Bereitstellungsleitfaden: Registrieren von iOS- und iPadOS-Geräten bei Microsoft Intune

Persönliche und unternehmenseigene Geräte können bei Intune registriert werden. Nach der Registrierung erhalten diese die von Ihnen erstellten Richtlinien und Profile. Beim Registrieren von iOS/iPadOS-Geräten haben Sie die folgenden Optionen:

Dieser Artikel enthält Empfehlungen zu den iOS/iPadOS-Registrierungsmethoden. Außerdem enthält er eine Übersicht über die Aufgaben für Administratoren und Benutzer für jeden Registrierungstyp. Genauere Informationen finden Sie unter Registrieren von iOS-/iPadOS-Geräten in Intune.

Tipp

Dieser Leitfaden entwickelt sich weiter. Fügen Sie also Tipps hinzu, oder aktualisieren Sie vorhandene Tipps und Anleitungen, die Ihnen geholfen haben.

Bevor Sie beginnen

Eine Übersicht einschließlich aller Intune-spezifischen Voraussetzungen finden Sie unter Bereitstellungsleitfaden: Registrieren von Geräten bei Microsoft Intune.

Automatische Geräteregistrierung (ADE) (überwacht)

Diese Option von Apple wurde früher „Programm zur Geräteregistrierung“ (Device Enrollment Program, DEP) genannt. Sie wird auf Geräten verwendet, die sich im Besitz der Organisation befinden. Diese Option konfiguriert Einstellungen mithilfe von Apple Business Manager (ABM) oder Apple School Manager (ASM). Dabei wird eine große Anzahl von Geräten registriert, ohne dass Sie die Geräte selbst berühren. Diese Geräte werden von Apple gekauft, verfügen über vorkonfigurierte Einstellungen und können direkt an Benutzer oder Schulen geliefert werden. Sie erstellen im Endpoint Manager Admin Center ein Registrierungsprofil und übertragen dieses Profil mithilfe von Push auf die Geräte.

Genauere Informationen zu diesem Registrierungstyp finden Sie unter den folgenden Links:


Funktion Verwendung der Registrierungsoption in den folgenden Fällen:
Sie möchten den überwachten Modus verwenden. ✔️

Im überwachten Modus werden unter anderem Softwareupdates bereitgestellt, Features eingeschränkt und Apps zugelassen oder blockiert.
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). ✔️
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Nicht empfohlen. BYOD-Geräte oder persönliche Geräte sollten mit MAM-WE (in einem weiteren Microsoft-Artikel) oder Benutzer- und Geräteregistrierung (dieser Artikel) registriert werden.
Sie verfügen über vorhandene Geräte.

Vorhandene Geräte sollten mithilfe von Apple Configurator (in diesem Artikel) registriert werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ kann MAM-WE verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da diese Geräte dem Unternehmen gehören, wird die Registrierung bei Intune empfohlen.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Das DEM-Konto wird nicht unterstützt.

Aufgaben des ADE-Administrators

Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter Automatisches Registrieren von iOS-/iPadOS-Geräten mit der automatischen Geräteregistrierung von Apple oder Einrichten der iOS-/iPadOS-Geräteregistrierung mit Apple School Manager.

  • Stellen Sie sicher, dass Ihre Geräte unterstützt werden.

  • Sie benötigen Zugriff auf das Apple Business Manager-Portal (ABM) oder das Apple School Manager-Portal (ASM).

  • Stellen Sie sicher, dass das Apple-Token (.p7m) aktiv ist. Genauere Informationen finden Sie unter Abrufen eines Apple-ADE-Tokens.

  • Stellen Sie sicher, dass das Apple-MDM-Pushzertifikat zu Endpoint Manager hinzugefügt wurde und aktiv ist. Dieses Zertifikat ist erforderlich, um iOS/iPadOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple-MDM-Push-Zertifikats.

  • Entscheiden Sie, wie sich Benutzer bei ihren Geräten authentifizieren sollen: über die Unternehmensportal-App, den Setup-Assistenten (Legacy) oder den Setup-Assistenten mit moderner Authentifizierung (öffentliche Vorschauversion). Treffen Sie diese Entscheidung, bevor Sie das Registrierungsprofil erstellen. Die Verwendung der Unternehmensportal-App oder des Setup-Assistenten mit moderner Authentifizierung wird als moderne Authentifizierung bezeichnet.

    • Verwenden Sie in den folgenden Fällen die Unternehmensportal-App:

      • Sie möchten das Gerät zurücksetzen.
      • Sie möchten eine mehrstufige Authentifizierung (MFA) verwenden.
      • Sie möchten Benutzer dazu auffordern, ihr abgelaufenes Kennwort zu aktualisieren, wenn sie sich zum ersten Mal anmelden.
      • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
      • Sie möchten, dass Geräte in Azure AD registriert sind. Wenn diese registriert sind, können Sie Features verwenden, die im Zusammenhang mit Azure AD verfügbar sind (z. B. bedingter Zugriff).
      • Sie möchten die Unternehmensportal-App während der Registrierung automatisch installieren. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
      • Sie sollten das Gerät so lange sperren, bis die Unternehmensportal-App installiert ist. Nach der Installation melden sich Benutzer mit ihrem Azure AD-Konto bei der Unternehmensportal-App an. Anschließend wird das Gerät entsperrt, und Benutzer können es verwenden.
    • Wählen Sie aus folgenden Gründen den Setup-Assistenten (Legacy) aus:

      • Sie möchten das Gerät zurücksetzen.

