der Aktivierung auf Need help (Hilfe) tippen.Appears when users tap the Need Help button during activation.

    Sie können festlegen, dass die Bildschirme des Setup-Assistenten während des Setups eines Benutzers auf dem Gerät ausgeblendet werden.You can choose to hide Setup Assistant screens on the device during user setup.

    • Wenn Sie Ausblenden auswählen, wird der Bildschirm nicht während des Setups angezeigt.If you select Hide, the screen won't be displayed during setup. Nach dem Setup des Geräts kann der Benutzer weiterhin zum Menü Einstellungen navigieren, um das Feature einzurichten.After setting up the device, the user can still go to the Settings menu to set up the feature.
    • Bei Auswahl von Anzeigen wird der Bildschirm während des Setups angezeigt, aber nur, wenn es Schritte gibt, die nach der Wiederherstellung oder dem Softwareupdate erfolgen müssen.If you select Show, the screen will be displayed during setup, but only if there are steps to complete after the restore or after the software update. Gelegentlich können Benutzer den Bildschirm überspringen, ohne weitere Maßnahmen ergreifen zu müssen.Users can sometimes skip the screen without taking action. Sie können aber später zum Gerätemenü Einstellungen navigieren, um das Feature einzurichten.They can then later go to the device's Settings menu to set up the feature.
    Einstellung: Bildschirme des Setup-AssistentenSetup Assistant Screens setting Wenn Sie während des Setups des Geräts „Anzeigen“ auswählen, führt das Gerät die folgenden Aktionen durch:If you select Show, during setup the device will...
    KennungPasscode Es fordert den Benutzer auf, eine Kennung einzugeben.Prompt the user for a passcode. Verlangen Sie immer eine Kennung (Passcode) für ungeschützte Geräte, es sei denn, der Zugriff ist auf andere Weise geschütztAlways require a passcode for unsecured devices unless access is controlled in some other way. Eine Kioskmoduskonfiguration beschränkt beispielsweise das Gerät auf eine App. Für iOS/iPadOS 7.0 und höher(For example, a kiosk mode configuration that restricts the device to one app.) For iOS/iPadOS 7.0 and later.
    StandortdiensteLocation Services Es fordert den Benutzer auf, seinen Standort anzugeben.Prompt the user for their location. Für macOS 10.11 und höher sowie iOS/iPadOS 7.0 und höherFor macOS 10.11 and later, and iOS/iPadOS 7.0 and later.
    WiederherstellenRestore Es zeigt den Bildschirm Apps & Data (Apps und Daten) an.Display the Apps & Data screen. Über diesen Bildschirm hat der Benutzer die Möglichkeit, Daten aus der iCloud-Sicherung wiederherzustellen oder aus dieser zu übertragen, wenn er das Gerät einrichtet.This screen gives users the option to restore or transfer data from iCloud Backup when they set up the device. Für macOS 10.9 und höher sowie iOS/iPadOS 7.0 und höherFor macOS 10.9 and later, and iOS/iPadOS 7.0 and later.
    iCloud und Apple-IDiCloud and Apple ID Es lässt zu, dass der Benutzer sich mit seiner Apple-ID anmelden und iCloud verwenden kann.Give the user the options to sign in with their Apple ID and use iCloud. Für macOS 10.9 und höher sowie iOS/iPadOS 7.0 und höherFor macOS 10.9 and later, and iOS/iPadOS 7.0 and later.
