Bereitstellungsanleitung: Verwalten von iOS-/iPadOS-Geräten in Microsoft Intune

Intune unterstützt die Verwaltung mobiler Geräte (Mobile Device Management, MDM) wie iPads und iPhones, was Benutzern den sicheren Zugriff auf arbeitsbezogene E-Mails, Daten und Apps ermöglicht. Diese Anleitung enthält iOS-spezifische Anleitungen, mit denen Sie die Registrierung einrichten und Apps und Richtlinien für Benutzer und Geräte bereitstellen können.

Voraussetzungen

Bevor Sie beginnen, müssen Sie diese Voraussetzungen erfüllen, um die iOS-/iPadOS-Geräteverwaltung in Intune zu aktivieren. Ausführlichere Informationen zum Einrichten, Integrieren oder Wechseln zu Intune finden Sie in der Intune-Setup-Bereitstellungsanleitung.

Informationen zu Microsoft Intune-Rollen und -Berechtigungen finden Sie unter RBAC mit Microsoft Intune. Die Rollen " Globaler Microsoft Entra-Administrator" und "Intune-Administrator " verfügen über vollständige Rechte in Microsoft Intune. Der globale Administrator verfügt über mehr Berechtigungen, als für viele Geräteverwaltungsaufgaben in Microsoft Intune erforderlich sind. Es wird empfohlen, die Rolle mit den geringsten Berechtigungen zu verwenden, die zum Ausführen von Aufgaben erforderlich ist. Beispielsweise ist die Rolle mit den geringsten Berechtigungen, die Geräteregistrierungsaufgaben ausführen kann, der Richtlinien- und Profil-Manager, eine integrierte Intune-Rolle.

Planen der Bereitstellung

Die Microsoft Intune-Planungsanleitung enthält Aweisungen und Ratschläge, die Ihnen helfen, Ziele, Anwendungsfallszenarien und Anforderungen zu bestimmen. Außerdem wird beschrieben, wie Sie Pläne für Rollout, Kommunikation, Support, Tests und Validierung erstellen.

Erstellen von Konformitätsregeln

Verwenden Sie Konformitätsrichtlinien, um die Regeln und Bedingungen zu definieren, welche Benutzer und Geräte erfüllen müssen, um auf Ihre geschützten Ressourcen zuzugreifen. Wenn Sie den bedingten Zugriff verwenden, können die Richtlinien für den bedingten Zugriff die Gerätekonformitätsergebnisse verwenden, um den Zugriff auf Ressourcen von nicht kompatiblen Geräten zu blockieren. Eine ausführliche Erläuterung zu Konformitätsrichtlinien und den ersten Schritten finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.

Aufgabe Detail
Erstellen einer Konformitätsrichtlinie Hier erhalten Sie eine Schritt-für-Schritt-Anleitung zum Erstellen und Zuweisen einer Konformitätsrichtlinie zu Benutzer- und Gerätegruppen.
Hinzufügen von Aktionen für die Nichtkonformität Wählen Sie aus, was geschieht, wenn Geräte die Bedingungen Ihrer Konformitätsrichtlinie nicht mehr erfüllen. Sie können Aktionen für die Nichtkonformität hinzufügen, wenn Sie eine Richtlinie für die Gerätekonformität konfigurieren, oder Sie fügen sie später durch Bearbeiten der Richtlinie hinzu.
Erstellen einer gerätebasierten oder App-basierten Richtlinie für bedingten Zugriff Geben Sie die App oder Dienste an, die Sie schützen möchten, und definieren Sie die Zugriffsbedingungen.
Blockieren des Zugriffs auf Apps, die keine moderne Authentifizierung verwenden Erstellen Sie eine App-basierte Richtlinie für bedingten Zugriff, um Apps zu blockieren, die andere Authentifizierungsmethoden als OAuth2 verwenden. z. B. Apps, welche die einfache und formularbasierte Authentifizierung verwenden. Bevor Sie den Zugriff blockieren, melden Sie sich jedoch bei Microsoft Entra ID an, und überprüfen Sie den Aktivitätsbericht für Authentifizierungsmethoden , um festzustellen, ob Benutzer die Standardauthentifizierung verwenden, um auf wichtige Dinge zuzugreifen, die Sie vergessen haben oder die Sie nicht kennen. Beispielsweise verwenden Kioske für Besprechungsraumkalender die Standardauthentifizierung.