      • Sie möchten keine modernen Authentifizierungsfeatures wie die MFA verwenden.

      • Sie möchten keine Geräte in Azure AD registrieren. Der Setup-Assistent (Legacy) authentifiziert den Benutzer mit dem Apple-Token .p7m. Wenn es akzeptabel ist, Geräte nicht in Azure AD zu registrieren, müssen Sie die Unternehmensportal-App nicht installieren. Verwenden Sie weiterhin den Setup-Assistenten (Legacy).

        Wenn Sie Geräte in Azure AD registrieren möchten, installieren Sie die Unternehmensportal-App. Wenn Sie das Registrierungsprofil erstellen und den Setup-Assistenten (Legacy) verwenden, können Sie die Unternehmensportal-App installieren. Es wird empfohlen, die Unternehmensportal-App während der Registrierung zu installieren.

    • Wählen Sie den Setup-Assistenten mit moderner Authentifizierung in folgenden Situationen aus:

      • Sie möchten das Gerät zurücksetzen.
      • Sie möchten eine mehrstufige Authentifizierung (MFA) verwenden.
      • Sie möchten Benutzer dazu auffordern, ihr abgelaufenes Kennwort zu aktualisieren, wenn sie sich zum ersten Mal anmelden.
      • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
      • Sie möchten, dass Geräte in Azure AD registriert sind. Wenn diese registriert sind, können Sie Features verwenden, die im Zusammenhang mit Azure AD verfügbar sind (z. B. bedingter Zugriff).
      • Sie möchten die Unternehmensportal-App während der Registrierung automatisch installieren. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung ohne die Apple-IDs der Benutzer automatisch installieren.
      • Sie möchten, dass Benutzer das Gerät verwenden, auch wenn die Unternehmensportal-App nicht installiert ist.

    Hinweis

    Eine Empfehlung von Microsoft ist, für die Authentifizierung des Benutzers die Unternehmensportal-App oder den Setup-Assistenten mit der modernen Authentifizierung zu verwenden.

    Welche Option sollten Sie nutzen? Es kommt ganz auf Ihre Situation an:

    • Wenn Sie das Gerät noch vor der Installation der Unternehmensportal-App verwenden möchten, verwenden Sie den Setup-Assistenten mit moderner Authentifizierung.

      Während der Ausführung des Setup-Assistenten müssen Benutzer die Azure AD-Anmeldeinformationen ihrer Organisation (user@contoso.com) eingeben. Wenn sie ihre Anmeldeinformationen eingeben, wird die Registrierung gestartet, und die Unternehmensportal-App wird installiert. Wenn Sie möchten, können Benutzer auch ihre Apple-ID eingeben, um auf Apple-spezifische Features wie Apple Pay zuzugreifen.

      Nach Abschluss des Setup-Assistenten können Benutzer das Gerät verwenden. Wenn der Startbildschirm angezeigt wird, ist die Registrierung abgeschlossen, und die Benutzeraffinität wird hergestellt. Das Gerät ist nicht vollständig bei Azure AD registriert und wird nicht in der Geräteliste eines Benutzers in Azure AD angezeigt.

      Nachdem die Unternehmensportal-App installiert ist (was einige Zeit in Anspruch nimmt), öffnen Benutzer die Unternehmensportal-App und melden sich noch mal mit dem Azure AD-Organisationskonto (user@contoso.com) an. Während dieser zweiten Anmeldung werden alle Richtlinien für bedingten Zugriff ausgewertet, und die Azure AD-Registrierung ist abgeschlossen. Benutzer können Organisationsressourcen, einschließlich Branchenanwendungen, installieren und verwenden.

    • Wenn Sie das Gerät nicht vor der Installation der Unternehmensportal-App verwenden möchten, verwenden Sie die Unternehmensportal-App-Option. Die Unternehmensportal-App-Option sperrt das Gerät so lange, bis die Unternehmensportal-App installiert ist. Nach Abschluss der Installation wird die Unternehmensportal-App automatisch geöffnet. Benutzer melden sich mit Ihrem Azure AD-Organisationskonto (user@contoso.com) an und können ihr Gerät verwenden.

  • Wenn Sie die Unternehmensportal-App verwenden, sollten Sie entscheiden, wie die Unternehmensportal-App auf den Geräten installiert werden soll. Treffen Sie diese Entscheidung, bevor Sie das Registrierungsprofil erstellen.

    Hinweis

    Das Volume Purchase Program (VPP) wird von Microsoft empfohlen, wenn die Unternehmensportal-App zum Authentifizieren verwendet wird. Dies liegt an der benutzerfreundlicheren Gestaltung für den Endbenutzer.