    GeschäftsbedingungenTerms and conditions Es verlangt, dass der Benutzer die Nutzungsbedingungen von Apple akzeptiert.Require the user to accept Apple's terms and conditions. Für macOS 10.9 und höher sowie iOS/iPadOS 7.0 und höherFor macOS 10.9 and later, and iOS/iPadOS 7.0 and later.
    Touch IDTouch ID Es lässt zu, dass der Benutzer die Identifikation per Fingerabdruck für das Gerät einrichtet.Give the user the option to set up fingerprint identification for the device. Für macOS 10.12.4 und höher sowie iOS/iPadOS 8.1 und höherFor macOS 10.12.4 and later, and iOS/iPadOS 8.1 and later.
    Apple PayApple Pay Es lässt zu, dass der Benutzer Apple Pay auf dem Gerät einrichtet.Give the user the option to set up Apple Pay on the device. Für macOS 10.12.4 und höher sowie iOS/iPadOS 7.0 und höherFor macOS 10.12.4 and later, and iOS/iPadOS 7.0 and later.
    ZoomZoom Es lässt zu, dass der Benutzer die Anzeige vergrößern bzw. verkleinern kann, während er das Gerät einrichtet.Give the user to the option to zoom the display when they set up the device. Für iOS/iPadOS 8.3 und höherFor iOS/iPadOS 8.3 and later.
    SiriSiri Es lässt zu, dass der Benutzer Siri einrichtet.Give the user the option to set up Siri. Für macOS 10.12 und höher sowie iOS/iPadOS 7.0 und höherFor macOS 10.12 and later, and iOS/iPadOS 7.0 and later.
    DiagnosedatenDiagnostics Data Der Bildschirm Diagnose wird angezeigt.Display the Diagnostics screen. Über diesen Bildschirm kann der Benutzer Diagnosedaten an Apple senden.This screen gives the user the option to send diagnostic data to Apple. Für macOS 10.9 und höher sowie iOS/iPadOS 7.0 und höherFor macOS 10.9 and later, and iOS/iPadOS 7.0 and later.
    Wiederherstellung abgeschlossenRestore Completed Zeigen Sie den Bildschirm Wiederherstellung abgeschlossen an, nachdem eine Sicherung und Wiederherstellung auf dem Gerät erfolgt ist.Display the Restore Completed screen after a backup and restore is performed on the device. Wenn dieser Bildschirm nicht angezeigt wird, kann der Benutzer nicht erkennen, ob im Rahmen des Setup-Assistenten eine Wiederherstellung aus einer Sicherung durchgeführt wurde.If this screen isn't shown, the user can't see whether a restore from backup was completed during Setup Assistant.
    Softwareupdate abgeschlossenSoftware Update Completed Zeigen Sie den Bildschirm Softwareupdate abgeschlossen an, wenn im Rahmen des Setup-Assistenten ein Softwareupdate erfolgt ist.Display the Software Update Completed screen if a software update is performed during Setup Assistant. Wenn dieser Bildschirm nicht angezeigt wird, kann der Benutzer nicht erkennen, ob im Rahmen des Setup-Assistenten ein Softwareupdate durchgeführt wurde.If this screen isn't shown, the user can’t see whether a software update is performed during Setup Assistant.
    DisplayfarbtonDisplay Tone Geben Sie dem Benutzer die Möglichkeit, den Anzeigefarbton zu aktivieren.Give the user the option to turn on Display Tone. Für macOS 10.13.6 und höher sowie iOS/iPadOS 9.3.2 und höherFor macOS 10.13.6 and later, and iOS/iPadOS 9.3.2 and later.