Konfigurieren von Endpunktsicherheit

Verwenden Sie die Intune-Endpunktsicherheitsfunktionen, um die Gerätesicherheit zu konfigurieren und Sicherheitsaufgaben für gefährdete Geräte zu verwalten.

Aufgabe Detail
Verwalten von Geräten mit Endpunktsicherheitsfunktionen Verwenden Sie die Endpunktsicherheitseinstellungen in Intune, um die Gerätesicherheit effektiv zu verwalten und Probleme für Geräte zu beheben.
Aktivieren des Mobile Threat Defense-Connectors (MTD) für nicht registrierte Geräte Aktivieren Sie die MTD-Verbindung in Intune, damit MTD-Partner-Apps mit Intune und Ihren Richtlinien laufen können. Wenn Sie Microsoft Defender für Endpunkt nicht verwenden, sollten Sie den Connector aktivieren, damit Sie eine andere Mobile Threat Defense-Lösung verwenden können.
Erstellen einer MTD-App-Schutzrichtlinie mit Intune Erstellen Sie eine Intune-App-Schutzrichtlinie, die Risiken bewertet und den Unternehmenszugriff eines Geräts basierend auf der Bedrohungsstufe einschränkt.
MTD zu nicht registrierten Geräten hinzufügen Stellen Sie MTD-Apps für Personen in Ihrer Organisation zur Verfügung, und konfigurieren Sie Microsoft Authenticator für iOS/iPadOS.
Verwenden eines bedingten Zugriffs zur Einschränkung für den Zugriff auf Microsoft Tunnel Verwenden Sie Richtlinien für bedingten Zugriff, um den Gerätezugriff auf Ihr Microsoft Tunnel-VPN-Gateway zu schützen.

Konfigurieren von Geräteeinstellungen

Verwenden Sie Microsoft Intune, um Einstellungen und Features auf iOS-/iPadOS-Geräten zu aktivieren oder zu deaktivieren. Um diese Einstellungen zu konfigurieren und zu erzwingen, erstellen Sie ein Gerätekonfigurationsprofil und weisen Sie das Profil dann Gruppen in Ihrer Organisation zu. Geräte erhalten das Profil nach der Registrierung.

Aufgabe Detail
Erstellen eines Geräteprofils in Microsoft Intune Erfahren Sie mehr über die verschiedenen Arten von Geräteprofilen, die Sie für Ihre Organisation erstellen können.
Konfigurieren von Gerätefeatures Konfigurieren sie allgemeine iOS/iPadOS-Features und -Funktionen für den Kontext eines Unternehmens oder einer Bildungseinrichtung. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu Gerätefunktionen.
Konfigurieren des Wi-Fi Profils Dieses Profil ermöglicht es Personen, das Wi-Fi-Netzwerk Ihrer Organisation zu finden und eine Verbindung dazu herzustellen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu Wi-Fi-Gerätefunktionen.
Konfigurieren des VPN-Profils Richten Sie eine sichere VPN-Option wie Microsoft Tunnel für Personen ein, welche eine Verbindung mit dem Netzwerk Ihrer Organisation herstellen. Sie können auch eine Pro-App-VPN-Richtlinie erstellen, so dass sich Benutzer über eine VPN-Verbindung bei bestimmten Apps anmelden müssen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu VPN-Einstellungen.
E-Mail-Profil konfigurieren Konfigurieren Sie E-Mail-Einstellungen, damit Benutzer eine Verbindung mit einem E-Mail-Server herstellen und auf ihre E-Mails des Unternehmens oder der Bildungseinrichtung zugreifen können. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu E-Mail-Einstellungen.
Einschränken von Gerätefunktionen Schützen Sie Benutzer vor nicht autorisiertem Zugriff und Ablenkungen, indem Sie die Gerätefunktionen einschränken, die sie im Unternehmen in der Bildungseinrichtung verwenden können. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu Gerätebeschränkungen.
Benutzerdefiniertes Profil konfigurieren Hinzufügen und Zuweisen von Geräteeinstellungen und -funktionen, die nicht in Intune integriert sind.
Anpassen des Brandings und der Registrierungserfahrung Passen Sie die Intune-Unternehmensportal und Microsoft Intune App-Erfahrung an die eigenen Wörter, das Branding, die Bildschirmeinstellungen und die Kontaktinformationen Ihrer Organisation an.
Konfigurieren der Softwareupdaterichtlinie Planen sie automatische Betriebssystemupdates und -installationen für überwachte iOS-/iPadOS-Geräte.