    Installieren Sie die Unternehmensportal-App auf ADE-registrierten Geräten nicht direkt über den App Store. Installieren Sie die Unternehmensportal-App stattdessen mithilfe der folgenden Optionen:

    • VPP-Token + Registrieren neuer Geräte: Wenn Sie das Volume Purchase Program (VPP) nutzen und neue Geräte registrieren, ist die Unternehmensportal-App darin enthalten. Klicken Sie auf Unternehmensportal mit VPP installieren, wenn Sie das Registrierungsprofil im Endpoint Manager Admin Center erstellen. Es sind keine weiteren Schritte erforderlich.

      Diese Option:

      • Die richtige Version der Unternehmensportal-App ist darin enthalten.
      • Sie müssen keine weitere Richtlinie erstellen, um die Unternehmensportal-App für Geräte bereitzustellen.
      • Die Unternehmensportal-App muss manuell von Ihnen oder den Benutzern aktualisiert werden.
    • Kein VPP-Token + Registrieren neuer Geräte: Es fallen keine Aufgaben für Administratoren an. Stellen Sie sicher, dass Benutzer ihre Apple-ID im Setup-Assistenten eingeben.

      Wenn der Setup-Assistent abgeschlossen ist, versucht die Unternehmensportal-App automatisch, die Installation durchzuführen. Wenn Benutzer ihre Apple-ID (user@iCloud.com oder user@gmail.com) nicht eingeben, werden sie ständig aufgefordert, ihre Apple-ID einzugeben. Benutzer müssen ihre Apple-ID eingeben, um die Unternehmensportal-App auf Ihren Geräten nutzen zu können. Wenn die Unternehmensportal-App installiert wird, können Benutzer diese öffnen und die Anmeldeinformationen ihrer Organisation eingeben (user@contoso.com). Wenn sich Benutzer authentifizieren, können sie die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).

    • Bereits registrierte Geräte: Wenn Geräte bereits registriert sind, können Sie in Abhängigkeit davon, ob Sie das VPP nutzen oder nicht, eine App-Konfigurationsrichtlinie verwenden:

      1. Fügen Sie die Unternehmensportal-App im Endpoint Manager Admin Center als erforderliche und auf dem Gerät lizenzierte App hinzu.
      2. Erstellen Sie eine App-Konfigurationsrichtlinie, die die Unternehmensportal-App als auf dem Gerät lizenzierte App einschließt. Genauere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS-und iPadOS-DEP-Geräten.
      3. Stellen Sie die App-Konfigurationsrichtlinie in derselben Gerätegruppe wie das Registrierungsprofil bereit.
      4. Wenn Geräte beim Intune-Dienst einchecken, erhält dieser Ihr Profil, und die Unternehmensportal-App wird installiert.

      Diese Option:

      • Die richtige Version der Unternehmensportal-App ist darin enthalten.
      • Sie müssen ein Registrierungsprofil erstellen und eine App-Konfigurationsrichtlinie erstellen. Legen Sie in der App-Konfigurationsrichtlinie fest, dass dies eine erforderliche App sein soll, damit Sie sicherstellen können, dass die App auf all Ihren Geräten bereitgestellt wird.
      • Die Unternehmensportal-App kann automatisch aktualisiert werden, indem Sie Ihre vorhandene App-Konfigurationsrichtlinie ändern.
  • Erstellen Sie im Endpoint Manager Admin Center ein Registrierungsprofil:

    • Klicken Sie auf Mit Benutzeraffinität registrieren (dem Gerät einen Benutzer zuordnen) oder Ohne Benutzeraffinität registrieren (Geräte ohne Benutzer oder gemeinsam genutzte Geräte).
    • Wählen Sie die Authentifizierungsoptionen der Benutzer aus: die Unternehmensportal-App, der Setup-Assistent (Legacy) oder der Setup-Assistent mit moderner Authentifizierung.

    Genauere Informationen und Vorschläge finden Sie unter Automatisches Registrieren von iOS-/iPadOS-Geräten mit der automatischen Geräteregistrierung von Apple.

Aufgaben für Endbenutzer bei Verwendung der ADE

Wenn Sie im Endpoint Manager Admin Center ein Registrierungsprofil erstellen, ordnen Sie dem Gerät einen Benutzer zu (Mit Benutzeraffinität registrieren), oder verwenden Sie gemeinsam genutzte Geräte (Ohne Benutzeraffinität registrieren). Welche Schritte Sie ausführen, hängt davon ab, wie Sie das Registrierungsprofil konfigurieren.

  • Mit Benutzeraffinität registrieren + Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (user@iCloud.com oder user@gmail.com) ein. Nach der Eingabe wird die Unternehmensportal-App automatisch über Ihr Registrierungsprofil installiert. Die automatische Installation der Unternehmensportal-App kann einige Zeit in Anspruch nehmen.
    2. Benutzer öffnen die Unternehmensportal-App und melden sich mit ihren Anmeldeinformationen an (user@contoso.com). Bei der Anmeldung wird die Registrierung gestartet. Wenn die Registrierung abgeschlossen ist, können Benutzer die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).

    Benutzer müssen möglicherweise weitere Informationen eingeben. Informationen zu den genaueren Schritten für Endbenutzer finden Sie unter Registrieren eines von Ihrer Organisation bereitgestellten iOS-Geräts für die Verwaltung.

  • Mit Benutzeraffinität registrieren + Setup-Assistent (Legacy) + Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (user@iCloud.com oder user@gmail.com) ein.

