Schönes Design, eingeschränkte Konfigurationsmöglichkeiten – so werden Apple-Geräte in der Branche gerne beschrieben. Vor Jahren noch zutreffend, hat Apple heute aufgeholt, sowohl bei der Konfiguration der Geräte durch die Endanwender als auch beim Thema Mobile-Device-Management (MDM) gibt es in der Zwischenzeit Optionen mit großem Potential.

Für die normalen Endanwender völlig verborgen, bietet Apple seinen Unternehmenskunden die Möglichkeit, Geräte seiner Mitarbeiter zu verwalten. Hierbei wird in Mitarbeiter- und Unternehmensgeräte unterschieden und im Rahmen dessen verschiedene Optionen geboten, welche sich in der tiefe ihrer Konfigurationsmöglichkeiten unterscheiden. 

Die höchste Ausbaustufe der Verwaltung von iPhone und iPad ist das Automated Device Enrollment (ADE). Eine Bereitstellungsmethode von Apple, welche auch innerhalb von Intune perfekt genutzt werden kann. Welche Vorteile ADE bietet und in welchen Szenarien Sie es bei sich im Unternehmen nutzen können, wird in diesem Artikel beschrieben.

Microsoft Intune hat sich in den letzten Jahren stark weiterentwickelt und dient heute bereits vielen Unternehmen als MDM- und MAM-Lösung Nummer eins. Dabei beschränkt sich der Umfang der verwaltbaren Geräte nicht rein auf Windows-Rechner, sondern auch verschiedene Apple- wie auch Android-Devices sind durch den Funktionsumfang abgedeckt. Auch iPhone und iPad können somit konfiguriert und mit Software versorgt werden.

Für die Verwendung des Dienstes in Zusammenhang mit Apple-Geräten ist keine extra Lizenz notwendig. Die Funktion ist innerhalb des „normalen“ Intune-Dienstes beinhaltet und steht somit Nutzern der folgenden Lizenzen zur Verfügung:

• Microsoft 365 Business Premium
• Microsoft 365 E3
• Microsoft 365 E5
• Enterprise Mobility + Security E3
• Enterprise Mobility + Security E5
• Microsoft 365 F1
• Microsoft 365 F3

Werden also beispielsweise bereits Microsoft 365 E3-Lizenzen aktiv verwendet, kann Intune einfach genutzt werden, ohne einen zusätzlichen Kostenaufwand. Verwendet man kleinere Lizenzen, welche den Dienst nicht beinhalten, ist es trotzdem sinnvoll sich mit dem Dienst zu beschäftigen, da eine bestehende MDM/MAM-Lösung abgelöst und dadurch Kosten gespart werden können.

Im Jahr 2019 hat Apple seinen zuvor als Device Enrollment Program (DEP) bekannten Dienst in Automated Device Enrollment umbenannt und damit den Fokus auf die Automatisierung in den Vordergrund gerückt. ADE ist Apples Lösung für die Verwaltung sogenannter Company Owned/Business Only (COBO)-Geräte. Wie der Name schon verrät, handelt es sich hierbei um Geräte, welche Unternehmenseigentum sind und rein geschäftlich verwendet werden.

Anders als bei den Lösungen für Bring-Your-Own-Device (BYOD)-Geräten, wird bei ADE die Seriennnummer der zu verwaltenden Geräte Apple bekannt gemacht. Dies geschieht über den Apple Business Manager (ABM). Sind die Seriennummern Apple bekannt, wird bei der Aktivierung der Geräte bereits überprüft, welchem Unternehmen diese zugehörig sind und welcher MDM -Server somit für sie verantwortlich ist. Dies bietet den Charme, dass Geräte nicht durch einen IT-Mitarbeiter konfiguriert, sondern völlig automatisiert vorbereitet werden können.