    DatenschutzPrivacy Der Bildschirm Datenschutz wird angezeigt.Display the Privacy screen. Für macOS 10.13.4 und höher sowie iOS/iPadOS 11.3 und höherFor macOS 10.13.4 and later, and iOS/iPadOS 11.3 and later.
    Android-MigrationAndroid Migration Der Benutzer erhält die Option, die Migration von Daten von einem Android-Gerät aus durchzuführen.Give the user the option to migrate data from an Android device. Für iOS/iPadOS 9.0 und höherFor iOS/iPadOS 9.0 and later.
    iMessage & FaceTimeiMessage & FaceTime Ermöglichen Sie dem Benutzer, iMessage und FaceTime einzurichten.Give the user the option to set up iMessage and FaceTime. Für iOS/iPadOS 9.0 und höherFor iOS/iPadOS 9.0 and later.
    OnboardingOnboarding Den Benutzern werden Onboarding-Bildschirme zu Informationszwecken angezeigt, z. B. „Deckblatt“, „Multitasking“ oder „Steuerungscenter“.Display onboarding informational screens for user education, like Cover Sheet and Multitasking and Control Center. Für iOS/iPadOS 11.0 und höherFor iOS/iPadOS 11.0 and later.
    Watch-MigrationWatch Migration Ermöglichen Sie dem Benutzer die Migration von Dateien von einem Überwachungsgerät.Give the user the option to migrate data from a watch device. Für iOS/iPadOS 11.0 und höherFor iOS/iPadOS 11.0 and later.
    BildschirmzeitScreen Time Der Bildschirm Bildschirmzeit wird aktiviert.Display the Screen Time screen. Für macOS 10.15 und höher sowie iOS/iPadOS 12.0 und höherFor macOS 10.15 and later, and iOS/iPadOS 12.0 and later.
    SoftwareupdateSoftware Update Lassen Sie erforderliche Softwareupdates anzeigen.Display the mandatory software update screen. Für iOS/iPadOS 12.0 und höherFor iOS/iPadOS 12.0 and later.
    SIM-SetupSIM Setup Ermöglichen Sie dem Benutzer, einen Mobilfunkplan hinzuzufügen.Give the user the option to add a cellular plan. Für iOS/iPadOS 12.0 und höherFor iOS/iPadOS 12.0 and later.
    DarstellungAppearance Der Bildschirm Darstellung wird angezeigt.Display the Appearance screen. Für macOS 10.14 und höher sowie iOS/iPadOS 13.0 und höherFor macOS 10.14 and later, and iOS/iPadOS 13.0 and later.
    Migration von Gerät zu GerätDevice to Device Migration Benutzern wird ermöglicht, Daten von einem alten Gerät auf dieses Gerät zu migrieren.Give the user the option to migrate data from an old device to this device. Für iOS/iPadOS 13.0 und höherFor iOS/iPadOS 13.0 and later.
    RegistrierungRegistration Hiermit wird der Bildschirm „Registrierung“ angezeigt.Display the registration screen. Für macOS 10.9 und höherFor macOS 10.9 and later.
    FileVaultFileVault Mit dieser Einstellung die Anzeige für die FileVault 2-Verschlüsselung angezeigt.Display the FileVault 2 encryption screen. Für macOS 10.10 und höherFor macOS 10.10 and later.
    iCloud-DiagnoseiCloud diagnostics Der Bildschirm iCloud Analytics wird angezeigt.Display the iCloud Analytics screen. Für macOS 10.12.4 und höherFor macOS 10.12.4 and later.
    iCloud-SpeicheriCloud Storage Mit dieser Einstellung wird die Anzeige für iCloud-Dokumente und den Desktop angezeigt.Display the iCloud Documents and Desktop screen. Für macOS 10.13.4 und höherFor macOS 10.13.4 and later.
  18. Klicken Sie auf Weiter, um zur Registerkarte Überprüfen + erstellen zu gelangen.Select Next to go to the Review + create tab.