    2. Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf.

    3. Die Unternehmensportal-App wird automatisch geöffnet, und das Gerät sollte in einer Art Kiosk-Modus gesperrt werden. Das Öffnen der Unternehmensportal-App kann einige Zeit in Anspruch nehmen. Benutzer melden sich mit ihren Anmeldeinformationen für die Organisation an (user@contoso.com), und das Gerät wird bei Intune registriert.

      In diesem Schritt wird das Gerät in Azure AD registriert. Benutzer können die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).

  • Mit Benutzeraffinität registrieren + Setup-Assistent (Legacy) – Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (user@iCloud.com oder user@gmail.com) ein.
    2. Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf und registriert das Gerät bei Intune. Das Gerät ist nicht in Azure AD registriert.
  • Mit Benutzeraffinität registrieren + Setup-Assistent mit moderner Authentifizierung + Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben Ihre Apple-ID (user@iCloud.com oder user@gmail.com) sowie die Anmeldeinformationen des Azure AD-Kontos ihrer Organisation (user@contoso.com) an.

      Wenn Benutzer ihre Azure AD-Anmeldeinformationen eingeben, wird die Registrierung gestartet.

    2. Der Setup-Assistent fordert den Benutzer zur Eingabe von zusätzlichen Informationen auf. Wenn dies abgeschlossen ist, können Benutzer das Gerät verwenden. Wenn der Startbildschirm angezeigt wird, ist die Registrierung abgeschlossen. Benutzern werden Ihre Apps und Richtlinien auf dem Gerät angezeigt.

    3. Die Unternehmensportal-App wird automatisch installiert. Dies dauert einige Zeit. Benutzer öffnen die Unternehmensportal-App und melden sich noch mal mit ihren Anmeldeinformationen an (user@contoso.com).

  • Mit Benutzeraffinität registrieren + Setup-Assistent mit moderner Authentifizierung – Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben Ihre Apple-ID (user@iCloud.com oder user@gmail.com) sowie die Anmeldeinformationen des Azure AD-Kontos ihrer Organisation an.

      Wenn Benutzer ihre Azure AD-Anmeldeinformationen eingeben, wird die Registrierung gestartet.

    2. Der Setup-Assistent fordert den Benutzer zur Eingabe von zusätzlichen Informationen auf. Wenn dies abgeschlossen ist, können Benutzer das Gerät verwenden. Wenn der Startbildschirm angezeigt wird, ist die Registrierung abgeschlossen. Benutzern werden Ihre Apps und Richtlinien auf dem Gerät angezeigt.

    3. Die Unternehmensportal-App wird automatisch installiert. Benutzer müssen die Unternehmensportal-App nicht öffnen oder sich bei der App anmelden. Wenn sie sich nicht anmelden, wird das Gerät nicht bei Azure AD registriert und nicht in der Geräteliste eines Benutzers in Azure AD angezeigt. Ressourcen, die vom bedingten Zugriff abhängen, sind nicht verfügbar.

  • Ohne Benutzeraffinität registrieren: Es sind keine Aktionen erforderlich. Stellen Sie sicher, dass die Unternehmensportal-App nicht über den Apple App Store installiert wird.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Einige Hinweise für die Kommunikation mit Ihren Benutzern finden Sie im Planungsleitfaden im Abschnitt Aufgabe 5: „Erstellen eines Rolloutplans“.

Apple Configurator-Registrierung

Diese Option bezieht sich auf die Verwendung auf Geräten, die sich im Besitz Ihrer Organisation befinden, und umfasst den direkten Beitritt. Sie erfordert, dass Sie macOS-Geräte über den USB-Anschluss physisch mit einem Mac-Computer verbinden.

Genauere Informationen zu diesem Registrierungstyp finden Sie unter Einrichten der iOS-/iPadOS-Geräteregistrierung mit Apple Configurator.


Funktion Verwendung der Registrierungsoption in den folgenden Fällen:
Sie benötigen eine Kabelverbindung, oder es liegen Netzwerkprobleme vor. ✔️
Ihre Organisation möchte verhindern, dass Administratoren das ABM- oder ASM-Portal verwenden. Außerdem soll verhindert werden, dass alle Anforderungen eingerichtet werden müssen. ✔️

Das Ziel des Ansatzes, das ABM- oder ASM-Portal nicht zu verwenden, besteht darin, die Kontrolle der Administratoren einzuschränken.
Apple Business Manager (ABM) oder Apple School Manager (ASM) werden in einem Land nicht unterstützt. ✔️

Wenn ABS oder ASM in Ihrem Land/Ihrer Region unterstützt werden, sollten die Geräte mithilfe der automatisierten Geräteregistrierung (ADE) registriert werden.
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue oder vorhandene Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️

Wenn Sie über eine große Anzahl von Geräten verfügen, wird diese Methode einige Zeit in Anspruch nehmen.
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte). ✔️
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Nicht empfohlen. BYOD-Geräte oder persönliche Geräte sollten mit MAM-WE (in einem weiteren Microsoft-Artikel) oder Benutzer- und Geräteregistrierung (dieser Artikel) registriert werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Alternativ kann MAM-WE verwendet werden, um bestimmte Apps auf dem Gerät zu verwalten. Da diese Geräte dem Unternehmen gehören, wird die Registrierung bei Intune empfohlen.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Das DEM-Konto wird nicht unterstützt.