Einrichten sicherer Authentifizierungsmethoden

Richten Sie Authentifizierungsmethoden in Intune ein, um sicherzustellen, dass nur autorisierte Personen auf Ihre internen Ressourcen zugreifen. Intune unterstützt die mehrstufige Authentifizierung, Zertifikate und abgeleitete Anmeldeinformationen. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.

Aufgabe Detail
Mehrstufige Authentifizierung (MFA) erforderlich Fordern Sie an, dass Personen zum Zeitpunkt der Registrierung zwei Arten von Anmeldeinformationen bereitstellen müssen.
Erstellen eines vertrauenswürdigen Zertifikatprofils Sie müssen ein vertrauenswürdiges Zertifikatprofil erstellen und bereitstellen, bevor Sie ein importiertes SCEP- oder PKCS-Zertifikatprofil erstellen können. Das vertrauenswürdige Zertifikatprofil stellt das vertrauenswürdige Stammzertifikat für Geräte und Benutzer mit importierten SCEP-, PKCS- und PKCS-Zertifikaten bereit.
Verwenden von SCEP-Zertifikaten mit Intune Erfahren Sie, was für die Verwendung von SCEP-Zertifikaten mit Intune benötigt wird, und konfigurieren Sie die erforderliche Infrastruktur. Anschließend können Sie ein SCEP-Zertifikatprofil erstellen oder eine Zertifizierungsstelle eines Drittanbieters mit SCEP einrichten.
Verwenden von PKCS-Zertifikaten mit Intune Konfigurieren Sie erforderliche Infrastrukturelemente (wie lokale Zertifikat-Connectors), exportieren Sie ein PKCS-Zertifikat und fügen Sie dieses anschließend zu einem Intune-Gerätekonfigurationsprofil hinzu.
Verwenden importierter PKCS-Zertifikate mit Intune Richten Sie importierte PKCS-Zertifikate ein, mit denen Sie S/MIME zum Verschlüsseln von E-Mails einrichten und verwenden.
Einrichten eines Ausstellers für abgeleitete Anmeldeinformationen Bereitstellen von iOS-/iPadOS-Geräten mit Zertifikaten, die von Benutzer-Smartcards abgeleitet werden.

Bereitstellen von Apps

Denken Sie beim Einrichten von Apps und App-Richtlinien an die Anforderungen Ihrer Organisation. Dazu zählen beispielsweise die unterstützten Plattformen, die Aufgaben, die Personen ausführen müssen, die Art der Apps, die sie zum Ausführen dieser Aufgaben benötigen, und schließlich die Gruppen, die diese Apps benötigen. Sie können Intune verwenden, um das gesamte Gerät (einschließlich Apps) oder nur die Apps zu verwalten.

