Festlegen der Autorität für die Verwaltung mobiler Geräte

Die Einstellung für die Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) bestimmt, wie Sie Ihre Geräte verwalten. Als IT-Administrator müssen Sie eine MDM-Autorität festlegen, bevor Benutzer Geräte für die Verwaltung registrieren können. Außerdem sollte Ihnen eine Intune-Lizenz zum Festlegen der MDM-Autorität zugewiesen werden.

Die möglichen Konfigurationen sind Folgende:

  • Intune (eigenständig): Ausschließliche Verwaltung in der Cloud, die Sie mithilfe des Azure-Portals konfigurieren Ihnen stehen alle Funktionen von Intune zur Verfügung. Legen Sie die MDM-Autorität im Microsoft Intune Admin Center fest.

  • Co-Verwaltung in Intune: Integration der Intune-Cloudlösung mit Configuration Manager für Windows 10-Geräte Sie konfigurieren Intune mithilfe der Configuration Manager-Konsole. Konfigurieren der automatischen Registrierung von Geräten in Intune.

  • Basismobilität und Sicherheit für Microsoft 365: Nachdem diese Konfiguration aktiviert wurde, wird die MDM-Autorität auf "Office 365" festgelegt. Wenn Sie Mit der Verwendung von Intune beginnen möchten, müssen Sie Intune-Lizenzen erwerben.

  • Basismobilität und Sicherheit für die Microsoft 365-Koexistenz: Sie können Ihrem Mandanten Intune hinzufügen, wenn Sie bereits Basismobilität und Sicherheit für Microsoft 365 verwenden. Sie können die Verwaltungsautorität entweder auf Intune oder Basismobilität und Sicherheit für Microsoft 365 festlegen, damit jeder Benutzer vorgibt, welcher Dienst zum Verwalten seiner MDM-registrierten Geräte verwendet wird. Die Verwaltungsautorität jedes Benutzers wird basierend auf der lizenz definiert, die dem Benutzer zugewiesen ist:

    • Basismobilität und Sicherheit für Microsoft 365 verwaltet die Geräte von Benutzern, die nur über eine Lizenz für Microsoft 365 Basic oder Standard verfügen.
    • Intune verwaltet die Geräte von Benutzern, die über eine Lizenz verfügen, die sie zur Verwendung verleitet.
    • Wenn Sie einem Benutzer, der zuvor von Basismobilität und Sicherheit für Microsoft 365 verwaltet wurde, eine Lizenz hinzufügen, die Intune berechtigt, werden dessen Geräte auf die Intune-Verwaltung umgestellt. Um Basismobilität und Sicherheit für die Microsoft 365-Konfiguration auf den Geräten der Benutzer zu vermeiden, stellen Sie sicher, dass Sie Den Benutzern Intune-Konfigurationen zuweisen, bevor Sie sie zu Intune wechseln.

Festlegen der MDM-Autorität in Intune

Bei Mandanten mit Dienstrelease 1911 oder höher ist die MDM-Autorität automatisch auf Intune festgelegt.

Führen Sie für Mandanten, die das Dienstrelease 1911 und höher verwenden, die Schritte in diesem Abschnitt aus, wenn Sie Basismobilität und Sicherheit aktiviert haben.

Führen Sie für Dienstfreigabemandanten vor 1911 die Schritte in diesem Abschnitt aus, wenn Sie die MDM-Autorität noch nicht festgelegt haben.

  1. Wählen Sie im Microsoft Intune Admin Center das orangefarbene Banner aus, um die Einstellung Mobile Geräteverwaltung Authority zu öffnen. Der orangefarbene Banner wird nur angezeigt, wenn Sie die MDM-Autorität noch nicht festgelegt haben.

  2. Wählen Sie unter Autorität für die Verwaltung mobiler Geräte Ihre MDM-Autorität aus den folgenden Optionen aus:

    • Intune-MDM-Autorität
    • Keine

    Screenshot des Intune-Bildschirms

Eine Meldung zeigt an, dass Sie die MDM-Autorität erfolgreich auf Intune festgelegt haben.

Workflow der Intune-Verwaltungsbenutzeroberfläche

Wenn die Verwaltung von Android- oder Apple-Geräten aktiviert ist, sendet Intune Geräte- und Benutzerinformationen zur Integration mit diesen Drittanbieterdiensten, um die jeweiligen Geräte zu verwalten.