Aufgaben für Administratoren bei Verwendung von Apple Configurator

Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter Einrichten der iOS-/iPadOS-Geräteregistrierung mit Apple Configurator.

  • Hier ist der Zugriff auf einen Mac-Computer über einen USB-Anschluss erforderlich.

  • Stellen Sie sicher, dass Ihre Geräte unterstützt werden.

  • Stellen Sie sicher, dass das Apple-MDM-Pushzertifikat zu Endpoint Manager hinzugefügt wurde und aktiv ist. Dieses Zertifikat ist erforderlich, um iOS/iPadOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple-MDM-Push-Zertifikats.

  • Entscheiden Sie, ob sich Benutzer mit der Unternehmensportal-App oder dem Setup-Assistenten authentifizieren sollen. Treffen Sie diese Entscheidung, bevor Sie das Registrierungsprofil erstellen. Die Verwendung der Unternehmensportal-App gilt als moderne Authentifizierung. Es wird empfohlen, die Unternehmensportal-App zu verwenden.

    • Verwenden Sie in den folgenden Fällen die Unternehmensportal-App:

      • Sie möchten eine mehrstufige Authentifizierung (MFA) verwenden.
      • Sie möchten Benutzer dazu auffordern, ihr abgelaufenes Kennwort zu aktualisieren, wenn sie sich zum ersten Mal anmelden.
      • Sie möchten Benutzer dazu auffordern, ihre abgelaufenen Kennwörter bei der Registrierung zurückzusetzen.
      • Sie möchten, dass Geräte in Azure AD registriert sind. Wenn diese registriert sind, können Sie Features verwenden, die im Zusammenhang mit Azure AD verfügbar sind (z. B. bedingter Zugriff).
      • Sie möchten die Unternehmensportal-App während der Registrierung automatisch installieren. Wenn Ihr Unternehmen das Apple Volume Purchase Program (VPP) nutzt, können Sie die Unternehmensportal-App während der Registrierung automatisch installieren.
    • Verwenden Sie in den folgenden Fällen den Setup-Assistenten:

      • Sie möchten keine modernen Authentifizierungsfeatures wie die MFA verwenden.

      • Sie möchten das Gerät zurücksetzen.

      • Sie möchten Seriennummern importieren.

      • Sie möchten keine Geräte in Azure AD registrieren. Der Setup-Assistent authentifiziert den Benutzer bei dem exportierten Registrierungsprofil, das Sie auf das Gerät kopieren. Wenn es akzeptabel ist, Geräte nicht in Azure AD zu registrieren, müssen Sie die Unternehmensportal-App nicht installieren. Verwenden Sie weiterhin den Setup-Assistenten.

        Wenn Sie Geräte in Azure AD registrieren möchten, installieren Sie die Unternehmensportal-App. Wenn Sie das Registrierungsprofil erstellen und den Setup-Assistenten verwenden, können Sie die Unternehmensportal-App installieren. Es wird empfohlen, die Unternehmensportal-App während der Registrierung zu installieren.

  • Wenn Sie die Unternehmensportal-App verwenden, muss diese mithilfe einer App-Konfigurationsrichtlinie auf Geräten installiert werden. Es wird empfohlen, diese Richtlinie zu erstellen, bevor Sie das Registrierungsprofil erstellen.

    Installieren Sie die Unternehmensportal-App auf mit Apple Configurator registrierten Geräten nicht direkt über den App Store. Installieren Sie die Unternehmensportal-App stattdessen mithilfe der folgenden Optionen:

    • Registrieren neuer Geräte: Es fallen keine Aufgaben für Administratoren an. Stellen Sie sicher, dass Benutzer ihre Apple-ID im Setup-Assistenten eingeben.

      Wenn der Setup-Assistent abgeschlossen ist, versucht die Unternehmensportal-App automatisch, die Installation durchzuführen. Wenn Benutzer ihre Apple-ID (user@iCloud.com oder user@gmail.com) nicht eingeben, werden sie ständig aufgefordert, ihre Apple-ID einzugeben. Benutzer müssen ihre Apple-ID eingeben, um die Unternehmensportal-App auf Ihren Geräten nutzen zu können. Wenn die Unternehmensportal-App installiert wird, können Benutzer diese öffnen und die Anmeldeinformationen ihrer Organisation eingeben (user@contoso.com). Wenn sich Benutzer authentifizieren, können sie die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).

    • Bereits registrierte Geräte: Wenn Geräte bereits registriert sind, verwenden Sie eine App-Konfigurationsrichtlinie:

      1. Fügen Sie die Unternehmensportal-App im Endpoint Manager Admin Center als erforderliche und auf dem Gerät lizenzierte App hinzu.
      2. Erstellen Sie eine App-Konfigurationsrichtlinie, die die Unternehmensportal-App als auf dem Gerät lizenzierte App einschließt. Genauere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App zur Unterstützung von iOS-und iPadOS-DEP-Geräten.
      3. Stellen Sie die App-Konfigurationsrichtlinie in derselben Gerätegruppe wie das Registrierungsprofil bereit.
      4. Wenn Geräte beim Intune-Dienst einchecken, erhält dieser Ihr Profil, und die Unternehmensportal-App wird installiert.