Aufgabe Detail
Store-App hinzufügen Fügen Sie iOS/iPadOS-Apps aus dem App Store Intune hinzu, und weisen Sie diesen Gruppen zu.
Hinzufügen von Web-Apps Fügen Sie Web-Apps zu Intune hinzu, und weisen Sie diese Gruppen zu.
Hinzufügen von integrierten Apps Fügen Sie integrierte Apps zu Intune hinzu, und weisen Sie diese Gruppen zu.
Hinzufügen von branchenspezifischen Apps Fügen Sie branchenspezifische iOS-/iPadOS-Apps zu Intune hinzu, und weisen Sie diese Gruppen zu.
Zuweisen von Apps zu Gruppen Weisen Sie Benutzern und Geräten Apps zu.
Einschließen und Ausschließen von App-Zuweisungen Steuern Sie den Zugriff und die Verfügbarkeit einer App, indem Sie ausgewählte Gruppen von der Zuweisung ein- und ausschließen.
Verwalten von iOS-/iPadOS-Apps, die über Apple Business Manager erworben wurden Synchronisieren, Verwalten und Zuweisen von Apps, die über Apple Business Manager gekauft wurden.
Verwalten von iOS-/iPadOS-Apps, die über Apple Business Manager gekauft wurden Synchronisieren, Verwalten und Zuweisen von Büchern, die über Apple Business Manager gekauft wurden.
Erstellen einer iOS/iPadOS-App-Schutzrichtlinie Behalten Sie die Daten Ihrer Organisation in verwalteten Apps wie Outlook und Word bei. Siehe Einstellungen der iOS/iPadOS-App-Schutzrichtlinie für Details über jede Einstellung.
Erstellen eines App-Bereitstellungsprofils Verhindern Sie das Ablaufen von App-Zertifikaten, indem Sie Geräten, deren Apps bald ablaufen, proaktiv neue Bereitstellungsprofile zuweisen.
Erstellen einer Konfigurationsrichtlinie für Apps Wenden Sie benutzerdefinierte Konfigurationseinstellungen auf iOS-/iPadOS-Apps auf registrierten Geräten an. Sie können diese Richtlinientypen auch auf verwaltete Apps ohne Geräteregistrierung anwenden.
Konfigurieren von Microsoft Edge Nutzen Sie die Intune-App-Schutz- und Konfigurationsrichtlinien mit Edge für iOS/iPadOS, um sicherzustellen, dass der Zugriff auf Unternehmenswebsites mit entsprechenden Sicherheitsvorkehrungen erfolgt.
Konfigurieren von Microsoft Office-Apps Nutzen Sie die Intune-App-Schutz- und Konfigurationsrichtlinien bei Office-Apps, um sicherzustellen, dass der Zugriff auf Unternehmensdarteien mit entsprechenden Sicherheitsvorkehrungen erfolgt.
Konfigurieren von Microsoft Teams Nutzen Sie die Schutz- und Konfigurationsrichtlinien für Intune-Apps mit Teams, um sicherzustellen, dass der Zugriff auf Funktionen für die Zusammenarbeit im Team mit entsprechenden Sicherheitsvorkehrungen erfolgt.
Konfigurieren von Microsoft Outlook Nutzen Sie die Intune-App-Schutz- und Konfigurationsrichtlinien bei Outlook, um sicherzustellen, dass der Zugriff auf Unternehmens-E-Mails und -Kalender mit entsprechenden Sicherheitsvorkehrungen erfolgt.

Registrieren von Geräten

Durch das Registrieren von Geräten können sie die von Ihnen erstellten Richtlinien erhalten, sodass Ihre Microsoft Entra-Benutzergruppen und -Gerätegruppen bereit sind.

Informationen zu den einzelnen Registrierungsmethoden und zur Auswahl einer für Ihre Organisation geeigneten Methode finden Sie in der iOS/iPadOS-Geräteregistrierungsanleitung für Microsoft Intune.