Szenarios, die eine Zustimmung zur Datenfreigabe hinzufügen, werden unter den folgenden Bedingungen eingeschlossen:

  • Sie aktivieren persönliche oder unternehmenseigene Android Enterprise-Arbeitsprofile.
  • Apple-MDM-Push-Zertifikate werden aktiviert und hochgeladen.
  • Einer der Apple-Dienste wie das Programm zur Geräteregistrierung, School Manager oder Volume Purchase Program wird aktiviert.

In jedem Fall muss die Zustimmung erteilt werden, wenn ein Verwaltungsdienst für mobile Geräte ausgeführt wird. Beispielsweise zum Bestätigen, dass ein IT-Administrator Google- oder Apple-Geräte zur Registrierung autorisiert hat. An den folgenden Speicherorten finden Sie die Dokumentation zur Frage, welche Informationen freigegeben werden, wenn die neuen Workflows live sind:

Wichtige Überlegungen

Nach dem Wechsel zur neuen MDM-Autorität gibt es eine Übergangszeit (bis zu acht Stunden), bevor das Gerät eingecheckt und mit dem Dienst synchronisiert wird. Sie müssen Einstellungen in der neuen MDM-Autorität konfigurieren, um sicherzustellen, dass registrierte Geräte nach der Änderung weiterhin verwaltet und geschützt werden.

  • Geräte müssen nach der Umstellung eine Verbindung mit dem Dienst herstellen, damit die Einstellungen der neuen MDM-Autorität (eigenständiges Intune) die vorhandenen Einstellungen auf dem Gerät ersetzen.
  • Nach dem Ändern der MDM-Autorität verbleiben einige der grundlegenden Einstellungen (z.B. Profile) aus der vorherigen MDM-Autorität für bis zu sieben Tage oder bis zur ersten Verbindung des Geräts mit dem Dienst auf dem Gerät. Sie sollten Apps und Einstellungen (z. B. Richtlinien, Profile und Apps) in der neuen MDM-Autorität so bald wie möglich konfigurieren und die Einstellung für die Benutzergruppen bereitstellen, die Benutzer mit registrierten Geräten enthalten. Sobald ein Gerät nach der Umstellung der MDM-Autorität eine Verbindung mit dem Dienst herstellt, werden die neuen Einstellungen der neuen MDM-Autorität übertragen, und Lücken bei Verwaltung und Schutz werden verhindert.
  • Geräte, denen keine Benutzer zugeordnet sind (dies ist typischerweise der Fall, wenn Sie das iOS/iPadOS-Programm zur Geräteregistrierung oder die Massenregistrierung verwenden), werden nicht zur neuen MDM-Autorität migriert. Für diese Geräte müssen Sie sich mit dem Support in Verbindung setzen, um Hilfe beim Verschieben dieser Geräte zur neuen MDM-Autorität zu erhalten.

Koexistenz

Durch Aktivieren der Koexistenz können Sie Intune für eine neue Gruppe von Benutzern verwenden, während Sie weiterhin Basismobilität und Sicherheit für die vorhandenen Benutzer verwenden. Sie können steuern, welche Geräte von Intune über den Benutzer verwaltet werden. Intune verwaltet alle von einem Benutzer registrierten Geräte, wenn der Benutzer über eine Intune-Lizenz verfügt oder die Intune-Co-Verwaltung mit Configuration Manager verwendet. Andernfalls wird der Benutzer von „Basic Mobility and Security“ verwaltet.

Zum Aktivieren der Koexistenz sind drei Hauptschritte erforderlich:

  1. Vorbereitung
  2. Hinzufügen der Intune-MDM-Autorität
  3. Benutzer- und Gerätemigration (optional).

Vorbereitung

Berücksichtigen Sie die folgenden Punkte, bevor Sie die Koexistenz mit „Basic Mobility and Security“ aktivieren:

  • Stellen Sie sicher, dass Sie über ausreichende Intune-Lizenzen für die Benutzer verfügen, die Sie über Intune verwalten möchten.
  • Überprüfen Sie, welchen Benutzern Intune-Lizenzen zugewiesen sind. Nachdem Sie die Koexistenz aktiviert haben, werden die Geräte von Benutzern, denen bereits eine Intune-Lizenz zugewiesen wurde, an Intune übertragen. Um unerwartete Geräteübertragungen zu vermeiden, sollten Sie Intune-Lizenzen erst dann zuweisen, wenn Sie die Koexistenz aktiviert haben.
  • Erstellen Sie Intune-Richtlinien zum Ersetzen von Gerätesicherheitsrichtlinien, die ursprünglich über das Office 365 Security & Compliance-Portal bereitgestellt wurden, und stellen Sie sie bereit. Diese Ersetzung sollte für alle Benutzer durchgeführt werden, von denen Sie erwarten, dass sie von „Basic Mobility and Security“ zu Intune wechseln. Wenn diesen Benutzern keine Intune-Richtlinien zugewiesen sind, können sie durch das Aktivieren der Koexistenz die „Basic Mobility and Security“-Einstellungen verlieren. Diese Einstellungen gehen ohne Ersatz verloren, z. B. verwaltete E-Mail-Profile. Auch beim Ersetzen von Richtlinien zur Gerätesicherheit durch Intune-Richtlinien werden Benutzer aufgefordert, ihre E-Mail-Profile erneut zu authentifizieren, nachdem das Gerät in die Intune-Verwaltung verschoben wurde.
  • Sie können die Bereitstellung von Basic Mobility and Security nicht mehr rückgängig machen, nachdem Sie sie eingerichtet haben. Es gibt jedoch Schritte, die Sie ausführen können, um die Richtlinien zu deaktivieren. Weitere Informationen finden Sie unter Deaktivieren der grundlegenden Mobilität und Sicherheit.

Hinzufügen der Intune-MDM-Autorität

Um die Koexistenz zu aktivieren, müssen Sie Intune als MDM-Autorität für Ihre Umgebung hinzufügen:

  1. Melden Sie sich beim Microsoft Intune Admin Center mit Microsoft Entra globalen oder Intune-Dienstadministratorrechten an.

  2. Navigieren Sie zu Geräte.

  3. Das Blatt MDM-Autorität hinzufügen wird angezeigt.

  4. Klicken Sie auf Intune-MDM-Autorität>Hinzufügen, um die MDM-Autorität von Office 365 in Intune zu ändern.

    Screenshot des Bildschirms

Migrieren von Benutzern und Geräten (optional)

Nachdem Sie die Intune-MDM-Autorität aktiviert haben, wird die Koexistenz aktiviert, und Sie können mit der Verwaltung von Benutzern über Intune beginnen. Sie können optional Geräte verschieben, die zuvor von Basismobilität und Sicherheit verwaltet wurden, um von Intune verwaltet zu werden, indem Sie diesen Benutzern eine Intune-Lizenz zuweisen. Die Geräte der Benutzer werden beim nächsten MDM-Einchecken an Intune übertragen. Einstellungen, die über Basismobilität und Sicherheit auf diese Geräte angewendet wurden, werden nicht mehr angewendet und von den Geräten entfernt.

Bereinigen mobiler Geräte nach Ablauf des MDM-Zertifikats

Das MDM-Zertifikat wird automatisch erneuert, wenn mobile Geräte mit dem Intune-Dienst kommunizieren. Wenn mobile Geräte zurückgesetzt werden oder für längere Zeit keine Kommunikation mit dem Intune-Dienst stattfindet, wird das MDM-Zertifikat nicht verlängert. Das Gerät wird 180 Tage nach Ablauf des MDM-Zertifikats aus dem Azure-Portal entfernt.

Entfernen der MDM-Autorität

Die MDM-Autorität kann nicht in „Unbekannt“ geändert werden. Der Dienst verwendet die MDM-Autorität, um zu bestimmen, an welches Portal diese registrierten Geräte melden (Microsoft Intune oder Basic Mobility and Security for Microsoft 365).

Was passiert nach der Umstellung der MDM-Autorität

  • Wenn der Intune-Dienst eine Änderung an der MDM-Autorität eines Mandanten erkennt, sendet er eine Benachrichtigung an alle registrierten Geräte. Die Benachrichtigungsmeldung fordert die Geräte auf, außerhalb des regulären Zeitplans einzuchecken und mit dem Dienst zu synchronisieren. Daher stellen alle eingeschalteten und Onlinegeräte eine Verbindung mit dem Dienst her und erhalten die neue MDM-Autorität. Die neue Autorität verwaltet und schützt die Geräte ohne Unterbrechung. Nachdem die MDM-Autorität für den Mandanten von eigenständigem Intune geändert wurde, funktionieren die Geräte unter der neuen MDM-Autorität weiterhin normal.