Für die Bereitstellung der Seriennummern gibt es verschiedene Möglichkeiten. Entweder werden sie direkt vom Vertriebspartner dem ABM-Konto des Käufers hinzugefügt oder der Käufer übernimmt diesen Schritt selbst, wenn die Geräte über eine Quelle bezogen werden, welche diese Möglichkeit nicht bietet. 
Sind die Geräte erstmal über ihre Seriennummern im ABM registriert und ein MDM -Server zugewiesen, ergeben sich tiefgehende Konfigurationsmöglichkeiten. Einblenden von Nachrichten auf dem Sperrbildschirm, die Konfiguration von WLAN-Profilen und das Einschränken spezifischer Apps sind hier nur beispielhaft für die vielen weiteren Funktionen zu nennen.

Wurden zuvor noch keine Geräte über das ADE ausgerollt, muss ein Mandant für die Verwendung des ABM erstellt werden. Dieser Schritt wird über Apple direkt abgewickelt. Auch das Volume-Purchasing-Program (VPP)-Token wird hierüber zur Verfügung gestellt. Dieses dient der Bereitstellung von Anwendungen aus dem Apple AppStore. Anschließend wird eine Verbindung zwischen dem ABM und der Microsoft-Umgebung hergestellt.

Innerhalb des Microsoft-Tenants können dann sämtliche Konfigurationen für die Geräte definiert und verwaltet werden. Es wird festgelegt, wie die Geräte dem Tenant hinzugefügt werden sollen und wie eine Verbindung zwischen den Geräten und den Useraccounts hergestellt wird. Anschließend wird definiert, wie die verschiedenen Funktionen konfiguriert werden und welche Geräte sie erhalten sollen.
Werden dem ABM daraufhin Geräte hinzugefügt und die Seriennummern dieser über die eingerichtete Verbindung zum Microsoft-Tenant zur Verfügung gestellt, kann mit der Verwaltung der ersten iPhones und iPads begonnen werden.

Verschiedene Faktoren sind bei der Entscheidung für oder gegen eine Bereitstellungsmethode für iPhone und iPad zu beachten und nicht immer ist der einfachste Weg auch der sinnvollste. Das Automated Device Enrollment ist eine umfangreiche Funktion, welche zwar mit einem erhöhten initialen Konfigurationsaufwand verbunden ist, im Anschluss aber Ressourcen spart und viele Routineaufgaben entfallen lässt.
Gemeinsam mit Ihnen erarbeiten wir anhand ihrer individuellen Anforderungen eine Vorgehensweise für die Verwaltung der Mitarbeitergeräte in Intune. Anschließend unterstützen wir Sie bei der Implementierung und schulen Sie darin, was es zu beachten gilt und wie Sie alle Vorteile des Dienstes optimal nutzen können.

Der Unified Application Manager von audius ergänzt Microsoft Intune ideal, wenn es um den strukturierten und sicheren Einsatz von Anwendungen auf Apple Geräten geht. Während ADE die automatisierte Gerätebereitstellung übernimmt, sorgt der Unified Application Manager dafür, dass Softwareverteilung, Zuweisungen und Rollouts kontrolliert, nachvollziehbar und teamübergreifend beherrschbar bleiben. Verantwortlichkeiten und Zielgruppen lassen sich klar abbilden, Freigabeprozesse standardisieren und wiederkehrende Aufgaben automatisieren. Gerade in Umgebungen mit mehreren Applikationsverantwortlichen, unterschiedlichen Fachbereichen und vielen iPhones oder iPads behalten Sie so jederzeit den Überblick über Versionen, Installationsstatus und anstehende Updates. Auf diese Weise schaffen Sie eine einheitliche, revisionssichere Application Governance über alle Apple Geräte hinweg – und nutzen die Möglichkeiten von Intune und ADE in einer konsistenten, skalierbaren Gesamtlösung. 

Wir zeigen Ihnen gerne die Möglichkeiten auf, die sich für Ihr Unternehmen ergeben können. Sprechen Sie uns an, wir freuen uns auf Sie!