  19. Wählen Sie Erstellen aus, um das Profil zu speichern.To save the profile, select Create.

Hinweis

Wenn Sie eine erneute Registrierung Ihres über die automatisierte Geräteregistrierung registriertes Geräte durchführen müssen, müssen Sie zunächst die Seriennummer des Geräts als Unternehmensbezeichner hinzufügen.If you need to re-enroll your Automated Device Enrollment device, you need to first add the serial number of the device as a corporate identifier. Sie müssen das ADE-Gerät möglicherweise erneut registrieren, wenn Sie ein Problem beheben, z. B. wenn das Gerät keine Richtlinie empfängt.You might need to re-enroll your ADE device if you're troubleshooting a problem, like if the device isn't receiving policy. So führen Sie die erneute Registrierung durch:To re-enroll:

  1. Ziehen Sie das Gerät aus der Intune-Konsole zurück.Retire the device from the Intune console.
  2. Fügen Sie die Seriennummer des Geräts als Bezeichner für das Unternehmensgerät hinzu.Add the device's serial number as a corporate device identifier.
  3. Registrieren Sie das Gerät erneut, indem Sie das Unternehmensportal herunterladen und die Geräteregistrierung durchführen.Re-enroll the device by downloading Company Portal and completing device enrollment.

Dynamische Gruppen in Azure Active DirectoryDynamic groups in Azure Active Directory

Sie können das Registrierungsfeld Name zum Erstellen einer dynamischen Gruppe in Azure Active Directory (Azure AD) verwenden.You can use the enrollment Name field to create a dynamic group in Azure Active Directory (Azure AD). Weitere Informationen finden Sie unter Dynamische Gruppen in Azure Active Directory.For more information, see Azure Active Directory dynamic groups.

Sie können den Profilnamen zum Definieren des Parameters enrollmentProfileName verwenden, um Geräte mit diesem Registrierungsprofil zuzuweisen.You can use the profile name to define the enrollmentProfileName parameter to assign devices with this enrollment profile.

Stellen Sie für die schnellste Richtlinienbereitstellung auf ADE-Geräten mit Benutzeraffinität vor dem Einrichten des Geräts sicher, dass der Benutzer, der sich registriert, ein Mitglied einer Azure AD-Benutzergruppe ist.For the fastest policy delivery on ADE devices that have user affinity, make sure the enrolling user is a member, before device setup, of an Azure AD user group.

Das Zuweisen dynamischer Gruppen zu Registrierungsprofilen kann zu einer gewissen Verzögerung bei der Bereitstellung von Anwendungen und Richtlinien auf Geräten nach der Registrierung führen.If you assign dynamic groups to enrollment profiles, there might be a delay in delivering applications and policies to devices after the enrollment.

Synchronisieren verwalteter GeräteSync managed devices

Nachdem Intune nun die Berechtigung zum Verwalten Ihrer Geräte besitzt, können Sie Intune mit Apple synchronisieren, um Ihre verwalteten Geräte in Intune im Azure-Portal anzuzeigen.Now that Intune has permission to manage your devices, you can synchronize Intune with Apple to see your managed devices in Intune in the Azure portal.

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens (Geräte > iOS/iPadOS > iOS/iPadOS-Registrierung > Token für Registrierungsprogramm).In Microsoft Endpoint Manager admin center, select Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment Program Tokens.

  2. Wählen Sie in der Liste ein Token aus, und wählen Sie dann Geräte > Synchronisieren aus:Select a token in the list, and then select Devices > Sync:

    Screenshot mit der Darstellung, wie iOS- und iPadOS-Geräte mit einem Registrierungsprogrammtoken registriert werden

    Zur Befolgung der Apple-Bedingungen für zulässigen Datenverkehr des Registrierungsprogramms erzwingt Intune die folgenden Einschränkungen:To follow Apple's terms for acceptable enrollment program traffic, Intune imposes the following restrictions:

    • Eine vollständige Synchronisation kann nicht öfter als einmal alle sieben Tage erfolgen.A full sync can run no more than once every seven days. Während einer vollständigen Synchronisierung ruft Intune die vollständig aktualisierte Liste der Seriennummern auf, die dem mit Intune verbundenen Apple MDM-Server zugewiesen sind.During a full sync, Intune fetches the complete updated list of serial numbers assigned to the Apple MDM server connected to Intune. Wenn ein ADE-Gerät aus dem Intune-Portal gelöscht wird, sollte seine Zuweisung zum Apple-MDM-Server im ADE-Portal aufgehoben werden.If an ADE device is deleted from the Intune portal, it should be unassigned from the Apple MDM server in the ADE portal. Wird seine Zuweisung nicht aufgehoben, wird es solange nicht erneut in Intune importiert, bis die vollständige Synchronisierung ausgeführt wird.If it's not unassigned, it won't be reimported to Intune until the full sync is run.
    • Wenn ein Gerät von ABM/ASM freigegeben wird, kann es bis zu 45 Tage dauern, bis es automatisch in Intune von den Geräteseiten gelöscht wird.If a device is released from ABM/ASM, it can take up to 45 days for it to be automatically deleted from the devices page in Intune. Sie können freigegebene Geräte bei Bedarf nacheinander manuell aus Intune löschen.You can manually delete released devices from Intune one by one if needed. Freigegebene Geräte werden in Intune korrekt als aus ABM/ASM entfernt gemeldet, bis sie innerhalb von 30-45 Tagen automatisch gelöscht werden.Released devices will be accurately reported as being Removed from ABM/ASM in Intune until they are automatically deleted within 30-45 days.
    • Die Synchronisierung wird automatisch alle 12 Stunden ausgeführt.A sync is run automatically every 12 hours. Sie können eine Synchronisierung ebenfalls durchführen, indem Sie auf die Schaltfläche Synchronisierung klicken (nicht öfter als einmal alle 15 Minuten).You can also sync by selecting the Sync button (no more than once every 15 minutes). Alle Synchronisierungsanforderungen müssen innerhalb von 15 Minuten abgeschlossen werden.All sync requests are given 15 minutes to finish. Die Schaltfläche Synchronisierung bleibt bis zum Abschluss der Synchronisierung deaktiviert.The Sync button is disabled until a sync is completed. Durch diese Synchronisierung werden vorhandene Gerätestatus aktualisiert und neue Geräte importiert, die dem Apple MDM-Server zugewiesen sind.This sync will refresh existing device status and import new devices assigned to the Apple MDM server.