  • Bei Geräten, die während oder kurz nach der Änderung der MDM-Autorität eingeschaltet und online sind, kommt es zu einer Verzögerung. Die Verzögerung kann je nach Zeitpunkt des nächsten geplanten regulären Check-Ins bis zu acht Stunden dauern. Während der Verzögerung werden die Geräte nicht beim Dienst unter der neuen MDM-Autorität registriert. Nach der Verzögerung sind die Geräte unter der neuen MDM-Autorität vollständig registriert und betriebsbereit.

    Wichtig

    In der Zeit zwischen der Umstellung der MDM-Autorität und dem Hochladen des erneuerten APNs-Zertifikats in die neue Autorität schlagen neue Registrierungen und Eincheckvorgänge für iOS/iPadOS-Geräte fehl. Aus diesem Grund ist es wichtig, dass Sie das APNs-Zertifikat so bald wie möglich nach der Umstellung der MDM-Autorität überprüfen und in die neue Autorität hochladen.

  • Benutzer können schnell auf die neue MDM-Autorität umstellen, indem sie manuell einen Eincheckvorgang des Geräts beim Dienst starten. Benutzer können diese Änderung problemlos mithilfe der Unternehmensportal-App und durch Starten einer Überprüfung der Gerätekonformität vornehmen.

  • Um zu überprüfen, ob nach der Umstellung der MDM-Autorität und dem Einchecken und Synchronisieren der Geräte beim Dienst alles ordnungsgemäß funktioniert, suchen Sie in der neuen MDM-Autorität nach den Geräten.

  • Es gibt eine Übergangszeit, bis ein Gerät beim Dienst eingecheckt wird, wenn das Gerät während der Umstellung der MDM-Autorität offline war. Während der Übergangszeit ist es wichtig, die Funktionalität des Geräts zu schützen und aufrechtzuerhalten. Um die Funktionalität des Geräts zu schützen und aufrechtzuerhalten, verbleiben die folgenden Profile auf dem Gerät. Diese Profile bleiben bis zu sieben Tage auf dem Gerät oder bis das Gerät eine Verbindung mit der neuen MDM-Autorität herstellt. Sobald das Gerät eine Verbindung herstellt und neue Einstellungen empfängt, werden die vorhandenen Profile überschrieben:

    • E-Mail-Profil
    • VPN-Profil
    • Zertifikatprofil
    • WLAN-Profil
    • Konfigurationsprofile
  • Nach dem Wechsel zur neuen MDM-Autorität kann es bis zu einer Woche dauern, bis die Compliancedaten im Microsoft Intune Admin Center genau gemeldet werden. Die Konformitätszustände in Microsoft Entra ID und auf dem Gerät sind jedoch genau, sodass das Gerät weiterhin geschützt ist.

  • Stellen Sie sicher, dass die neuen Einstellungen, die zum Überschreiben vorhandener Einstellungen bestimmt sind, den gleichen Namen wie die vorherigen haben, um sicherzustellen, dass die alten Einstellungen überschrieben werden. Andernfalls weisen die Geräte möglicherweise redundante Profile und Richtlinien auf.

    Tipp

    Es empfiehlt sich, alle Verwaltungseinstellungen und Konfigurationen sowie Bereitstellungen kurz nach Abschluss der Umstellung der MDM-Autorität zu erstellen. Dadurch wird sichergestellt, dass Geräte in der Übergangszeit geschützt und aktiv verwaltet werden.

  • Führen Sie nach der Umstellung der MDM-Autorität die folgenden Schritte aus, um zu überprüfen, ob neue Geräte erfolgreich bei der neuen Autorität registriert werden:

    • Registrieren eines neuen Geräts
    • Stellen Sie sicher, dass das neu registrierte Gerät in der neuen MDM-Autorität angezeigt wird.
    • Führen Sie eine Aktion aus, z. B. Remotesperre, über das Microsoft Intune Admin Center auf das Gerät. Wenn dies erfolgreich ist, verwaltet die neue MDM-Autorität das Gerät.
  • Wenn Sie Probleme mit bestimmten Geräten haben, können Sie die Registrierung der Geräte aufheben und sie neu registrieren, damit sie so schnell wie möglich mit der neuen Autorität verbunden und von ihr verwaltet werden.

Bestätigen der MDM-Autorität Ihres Mandanten

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass Ihre MDM-Autorität auf Intune festgelegt ist:

  1. Wählen Sie im Microsoft Intune Admin CenterMandantenverwaltung>Status aus.
  2. Suchen Sie auf der Registerkarte Mandantendetails nach MDM-Autorität.

Nächste Schritte

Da die MDM-Autorität nun festgelegt ist, können Sie mit der Geräteregistrierung beginnen.