      Diese Option:

      • Die richtige Version der Unternehmensportal-App ist darin enthalten.
      • Sie müssen ein Registrierungsprofil erstellen und eine App-Konfigurationsrichtlinie erstellen. Legen Sie in der App-Konfigurationsrichtlinie fest, dass dies eine erforderliche App sein soll, damit Sie sicherstellen können, dass die App auf all Ihren Geräten bereitgestellt wird.
      • Die Unternehmensportal-App kann automatisch aktualisiert werden, indem Sie Ihre vorhandene App-Konfigurationsrichtlinie ändern.
  • Erstellen Sie im Endpoint Manager Admin Center ein Registrierungsprofil:

    • Klicken Sie auf Mit Benutzeraffinität registrieren (dem Gerät einen Benutzer zuordnen) oder Ohne Benutzeraffinität registrieren (Geräte ohne Benutzer oder gemeinsam genutzte Geräte).

    • Bei der Option Ohne Benutzeraffinität registrieren verwenden Sie automatisch den direkten Beitritt. Denken Sie daran:

      • Sie verwenden die Einstellungen aus einem vorhandenen macOS-Registrierungsprofil.
      • Benutzer können keine Apps verwenden, die einen Benutzer erfordern (einschließlich der Unternehmensportal-App). Die Unternehmensportal-App wird bei Registrierungen ohne Benutzeraffinität nicht verwendet, benötigt oder unterstützt. Stellen Sie sicher, dass Benutzer die Unternehmensportal-App nicht aus dem Apple App Store installieren.
  • Wenn das Registrierungsprofil bereit für die Verwendung ist, verbinden Sie die Geräte über den USB-Anschluss mit dem Mac, und öffnen Sie die App Apple Configurator. Wenn die App geöffnet wird, wird das über den USB-Anschluss verbundene Gerät erkannt, und das von Ihnen erstellte Intune-Registrierungsprofil wird bereitgestellt.

Weitere Informationen zu dieser Registrierungsoption und den entsprechenden Voraussetzungen finden Sie unter Einrichten der iOS-/iPadOS-Geräteregistrierung mit Apple Configurator.

Aufgaben für Endbenutzer bei Verwendung von Apple Configurator

Die Aufgaben hängen von der Option ab, die Sie im Registrierungsprofil konfiguriert haben.

  • Mit Benutzeraffinität registrieren + Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben ihre Apple-ID (user@iCloud.com oder user@gmail.com) ein. Nach der Eingabe wird die Unternehmensportal-App automatisch über den App Store installiert. Die automatische Installation der Unternehmensportal-App kann einige Zeit in Anspruch nehmen.
    2. Öffnen Sie die Unternehmensportal-App, und melden sich mit Ihren Anmeldeinformationen an (user@contoso.com). Wenn sich Benutzer anmelden, wird die Registrierung gestartet. Wenn die Registrierung abgeschlossen ist, können Benutzer die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).

    Benutzer müssen möglicherweise weitere Informationen eingeben. Informationen zu den genaueren Schritten finden Sie unter Registrieren eines von Ihrer Organisation bereitgestellten iOS-Geräts für die Verwaltung.

  • Mit Benutzeraffinität registrieren + Setup-Assistent + Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben die Anmeldeinformationen ihrer Organisation ein (user@contoso.com). Durch diesen Schritt wird das Gerät bei Intune registriert.
    2. Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf, einschließlich der Apple-ID (user@iCloud.com oder user@gmail.com).
    3. Die Unternehmensportal-App wird automatisch über den App Store installiert. Benutzer öffnen die Unternehmensportal-App und melden sich mit ihren Anmeldeinformationen an (user@contoso.com). In diesem Schritt wird das Gerät in Azure AD registriert. Benutzer können die von Ihrer Organisation verwendeten Apps installieren und verwenden (einschließlich branchenspezifischer Apps).
  • Mit Benutzeraffinität registrieren + Setup-Assistent – Unternehmensportal-App:

    1. Wenn das Gerät eingeschaltet wird, wird der Setup-Assistent von Apple ausgeführt. Benutzer geben die Anmeldeinformationen ihrer Organisation ein (user@contoso.com). Durch diesen Schritt wird das Gerät bei Intune registriert.
    2. Der Setup-Assistent fordert den Benutzer zur Eingabe von Informationen auf, einschließlich der Apple-ID (user@iCloud.com oder user@gmail.com). Bei diesem Schritt wird das Intune-Verwaltungsprofil mithilfe von Push auf das Gerät übertragen.
    3. Benutzer installieren das Verwaltungsprofil. Das Profil wird beim Intune-Dienst eingecheckt, und das Gerät wird registriert. Das Gerät ist nicht in Azure AD registriert.
  • Ohne Benutzeraffinität registrieren: Sie verwenden den direkten Beitritt. Keine Aktionen. Stellen Sie sicher, dass die Unternehmensportal-App nicht über den Apple App Store installiert wird.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Einige Hinweise für die Kommunikation mit Ihren Benutzern finden Sie im Planungsleitfaden im Abschnitt Aufgabe 5: „Erstellen eines Rolloutplans“.

