Freigeben über


Einrichten der Registrierung für macOS-Geräte in Intune

Microsoft Intune unterstützt die Registrierung auf persönlichen und unternehmenseigenen Macs. In diesem Artikel werden die Methoden und Features beschrieben, mit denen Sie persönliche Geräte, unternehmenseigene Geräte und virtuelle Computer (VM) registrieren können.

Aktivieren der Registrierung in Microsoft Intune

Führen Sie zunächst diese Schritte aus, um die Registrierung in Ihrem Microsoft Intune-Mandanten zu aktivieren.

  1. Überprüfen, ob die Geräte für die Apple-Geräteregistrierung berechtigt sind
  2. Domänen konfigurieren
  3. Festlegen der MDM-Autorität
  4. Abrufen eines Apple-MDM-Push-Zertifikats
  5. Zuweisen von Lizenzen im Microsoft 365 Admin Center
  6. Erstellen von Gruppen
  7. Konfigurieren der Unternehmensportal-App

Registrieren von Geräten

Nachdem Sie die Registrierung aktiviert haben, registrieren Sie unternehmenseigene und Geräte im Besitz des Benutzers mit einer der in diesem Abschnitt beschriebenen unterstützten Methoden.

Benutzereigene macOS-Geräte (BYOD)

Intune unterstützt bring-your-own-deviceoder BYOD, mit dem Benutzer ihre persönlichen Geräte selbst registrieren können. Um die Registrierung in BYOD-Szenarien abzuschließen, weisen Sie Ihre lizenzierten Benutzer an, eine der folgenden Optionen zum Registrieren von Geräten zu verwenden:

  • Melden Sie sich auf der Website des Unternehmensportals an und folgen Sie den Anweisungen auf dem Bildschirm, um das Gerät hinzuzufügen.
  • Installieren Sie Unternehmensportal-App für Mac unter aka.ms/EnrollMyMacund folgen Sie den Anweisungen auf dem Bildschirm, um das Gerät hinzuzufügen.

Unternehmenseigene macOS-Geräte

Intune unterstützt die folgenden Registrierungsmethoden für unternehmenseigene macOS-Geräte. Klicken Sie auf eine der verlinkten Methoden, um die Einrichtungsschritte zu öffnen.

  • Apple Automated Device Enrollment: Verwenden Sie diese Methode, um die Registrierung auf Geräten zu automatisieren, die über Apple Business Manager oder Apple School Manager erworben wurden. Die automatisierte Geräteregistrierung stellt das Registrierungsprofil drahtlos bereit, sodass Sie keinen physischen Zugriff auf Geräte haben müssen.
  • Geräteregistrierungs-Manager (Device Enrollment Manager, DEM): Verwenden Sie diese Methode für groß angelegte Implementierungen und wenn es in Ihrem Unternehmen mehrere Personen gibt, die bei der Einrichtung der Registrierung helfen können. Eine Person mit Berechtigungen zum Geräteregistrierungs-Manager (Device Enrollment Manager, DEM) kann bis zu 1.000 Geräte mit einem einzigen Microsoft Entra-Konto registrieren. Diese Methode verwendet die Unternehmensportal-App oder Microsoft Intune-App, um Geräte zu registrieren. Sie können kein DEM-Konto verwenden, um Geräte über die automatisierte Geräteregistrierung zu registrieren.
  • Direkte Registrierung: Bei der direkten Registrierung werden Geräte ohne Benutzeraffinität registriert. Diese Methode eignet sich daher am besten für Geräte, die keinem einzelnen Benutzer zugeordnet sind. Diese Methode erfordert, dass Sie physischen Zugriff auf die Macs haben, die Sie registrieren.

Bootstrap-Tokens (Vorschau)

Intune unterstützt die Verwendung von Bootstrap-Tokens auf registrierten Macs unter macOS 10.15 oder höher. Bootstrap-Tokens verleihen lokalen Benutzer- und Gastkonten den Status des Volume-Eigentümers, so dass Benutzer, die keine Administratoren sind, wichtige Vorgänge genehmigen können, die sonst ein Administrator durchführen müsste. Vorgänge wie:

  • Vom Benutzer initiierte Softwareupdates

  • Installation der Kernelerweiterung auf Apple Silicon

Sie können Bootstrap-Tokens auf überwachten Macs und Macs verwenden, die über die automatisierte MacOS-Geräteregistrierung registriert wurden.

Bootstrap-Tokens abrufen

Das Bootstrap-Token wird automatisch generiert, wenn:

  • Ein neu registrierter Mac meldet sich bei Intune an und
  • Ein Benutzer mit sicherem Token (in der Regel ein Intune-Administrator) meldet sich mit dem Klartextkennwort beim Mac an.

