macOS-Geräte mit Microsoft Intune verwalten und registrieren

In einem meiner ersten Blogs habe ich bereits beschrieben, wie du eine Intune-Entwicklungsumgebung einrichten und Windows-Geräte über Autopilot registrieren und verwalten kannst. Neben Windows kannst du mit Intune auch iOS, Android und MacOS sehr gut verwalten. Apple bietet eine gute Schnittstelle (MDM Protocol), um MacOS-Geräte zu verwalten, leider werden jedoch nicht alle Optionen von Intune unterstützt. Auch auf der WWDC22 wurden einige tolle neue Funktionen vorgestellt.

Die MacOS-Unterstützung wurde bereits 2015 zu Intune hinzugefügt. Damals war die Verwaltung von Mac-Geräten noch sehr eingeschränkt – das hat sich inzwischen geändert. Die Zahl der Unternehmen, die Mac-Geräte einsetzen, wächst stetig, ebenso wie der allgemeine Marktanteil von macOS im Vergleich zu Windows. Dieser lag 2009 bei rund 3 % und ist heute (2022) auf 15 % gestiegen. Natürlich liegt Windows immer noch vorne, aber ein Trend ist erkennbar.

Es gibt viele lesenswerte Blogs, die sich mit dem Thema MacOS-Verwaltung und Intune beschäftigen:

• Comprehensive guide to managing macOS with Intune von Oliver Kieselbach
• Corporate macOS Automated Device Enrollment (ADE) to MEM/Intune von Hubert Maslowski
• Microsoft Intune Vs Jamf macOS Device Management Enhancements von Anoop C Nair

Um nur einige zu nennen. Natürlich gibt es noch einige weitere großartige Blogs.

In diesem Blog möchte ich dir eine Schritt-für-Schritt-Anleitung geben, wie du ein macOS-Gerät in Intune registrierst. In Zukunft wird es weitere Blogs zum Thema Verwaltung von macOS mit Intune geben.

Intune für die Mac-Registrierung vorbereiten

MDM-Push-Zertifikat konfigurieren

• Öffne das Intune Admin Center
• Navigiere zu Geräte -> Geräte registrieren

• Navigiere zu Apple-Registrierung.
• Klicke auf Apple MDM-Push-Zertifikat.
• Aktiviere Ich stimme zu (Ich erteile Microsoft die Erlaubnis, sowohl Benutzer- als auch Geräteinformationen an Apple zu senden).
• Lade deinen CSR herunter, um ein Apple MDM-Push-Zertifikat anzufordern.

• Öffne den Link zum Erstellen eines MDM-Push-Zertifikats in einem neuen Browser-Tab
• Melde dich mit deiner Apple ID an

• Klicke auf Create a Certificate

• Akzeptiere die Geschäftsbedingungen

• Lade den zuvor heruntergeladenen CSR hoch
• Klicke auf Upload

• Lade das Zertifikat herunter (Hinweis: Stelle sicher, dass dieses Zertifikat nicht in falsche Hände gerät)

• Gehe zurück zu Intune und gib deine Apple UserID / E-Mail ein, mit der du das Zertifikat erstellt hast
• Lade das Zertifikat hoch
• Klicke auf Upload

Die Registrierungseinschränkungen prüfen

Damit die Mac-Registrierung möglich ist, müssen die Registrierungseinschränkungen korrekt konfiguriert sein.
Navigiere zum Menü Enrollment device platform restriction und wähle MacOS restriction aus.

• Prüfe, ob MacOS auf Allow gesetzt ist, und ändere dies gegebenenfalls. Wenn du mehrere Einschränkungen hast, prüfe diejenige mit der höchsten Priorität, die einer Gruppe zugewiesen ist, in der sich die Mac-Benutzer befinden.

Ein Gerät in Intune registrieren

Automated Device Enrollment mit User Affinity

Die beste Erfahrung für den Benutzer ist es, das Gerät über Automated Device Enrollment mit User Affinity zu registrieren. Hier kannst du konfigurieren, welche Bildschirme ein Endbenutzer sieht, und Dinge wie Touch ID, Geschäftsbedingungen usw. einrichten.
Du kannst außerdem festlegen, dass während der Out-of-Box-Experience bei der automatischen Registrierung eine Microsoft Entra ID-Authentifizierung mit Multifaktor erforderlich ist. Wie du das konfigurierst, ist in den Microsoft Docs sehr gut erklärt. Diese Registrierung ähnelt sehr stark der Windows Autopilot-Registrierung.

Die Voraussetzung für die Einrichtung des erforderlichen Enrollment-Program-Tokens ist ein organisatorisch verwaltetes Konto (Managed Apple ID). Die Registrierung kann über diese Anleitung angefordert werden. Eine weitere Voraussetzung ist, dass die Geräte über Apple School Manager oder Apple’s Automated Device Enrollment gekauft wurden.

User-Approved Enrollment

Leider ist es nicht immer möglich, Geräte mit einer Zuordnung zu einer Organisation zu kaufen. Aber es gibt eine andere Möglichkeit, Mac-Geräte zu registrieren. Diese Möglichkeit nennt sich User-Approved Enrollment. Das ist die Methode, die wir uns genauer ansehen werden.

• Der erste Schritt, den du ausführen musst, ist das Herunterladen des Company Portal über den folgenden Link auf dein Mac-Gerät.
• Wenn der Download abgeschlossen ist, installiere das Company Portal.

• Nach der Installation prüft der Updater, ob ein Update verfügbar ist. Falls ja, installiere das Update.

• Öffne das Company Portal

• Klicke auf Sign in
• Klicke auf +

• Gib den UPN deines Kontos ein und klicke auf Next
• Gib das Passwort ein und klicke auf Sign in

• Klicke auf Begin
• Klicke auf Continue

• Klicke auf Download profile und warte, bis der Download abgeschlossen ist

• Öffne die Einstellungen und navigiere zu Profiles
• Klicke auf Install..

• Klicke auf Install
• Gib dein Passwort ein und klicke auf Enroll

• Warte, bis der Status Verified ist
• Wechsle zurück zum Company Portal
• Warte, bis der Installationsprozess abgeschlossen ist

• Klicke auf Done
• Der Installationsprozess ist abgeschlossen

Der User-Approved-Enrollment-Prozess erfordert mehrere manuelle Schritte. Diese sind jedoch im Grunde recht einfach und sollten für jeden Endbenutzer machbar sein. Wie oben erwähnt, ist die Erfahrung deutlich besser, wenn die Registrierung als Automated Device Enrollment mit User Affinity durchgeführt wird. Hier hast du außerdem die Möglichkeit, das Company Portal direkt per Skript zu installieren. Wie du das Automated Device Enrollment konfigurierst und wie das Ganze aussieht, ist im Blog von Hubert Maslowski sehr gut erklärt.

Lass uns nun also schauen, ob wir das Gerät auch in Intune finden können.

• Wechsle zurück zum Intune Admin Center
• Navigiere zu Geräte -> macOS
• Hier ist es!

Fazit

Es ist eigentlich ganz einfach, ein Mac-Gerät in Intune zu registrieren. Jetzt haben wir das erste Gerät in Intune registriert. Diesem sind aber weder Konfigurationsprofile noch Anwendungen zugewiesen. Wie gut das auf Mac-Geräten funktioniert, sehen wir uns in einem nächsten Blog an.