BYOD: Benutzer- und Geräteregistrierung

Bei diesen iOS/iPadOS-Geräten handelt es sich um persönliche Geräte oder BYOD-Geräte (Bring Your Own Device), die auf Organisations-E-Mails, Apps und andere Daten zugreifen können. Ab iOS 13 ist diese Registrierungsoption für Benutzer oder Geräte vorgesehen. Das Zurücksetzen der Geräte ist nicht erforderlich.

Wenn Sie das Registrierungsprofil erstellen, werden Sie aufgefordert, die Option Benutzerregistrierung, Geräteregistrierung oder Basierend auf Benutzerauswahl festlegen auszuwählen.

Informationen zu den spezifischen Registrierungsschritten und den entsprechenden Voraussetzungen finden Sie unter Einrichten der iOS-/iPadOS- und iPadOS-Benutzerregistrierung (Vorschau).


Funktion Verwendung der Registrierungsoption in den folgenden Fällen:
Es handelt sich um persönliche Geräte oder BYOD-Geräte. ✔️
Sie möchten ein bestimmtes Feature auf dem Gerät schützen (z. B. „Pro-App-VPN“). ✔️
Sie verfügen über neue oder vorhandene Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Wenn ein Gerät registriert wird, installieren MDM-Anbieter Zertifikate und andere Dateien. Diese Dateien müssen entfernt werden. Die schnellste Möglichkeit besteht darin, die Registrierung der Geräte aufzuheben oder diese auf die Werkseinstellungen zurückzusetzen. Wenn Sie das Gerät nicht auf die Werkseinstellungen zurücksetzen möchten, wenden Sie sich an den MDM-Anbieter.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager). ✔️
Die Geräte gehören der Organisation oder der Schule.

Nicht empfohlen. Unternehmenseigene Geräte sollten mithilfe der automatischen Geräteregistrierung (in diesem Artikel) oder mit Apple Configurator (in diesem Artikel) registriert werden.
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk- oder dedizierte Geräte).

In der Regel befinden sich Geräte ohne Benutzer oder gemeinsam genutzte Geräte im Besitz der Organisation. Diese Geräte sollten mithilfe der automatischen Geräteregistrierung (in diesem Artikel) oder mit Apple Configurator (in diesem Artikel) registriert werden.

Aufgaben für Administratoren bei der Benutzer- und Geräteregistrierung

Diese Aufgabenliste bietet eine Übersicht. Genauere Informationen finden Sie unter Einrichten der iOS-/iPadOS- und iPadOS-Benutzerregistrierung (Vorschau).

  • Stellen Sie sicher, dass Ihre Geräte unterstützt werden.

  • Stellen Sie sicher, dass das Apple-MDM-Pushzertifikat zu Endpoint Manager hinzugefügt wurde und aktiv ist. Dieses Zertifikat ist erforderlich, um iOS/iPadOS-Geräte zu registrieren. Weitere Informationen finden Sie unter Abrufen eines Apple-MDM-Push-Zertifikats.

  • Erstellen Sie das Registrierungsprofil im Endpoint Manager Admin Center. Wenn Sie das Registrierungsprofil erstellen, haben Sie die folgenden Optionen:

    • Geräteregistrierung: Dies ist eine typische Registrierungsoption für persönliche Geräte. Nicht nur einzelne Apps oder Features, sondern das gesamte Gerät wird verwaltet. Bei dieser Option sollten Sie die folgenden Informationen beachten:

      • Sie können Zertifikate bereitstellen, die für das gesamte Gerät gelten.
      • Benutzer müssen Updates installieren. Nur Geräte, die mithilfe der automatischen Geräteregistrierung (ADE) registriert wurden, können Updates mithilfe von MDM-Richtlinien oder -Profilen empfangen.
      • Dem Gerät muss ein Benutzer zugeordnet sein. Bei diesem Benutzer kann es sich um ein DEM-Konto (Geräteregistrierungs-Manager) handeln.
    • Basierend auf Benutzerauswahl festlegen: Hier haben die Endbenutzer bei der Registrierung eine Auswahl. Abhängig von dieser Auswahl wird entweder die Benutzerregistrierung oder die Geräteregistrierung verwendet.

    • Benutzerregistrierung: Diese Option ist ab iOS 13 verfügbar. Dabei werden bestimmte Features und Organisations-Apps konfiguriert (z. B. Kennwörter, Pro-App-VPN, WLAN und Siri). Wenn Sie die Benutzerregistrierung verwenden und zum Schutz von Apps und deren Daten beitragen möchten, empfiehlt es sich, auch App-Schutzrichtlinien zu verwenden.

      Die vollständige Liste der verfügbaren Optionen finden Sie unter Bei der Apple-Benutzerregistrierung unterstützte Intune-Aktionen und -Optionen. Informationen zu den spezifischen Schritten für die Benutzerregistrierung finden Sie unter Einrichten der iOS-/iPadOS- und iPadOS-Benutzerregistrierung (Vorschau).