Das Token wird dann automatisch in Microsoft Intune hinterlegt. Sie können ein Befehlszeilentool verwenden, um ein Bootstrap-Token auf unterstützten macOS-Geräten manuell anzuzeigen, zu generieren und zu hinterlegen, falls erforderlich. Weitere Informationen zu Befehlen finden Sie unter Verwenden von sicheren Token, Bootstrap-Token und Volume-Eigentümerschaft in Bereitstellungen im Apple Support.

Überwachen Sie den Bootstrap-Hinterlegungsstatus

Sie können den Hinterlegungsstatus für jeden registrierten Mac im Admin Center überwachen. Die Bootstrap-Token-Escrowed-Hardware-Eigenschaft gibt an, ob das Bootstrap-Token in Intune hinterlegt wurde oder nicht. Intune meldet Ja, wenn das Token erfolgreich hinterlegt wurde, und Nein, wenn das Token nicht hinterlegt wurde.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wechseln Sie zu Geräte>Nach Plattform>macOS.
  3. Wählen Sie ein Gerät aus der Liste der macOS-Geräte aus.
  4. Wählen Sie Hardware aus.
  5. Scrollen Sie in Ihren Hardwaredetails nach unten zuBootstraptoken für bedingtenZugriff>.

Verwalten von Kernelerweiterungen und Softwareupdates

Wichtig

Kernelerweiterungen werden für macOS nicht mehr empfohlen. Apple empfiehlt, nach Möglichkeit Systemerweiterungen zu verwenden. Weitere Informationen finden Sie unter Apple Platform Security guide – Securely extending the kernel in macOS on Apple Support (Apple Platform Security Guide – Securely Extending the Kernel in macOS on Apple Support).

Ein Bootstrap-Token kann verwendet werden, um die Installation von Kernelerweiterungen und Softwareupdates auf einem Mac mit Apple Silicon zu genehmigen.

Vom Benutzer initiierte Softwareupdates können mit einem Bootstrap-Token auf Macs mit macOS Version 11.1 ausgeführt und über die automatisierte Geräteregistrierung registriert wird. Um vom Benutzer initiierte Softwareupdates auf einem Gerät zuzulassen, das nicht über die automatische Geräteanmeldung registriert ist, müssen Sie den Mac im Wiederherstellungsmodus neu starten und seine Sicherheitseinstellungen herabstufen. Sie können das Bootstrap-Token auch für Softwareupdates auf Macs mit macOS 11.2 und höher verwenden. Die einzige Anforderung besteht darin, dass das Gerät beaufsichtigt werden muss.

Die Verwaltung von Kernel-Erweiterungen ist auf Macs mit macOS 11 oder höher automatisch verfügbar und wird über die automatische Geräteanmeldung registriert. Um die Fernverwaltung von Kernel-Erweiterungen auf einem Gerät zuzulassen, das nicht über die automatische Geräteanmeldung registriert ist, müssen Sie den Mac im Wiederherstellungsmodus neu starten und seine Sicherheitseinstellungen herabstufen. Weitere Informationen finden Sie unter Ändern von Sicherheitseinstellungen auf dem Startdatenträger eines Macs mit Apple Silicon im Apple-Support.

Blockieren der macOS-Registrierung

Intune lässt macOS-Geräte standardmäßig registrieren. Informationen zum Blockieren der Registrierung von macOS-Geräten finden Sie unter Festlegen einer Geräteplattformeinschränkung.

Registrieren von virtuellen macOS-Computern zu Testzwecken

Hinweis

Intune unterstützt virtuelle macOS-Computer nur zu Testzwecken. Verwenden Sie keine virtuellen Computer (VMs) als offizielle Geräte für Mitarbeiter oder Studenten.

Intune unterstützt VMs, auf denen Folgendes ausgeführt wird:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

Intune muss das Hardwaremodell und die Seriennummer des virtuellen Computers kennen, um ihn als Gerät zu erkennen und zu registrieren. Wenn Sie versuchen, einen virtuellen Computer zu registrieren, ohne diese Details anzugeben, schlägt die Registrierung fehl. Dieser Abschnitt enthält weitere Informationen dazu, wie Sie diese Anforderung vor der Registrierung erfüllen.

Parallels Desktop

Ändern Sie die Konfigurationseinstellungen der virtuellen Maschine, um eine VM-Seriennummer und eine Kennung für das Hardwaremodell hinzuzufügen oder zu ändern. Geben Sie eine beliebige Zeichenfolge mit alphanumerischen Zeichen für die Seriennummer ein. Für das Hardwaremodell empfehlen wir die Verwendung des Modells des Geräts, auf dem der virtuelle Computer ausgeführt wird. Um das Hardwaremodell Ihres Macs zu finden, wählen Sie das Apple-Menü aus, und wechseln Sie zu Über diesen Mac>Systembericht>Modellkennung.