Zuweisen eines Registrierungsprofils an GeräteAssign an enrollment profile to devices

Bevor Geräte registriert werden können, müssen Sie ihnen ein Registrierungsprogrammprofil zuweisen.Before devices can be enrolled, you need to assign an enrollment program profile to them.

Hinweis

Sie können auch im Bereich Apple-Seriennummern Profilen Seriennummern zuweisen.You can also assign serial numbers to profiles in the Apple Serial Numbers pane.

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens (Geräte > iOS/iPadOS > iOS/iPadOS-Registrierung > Token für Registrierungsprogramm).In Microsoft Endpoint Manager admin center, select Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment Program Tokens. Wählen Sie ein Token in der Liste aus.Select a token in the list.
  2. Klicken Sie auf Geräte.Select Devices. Wählen Sie Geräte aus der Liste und anschließend Profil zuweisen aus.Select devices in the list, and then select Assign profile.
  3. Wählen Sie unter Profil zuweisen ein Profil für die Geräte aus, und wählen Sie dann Zuweisen aus.Under Assign profile, choose a profile for the devices, and then select Assign.

Zuweisen eines StandardprofilsAssign a default profile

Sie können ein Standardprofil auswählen, das auf alle Geräte angewendet wird, die sich mit einem bestimmten Token registrieren.You can pick a default profile to be applied to all devices that enroll with a specific token.

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens (Geräte > iOS/iPadOS > iOS/iPadOS-Registrierung > Token für Registrierungsprogramm).In Microsoft Endpoint Manager admin center, select Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment Program Tokens. Wählen Sie ein Token aus der Liste aus.Select a token in the list.
  2. Wählen Sie Standardprofil festlegen und dann ein Profil aus der Liste aus. Klicken Sie anschließend auf Speichern.Select Set Default Profile, select a profile in the list, and then select Save. Dieses Profil wird auf alle Geräte angewendet, die sich mit dem Token registrieren.The profile will be applied to all devices that enroll with the token.

Verteilen von GerätenDistribute devices

Sie haben die Verwaltung und Synchronisierung zwischen Apple und Intune aktiviert und ein Profil zugewiesen, damit Ihre ADE-Geräte registriert werden können.You enabled management and syncing between Apple and Intune and assigned a profile so your ADE devices can be enrolled. Nun können Sie die Geräte an Benutzer verteilen.You're now ready to distribute devices to users. Folgendes sollten Sie beachten:Some things to know:

  • Bei Geräten, die mithilfe der Benutzeraffinität registriert wurden, muss jedem Benutzer eine Intune-Lizenz zugewiesen werden.Devices enrolled with user affinity require that each user be assigned an Intune license.

  • Geräte, die ohne die Benutzeraffinität registriert wurden, verfügen in der Regel über keine zugeordneten Benutzer.Devices enrolled without user affinity typically don't have any associated users. Diese Geräte müssen über eine Intune-Gerätelizenz verfügen.These devices need to have an Intune device license. Wenn Geräte, die ohne Benutzeraffinität registriert wurden, von einem Benutzer mit Intune-Lizenz verwendet werden, ist keine Gerätelizenz erforderlich.If devices enrolled without user affinity will be used by an Intune-licensed user, a device license isn't needed.