      Hinweis

      BYOD-Geräte können zu unternehmenseigenen Geräten werden. Informationen hierzu finden Sie unter Identifizieren von Geräten als unternehmenseigen.

      Die Benutzerregistrierung gilt für Endbenutzer als benutzerfreundlicher, bietet möglicherweise aber nicht die Features und Sicherheitsfunktionen, die Administratoren benötigten. In einigen Szenarios ist die Benutzerregistrierung womöglich nicht die beste Option. Stellen Sie sich die folgenden Szenarien vor:

      • Bei der Benutzerregistrierung wird eine Arbeitspartition auf den Geräten erstellt. Die Features und Sicherheitsfunktionen, die Sie im Benutzerregistrierungsprofil konfigurieren, sind nur in der Arbeitspartition vorhanden. Sie sind nicht in der Benutzerpartition vorhanden. Benutzer können die Arbeitspartition nicht zurücksetzen. Im Gegensatz dazu haben Administratoren die Möglichkeit, dies zu tun. Benutzer können die persönliche Partition auf die Werkseinstellungen zurücksetzen. Administratoren können dies nicht tun.

      • Wenn Benutzer in erster Linie Microsoft-Apps oder mit dem Intune App SDK erstellte Apps verwenden, sollten sie diese Apps aus dem Apple App Store herunterladen. Anschließend verwenden Sie App-Schutzrichtlinien, um diese Apps zu schützen. In diesem Szenario benötigen Sie keine Benutzerregistrierung.

      • Bei branchenspezifischen Apps (Line of Business, LOB) ist die Benutzerregistrierung eine Option, da diese Apps in der Arbeitspartition bereitgestellt werden. Die mobile Anwendungsverwaltung (MAM) unterstützt keine LOB-Apps. Wenn Sie also LOB-Apps benötigen, verwenden Sie die Benutzerregistrierung.

      • Wenn Geräte mithilfe der Benutzerregistrierung registriert werden, können Sie nicht zur Geräteregistrierung wechseln. Bei der Benutzerregistrierung ist es nicht möglich, eine App von einem nicht verwalteten auf ein verwaltetes Gerät zu verschieben. Benutzer müssen die Benutzerregistrierung aufheben und das Gerät erneut über die Geräteregistrierung registrieren.

      • Wenn Sie Apps installieren, bevor das Benutzerregistrierungsprofil angewendet wird, werden diese nicht geschützt oder vom Benutzerregistrierungsprofil verwaltet.

        Beispiel: Ein Benutzer lädt die Outlook-App aus dem Apple App Store herunter. Die App wird automatisch in der Benutzerpartition auf dem Gerät installiert. Der Benutzer konfiguriert Outlook für seine persönliche E-Mail-Adresse. Wenn er die E-Mail-Adresse seiner Organisation konfiguriert, wird dies durch den bedingten Zugriff blockiert, und der Benutzer wird aufgefordert, sich zu registrieren. Wenn er sich registriert hat, wird ein Benutzerregistrierungsprofil bereitgestellt.

        Da die Outlook-App vor dem Benutzerregistrierungsprofil installiert wurde, tritt beim Benutzerregistrierungsprofil ein Fehler auf. Die Outlook-App kann nicht verwaltet werden, da sie in der Benutzerpartition und nicht der Arbeitspartition installiert und konfiguriert ist. Benutzer müssen die Outlook-App manuell deinstallieren.

        Nach der Deinstallation können Benutzer das Gerät manuell synchronisieren und das Benutzerregistrierungsprofil möglicherweise erneut anwenden. Alternativ müssen Sie eine App-Konfigurationsrichtlinie erstellen, um Outlook bereitzustellen und als erforderliche App zu konfigurieren. Danach stellen Sie eine App-Schutzrichtlinie bereit, um die App und ihre Daten zu schützen.

  • Weisen Sie den Benutzergruppen das Registrierungsprofil zu. Weisen Sie es keinen Gerätegruppen zu.

Aufgaben für Endbenutzer bei der Benutzer- und Geräteregistrierung

Die Benutzer müssen die folgenden Schritte ausführen. Informationen zu den spezifischen Benutzerfunktionen finden Sie unter Einrichten des iOS-Gerätezugriffs auf Unternehmensressourcen.

  1. Navigieren Sie zum Apple App Store, und installieren Sie die Intune-Unternehmensportal-App.

  2. Öffnen Sie die Unternehmensportal-App, und melden sich mit Ihren Anmeldeinformationen an (user@contoso.com). Nachdem sie sich angemeldet haben, gilt Ihr Registrierungsprofil für das Gerät.

    Benutzer müssen möglicherweise weitere Informationen eingeben. Informationen zu den genaueren Schritten finden Sie unter Registrieren eines Geräts mit dem Android-Arbeitsprofil.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Einige Hinweise für die Kommunikation mit Ihren Benutzern finden Sie im Planungsleitfaden im Abschnitt Aufgabe 5: „Erstellen eines Rolloutplans“.

Tipp

Es gibt ein kurzes Video mit den einzelnen Schritten, das Ihre Benutzer beim Registrieren ihrer Geräte bei Intune unterstützen soll:

Registrieren Ihres iOS/iPadOS-Geräts

Nächste Schritte