Weitere Informationen finden Sie in den folgenden Themen der Parallels-Wissensdatenbank:

VMware Fusion

Fügen Sie ihrer VMX-Datei die folgenden Zeilen hinzu, um das Hardwaremodell und die Seriennummer des virtuellen Computers festzulegen. Die in diesem Beispiel gezeigten Werte sind Beispiele.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

Geben Sie eine beliebige Zeichenfolge mit alphanumerischen Zeichen für die Seriennummer ein. Für das Hardwaremodell empfehlen wir die Verwendung des Modells des Geräts, auf dem der virtuelle Computer ausgeführt wird. Um das Hardwaremodell Ihres Macs zu finden, wählen Sie das Apple-Menü aus, und wechseln Sie zu Über diesen Mac>Systembericht>Modellkennung.

VMware Fusion wird nur auf Intel Macs unterstützt. Weitere Informationen zur Bearbeitung der .vmx-Datei für Ihre VMware Fusion VM finden Sie auf der VMware Customer Connect Website.

Apple Silicon

Für VMs, die auf Apple Silicon-Hardware ausgeführt werden, sind keine Änderungen erforderlich. Parallels Desktop wird auf Macs mit Apple Silicon unterstützt. Wenn Sie also einen virtuellen Computer auf diese Weise einrichten, müssen Sie die Hardwaremodell-ID oder Seriennummer nicht ändern.

Vom Benutzer genehmigte Registrierung

Alle Mac-Registrierungen in Intune gelten als vom Benutzer genehmigt. Dank der vom Benutzer genehmigten Registrierung können Sie macOS-Geräte verwalten, die nicht Teil von Apple School Manager oder Apple Business Manager sind. Dabei wird die gleiche Steuerungsebene wie für beaufsichtigte macOS-Geräte geboten, die mithilfe der automatisierten Geräteregistrierung oder des Apple Configurator registriert sind.

Intune aktiviert automatisch die Aufsicht für vom Benutzer genehmigte Geräte unter macOS 11 und höher. Dies erfolgt auch für registrierte Geräte, die später auf macOS 11 oder höher aktualisiert werden.

Hinweis

Im Juni 2020 wurde die Unterstützung der vom Benutzer genehmigten Registrierung in Intune angekündigt. BYOD-Registrierungen, die vor diesem Zeitpunkt vorgenommen wurden, sind möglicherweise nicht vom Benutzer genehmigt. Weitere Informationen dazu, wie Apple-Geräte vom Benutzer genehmigt werden, finden Sie auf der Apple Support-Website unter Vom Benutzer genehmigte MDM-Registrierung.

Verwendung durch den Benutzer

Der Gerätebenutzer meldet sich bei der Unternehmensportal-App an, um die Registrierung zu initiieren. Im Unternehmensportal werden dann die Systemeinstellungen des Geräts geöffnet und der Benutzer wird aufgefordert, das Verwaltungsprofil zu installieren. Im Unternehmensportal werden In-App-Anweisungen bereitgestellt, die Benutzern helfen, das Profil zu finden. Benutzer wechseln zu Systemeinstellungen>Profile , um die Installation des Verwaltungsprofils zu genehmigen. Gerätebenutzer, die während der Registrierung keine Genehmigung erteilen, können dies später in den Systemeinstellungen tun.

Herausfinden, ob ein Gerät vom Benutzer genehmigt wurde

  1. Wählen Sie im Admin CenterGeräte>Alle Geräte aus.
  2. Wählen Sie ein macOS-Gerät aus.
  3. Wählen Sie im seitlichen Menü die Option Hardware aus.
  4. Überprüfen Sie den Wert neben Vom Benutzer genehmigte Registrierung.

Sichern und Wiederherstellen mit dem Apple-Migrations-Assistenten

Verwenden Sie den Apple-Migrations-Assistenten, um ein macOS-Gerät zu sichern und wiederherzustellen. Sie können das Tool verwenden, um einen Mac zu sichern und seine App-Daten auf einem neuen Gerät wiederherzustellen. Es ist wichtig zu wissen:

  • Das Verwaltungsprofil auf dem ursprünglichen Mac wird nicht gesichert. Das Gerät erhält ein neues Verwaltungsprofil, wenn der neue Mac erneut registriert wird. Dies geschieht auf Macs, die die automatisierte Geräteregistrierung von Apple durchlaufen, und auf Macs, die keine automatisierte Geräteregistrierung durchlaufen.
  • Unternehmensportal App-Anmeldeinformationen können auf dem neuen Mac wiederhergestellt werden, nachdem er den Migrations-Assistenten durchlaufen und sich registriert hat. In diesem Fall wird empfohlen, dass Sie oder der Gerätebenutzer die folgenden Schritte ausführen, um App-Daten zu löschen:
    1. Melden Sie sich von der Unternehmensportal-App ab.
    2. Melden Sie sich bei der App oder Unternehmensportal Website an.

Nächste Schritte