Aufgabe Detail
Einrichten der automatisierten Geräteregistrierung (Automated Device Enrollment, ADE) von Apple in Intune Richten Sie eine sofort einsatzbereite Registrierungserfahrung für unternehmenseigene Geräte ein, die über Apple School Manager oder Apple Business Manager gekauft wurden. Eine ausführliche exemplarische Vorgehensweise zu diesem Prozess finden Sie unter Tutorial: Verwenden der Funktionen zur Registrierung von Unternehmensgeräten von Apple in Apple Business Manager (ABM) zum Registrieren von iOS-/iPadOS-Geräten
Einrichten von Apple School Manager in Intune Einrichten von Intune zum Registrieren von Geräten, die Sie über das Apple School Manager-Programm gekauft haben.
Einrichten der iOS-Geräteregistrierung mit Apple Configurator Erstellen Sie ein Apple Configurator-Profil, um unternehmenseigene Geräte (ohne Benutzeraffinität) über die direkte Registrierung zu registrieren. oder um zurückgesetzte oder neue Geräte (mit Benutzeraffinität) über den Setup-Assistenten zu registrieren. Sie müssen das Apple Configurator-Profil aus Intune exportieren. Hierfür ist eine USB-Verbindung mit einem Mac-Computer erforderlich, auf dem Apple Configurator ausgeführt wird.
Identifizieren von Geräten als unternehmenseigen Weisen Sie Geräten den Unternehmensstatus zu, um mehr Verwaltungs- und Identifikationsfunktionen in Intune zu ermöglichen. Der Status „Unternehmenseigen“ kann Geräten, die über Apple Business Manager registriert wurden, nicht zugewiesen werden.
Einrichten der Apple-Benutzerregistrierung Erstellen Sie ein Benutzerregistrierungsprofil, um die Apple-Benutzerregistrierung mit einer verwalteten Apple-ID auf Geräten bereitzustellen.
Einrichten gemeinsame genutzter iPad-Geräte Konfigurieren Sie Geräte so, dass sie von mehreren Personen verwendet werden können (der Einrichtungstyp, den Sie in einer Bibliothek oder einer Bildungseinrichtung sehen würden).
Sichern und Wiederherstellen von Geräten Sichern Sie ein Gerät und stellen Sie es wieder her, um es für die Registrierung oder Migration in Intune vorzubereiten, z. B. während der Einrichtung der automatisierten Geräteregistrierung.
Ändern des Gerätebesitzes Nachdem ein Gerät registriert wurde, können Sie seine Besitzbezeichnung in Intune in unternehmenseigene oder persönliche Geräte ändern. Diese Anpassung ändert die Art und Weise, wie Sie das Gerät verwalten können.
Behandeln von Problemen bei der Registrierung Beheben Sie Probleme, die während der Registrierung auftreten, und finden Sie Lösungen.

Ausführen von Remote-Aktionen

Nachdem Geräte eingerichtet wurden, können Sie Remoteaktionen in Intune verwenden, um die Geräteverwaltung und Problembehandlung aus der Entfernung vornehmen zu können. Die Verfügbarkeit variiert je nach Geräteplattform. Wenn eine Aktion im Portal nicht vorhanden oder deaktiviert ist, wird sie auf dem Gerät nicht unterstützt.

Aufgabe Detail
Durchführen von Remote-Aktionen auf Geräten Erfahren Sie, wie Sie einen Drilldown ausführen und einzelne Geräte in Intune remote verwalten und Probleme beheben. In diesem Artikel werden alle in Intune verfügbaren Remoteaktionen und Links zu diesen Verfahren aufgeführt.
Verwenden von TeamViewer für die Remoteverwaltung von Intune-Geräten Konfigurieren Sie TeamViewer in Intune und erfahren Sie, wie Sie ein Gerät remote verwalten können.
Beheben von mit Microsoft Defender für Endpunkt gefundenen Sicherheitsrisiken Integrieren Sie Intune in Microsoft Defender für Endpunkt, um das Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt zu nutzen und mithilfe von Intune die mit dieser Komponente identifizierten Schwachstellen von Endpunkten zu beseitigen.

Nächste Schritte

Sehen Sie sich diese Tutorials zur Registrierung an, um zu erfahren, wie Sie einige der wichtigsten Aufgaben in Intune ausführen. Tutorials sind Inhalte der Ebene 100 bis 200 für Personen, die noch nicht mit Intune oder einem bestimmten Szenario neu sind.

Die Android-Version dieses Leitfadens finden Sie unter Bereitstellungsleitfaden: Verwalten von Android-Geräten in Microsoft Intune.