    Zusammenfassend gilt: Wenn ein Gerät über einen Benutzer verfügt, muss dem Benutzer eine Intune-Lizenz zugewiesen sein.To summarize, if a device has a user, the user needs to have an assigned Intune license. Wenn das Gerät keinen Benutzer mit Intune-Lizenz hat, muss das Gerät selbst über eine Intune-Gerätelizenz verfügen.If the device doesn't have an Intune-licensed user, the device needs to have an Intune device license.

    Weitere Informationen zur Intune-Lizenzierung finden Sie unter Microsoft Intune-Lizenzen und im Intune-Planungsleitfaden.For more information on Intune licensing, see Microsoft Intune licensing and the Intune planning guide.

  • Ein aktiviertes Gerät muss zurückgesetzt werden, bevor es in Intune registriert werden kann.A device that's been activated needs to be wiped before it can enroll in Intune. Nach dem Zurücksetzen kann das Registrierungsprofil angewendet werden.After it's been wiped, you can apply the enrollment profile.

  • Bei der Registrierung mit ADE und Benutzeraffinität kann während des Setups der folgende Fehler auftreten.If you're enrolling with ADE and user affinity, the following error can happen during setup:

    The SCEP server returned an invalid response.

    Um diesen Fehler zu beheben, müssen Sie das Gerät auf die Werkseinstellungen zurücksetzen.To resolve this error, you need to factory reset the device. Dieser Fehler tritt aus Sicherheitsgründen und aufgrund einer 15-minütigen Zeitbeschränkung von SCEP-Zertifikaten auf.This error occurs because of a 15-minute time limit on SCEP certificates, which is enforced for security.

Weitere Informationen zum Ablauf für Endbenutzer finden Sie unter Registrieren Ihres iOS-/iPadOS-Geräts bei Intune mithilfe von ADE.For information on the end-user experience, see Enroll your iOS/iPadOS device in Intune by using ADE.

Erneuern eines Tokens für die automatische GeräteregistrierungRenew an Automated Device Enrollment token

Manchmal müssen Sie Ihre Token erneuern:You'll sometimes need to renew your tokens:

  • Erneuern Sie das ADE-Token jährlich.Renew your ADE token yearly. Das Ablaufdatum wird im Endpoint Manager Admin Center angezeigt.The Endpoint Manager admin center shows the expiration date.
  • Wenn das Apple-ID-Kennwort für den Benutzer geändert wird, der das Token in Apple Business Manager eingerichtet hat, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.If the Apple ID password changes for the user who set up the token in Apple Business Manager, renew your enrollment program token in Intune and Apple Business Manager.
  • Wenn der Benutzer, der das Token in Apple Business Manager eingerichtet hat, die Organisation verlässt, erneuern Sie das Token für das Registrierungsprogramm in Intune und Apple Business Manager.If the user who set up the token in Apple Business Manager leaves the organization, renew your enrollment program token in Intune and Apple Business Manager.

Erneuern von TokenRenew your tokens

  1. Wechseln Sie zu business.apple.com, und melden Sie sich mit einem Konto an, das über die Rolle „Administrator“ oder „Geräteregistrierungs-Manager“ verfügt.Go to business.apple.com and sign in with an account that has an Administrator or Device Enrollment Manager role.

  2. Klicken Sie auf Einstellungen.Select Settings. Wählen Sie unter MDM-Server den MDM-Server aus, der der Tokendatei zugeordnet ist, die Sie erneuern möchten.Under MDM Servers, select the MDM server associated with the token file that you want to renew. Wählen Sie Token herunterladen aus:Select Download Token:

    Screenshot, der zeigt, wie ein Apple-Token in Apple Business Manager erneuert und heruntergeladen wird

  3. Wählen Sie Servertoken herunterladen aus.Select Download Server Token.

    Hinweis

    Wählen Sie, wie in der Eingabeaufforderung beschrieben, Server Token herunterladen nicht aus, wenn Sie das Token nicht erneuern möchten.As it says in the prompt, don't select Download Server Token if you don't intend to renew the token. Dadurch wird das Token, das von Intune (oder einer anderen MDM-Lösung) verwendet wird, ungültig.Doing so will invalidate the token being used by Intune (or any other MDM solution). Wenn Sie das Token bereits heruntergeladen haben, stellen Sie sicher, dass Sie mit den nächsten Schritten fortfahren, bis das Token erneuert wird.If you already downloaded the token, be sure to continue with the next steps until the token is renewed.

  4. Wechseln Sie nach dem Herunterladen des Tokens zum Microsoft Endpoint Manager Admin Center.After you download the token, go to Microsoft Endpoint Manager admin center. Klicken Sie auf Geräte > iOS/iPadOS > iOS-/iPadOS-Registrierung > Token für Registrierungsprogramm.Select Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens. Wählen Sie das Token aus.Select the token.

  5. Wählen Sie Token erneuern aus.Select Renew token. Geben Sie die Apple-ID ein, die zum Erstellen des ursprünglichen Tokens verwendet wurde (falls nicht automatisch ausgefüllt):Enter the Apple ID used to create the original token (if it's not automatically populated):

    Screenshot, der die Seite zum Erneuern des Tokens anzeigt

  6. Laden Sie das neu heruntergeladene Token hoch.Upload the newly downloaded token.

  7. Wählen Sie Weiter aus, um zur Seite Bereichstags zu gelangen.Select Next to go to the Scope tags page. Weisen Sie Bereichstags zu, wenn Sie möchten.Assign scope tags if you want to.

  8. Wählen Sie Token erneuern aus.Select Renew token. Es wird eine Bestätigung angezeigt, dass das Token erneuert wird:You'll see a confirmation that the token is renewed:

    Screenshot mit der Bestätigungsmeldung

Löschen eines Tokens für die automatische Geräteregistrierung aus IntuneDelete an Automated Device Enrollment token from Intune

Sie können Token des Registrierungsprofils aus Intune löschen, solange Folgendes gilt:You can delete an enrollment profile token from Intune as long as:

  • Dem Token sind keine Geräte zugewiesen.No devices are assigned to the token.
  • Dem Standardprofil sind keine Geräte zugewiesen.No devices are assigned to the default profile.

So löschen Sie ein Registrierungsprofiltoken:To delete an enrollment profile token:

  1. Wählen Sie in Microsoft Endpoint Manager Admin Center die Option Geräte > iOS/macOS > iOS/macOS-Registrierung > Token für Registrierungsprogramm aus.In Microsoft Endpoint Manager admin center, select Devices > iOS/macOS > iOS/macOS enrollment > Enrollment Program Tokens. Wählen Sie das Token aus, und wählen Sie dann Geräte aus.Select the token, and then select Devices.
  2. Löschen Sie alle Geräte, die dem Token zugewiesen sind.Delete all the devices assigned to the token.
  3. Wechseln Sie zu Geräte > iOS/macOS > iOS/macOS enrollment (iOS/macOS-Registrierung) > Enrollment Program Tokens (Registrierungsprogrammtoken).Go to Devices > iOS/macOS > iOS/macOS enrollment > Enrollment Program Tokens. Wählen Sie das Token aus, und wählen Sie dann Profile aus.Select the token, and then select Profiles.
  4. Wenn ein Standardprofil vorhanden ist, löschen Sie es.If there's a default profile, delete it.
  5. Wechseln Sie zu Geräte > iOS/macOS > iOS/macOS enrollment (iOS/macOS-Registrierung) > Enrollment Program Tokens (Registrierungsprogrammtoken).Go to Devices > iOS/macOS > iOS/macOS enrollment > Enrollment Program Tokens. Wählen Sie das Token aus, und wählen Sie dann Löschen aus.Select the token, and then select Delete.

Nächste SchritteNext steps

Sicherungs- und Wiederherstellungsszenarios für iOS/iPadOS-GeräteBackup and restore scenarios for iOS/iPadOS

Übersicht über die iOS-/iPadOS-RegistrierungiOS/iPadOS enrollment overview