25.06.2025
1789
6
0IOS-Geräte via ABM und Intune: Benutzerzuweisung ohne lokale Anmeldung?
Hallo zusammen,
ich habe ein Problem bei der Verwaltung von iPhones, die wir über den Apple Business Manager (ABM) und Microsoft Intune (Enrollment via ADE) automatisiert registrieren.
Sachverhalt:
Die Geräte werden über ABM automatisch in Intune eingebunden.
Im Intune-Portal sehe ich die Geräte, allerdings kann ich dort keinen Benutzer manuell zuweisen.
Die Benutzerzuweisung erfolgt offenbar erst beim ersten Einschalten und Setup auf dem Gerät selbst, wenn sich der User mit seinem Azure AD (Entra ID)-Account anmeldet.
Meine Frage:
Gibt es eine Möglichkeit, die Benutzeranmeldung remote anzustoßen oder zu erzwingen?
Sprich, kann ich als Admin den User-Login-Prozess über ABM oder Intune auslösen, ohne physischen Zugriff auf das Gerät?
Ich habe bereits geprüft, dass das Enrollment-Profil in Intune korrekt eingerichtet ist und die Geräte auch in ABM zugewiesen sind. Trotzdem bleibt der Benutzer ohne Zuweisung, wenn das Gerät noch nicht im Setup angemeldet wurde.
Hintergrund:
Wir möchten den Aufwand für die User vor Ort minimieren und möglichst viel automatisieren. Die User sollen sich idealerweise nur noch mit ihren Azure AD-Zugangsdaten anmelden und danach soll das Gerät voll konfiguriert sein.
Gibt es Tipps, Tricks oder Workarounds, wie man den User-Anmeldeprozess auf einem über ABM registrierten iPhone remote initiieren kann? Oder andere Best Practices, um diesen Prozess zu vereinfachen?
Vielen Dank im Voraus!
Beste Grüße
Fabian
ich habe ein Problem bei der Verwaltung von iPhones, die wir über den Apple Business Manager (ABM) und Microsoft Intune (Enrollment via ADE) automatisiert registrieren.
Sachverhalt:
Die Geräte werden über ABM automatisch in Intune eingebunden.
Im Intune-Portal sehe ich die Geräte, allerdings kann ich dort keinen Benutzer manuell zuweisen.
Die Benutzerzuweisung erfolgt offenbar erst beim ersten Einschalten und Setup auf dem Gerät selbst, wenn sich der User mit seinem Azure AD (Entra ID)-Account anmeldet.
Meine Frage:
Gibt es eine Möglichkeit, die Benutzeranmeldung remote anzustoßen oder zu erzwingen?
Sprich, kann ich als Admin den User-Login-Prozess über ABM oder Intune auslösen, ohne physischen Zugriff auf das Gerät?
Ich habe bereits geprüft, dass das Enrollment-Profil in Intune korrekt eingerichtet ist und die Geräte auch in ABM zugewiesen sind. Trotzdem bleibt der Benutzer ohne Zuweisung, wenn das Gerät noch nicht im Setup angemeldet wurde.
Hintergrund:
Wir möchten den Aufwand für die User vor Ort minimieren und möglichst viel automatisieren. Die User sollen sich idealerweise nur noch mit ihren Azure AD-Zugangsdaten anmelden und danach soll das Gerät voll konfiguriert sein.
Gibt es Tipps, Tricks oder Workarounds, wie man den User-Anmeldeprozess auf einem über ABM registrierten iPhone remote initiieren kann? Oder andere Best Practices, um diesen Prozess zu vereinfachen?
Vielen Dank im Voraus!
Beste Grüße
Fabian
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673549
Url: https://administrator.de/forum/ios-intune-abm-benutzerzuweisung-673549.html
Ausgedruckt am: 16.07.2025 um 07:07 Uhr
6 Kommentare
Neuester Kommentar
Hi,
wenn du möglichst viel automatisieren möchtest, solltest du dir ADE anschauen. Dieses Enrollment sorgt für ein Zero Touch Deployment. Über Volumenlizenzen auf dem ABM schiebst du Apps zum MDM, in deinem Fall Intune.
Diese werden dann bei Enrollment installiert über die VPP. Voraussetzung ist die Beschaffung der Geräte bei einem zertifizierten Apple Händler und die Konfiguration des entsprechenden Enrollmentprofils.
In Intune kannst du für verwaltete Geräte dann SSO konfigurieren. Die Anmeldung ohne physischen Zugang geht nicht, selbst mit Teamviewer ist keine Steuerung möglich. Der User muss sich so 1x am Gerät anmelden an einer Microsoft App anmelden, über SSO werden die Credentials an die M365 Applikationen durchgereicht.
wenn du möglichst viel automatisieren möchtest, solltest du dir ADE anschauen. Dieses Enrollment sorgt für ein Zero Touch Deployment. Über Volumenlizenzen auf dem ABM schiebst du Apps zum MDM, in deinem Fall Intune.
Diese werden dann bei Enrollment installiert über die VPP. Voraussetzung ist die Beschaffung der Geräte bei einem zertifizierten Apple Händler und die Konfiguration des entsprechenden Enrollmentprofils.
In Intune kannst du für verwaltete Geräte dann SSO konfigurieren. Die Anmeldung ohne physischen Zugang geht nicht, selbst mit Teamviewer ist keine Steuerung möglich. Der User muss sich so 1x am Gerät anmelden an einer Microsoft App anmelden, über SSO werden die Credentials an die M365 Applikationen durchgereicht.
Hei,
vielen Dank für deine Antwort. Ja soweit sind wir schon. Den Step mit dem Händler sind wir gerade dran. Dachte mir schon dass es da keine Möglichkeit gibt. Hatte nur gehofft, da Intune und Entra ja sowas wie "Geschwister" sind
Grüße
vielen Dank für deine Antwort. Ja soweit sind wir schon. Den Step mit dem Händler sind wir gerade dran. Dachte mir schon dass es da keine Möglichkeit gibt. Hatte nur gehofft, da Intune und Entra ja sowas wie "Geschwister" sind
Grüße
Oh, magst du später noch antworten falls euer Händler das macht? Wir haben es mit unserem Versucht - aber er meinte nach ein paar Monaten, dass das Programm dazu nicht mehr so wirklich supported wird, und er irgendwie nicht an so eine Reseller ID kam bzw. es sehr lang gedauert hat.
Wäre mal interessiert ob das bei euch dann ähnlich ist oder ob Apple das mittlerweile wieder anders macht.
Wäre mal interessiert ob das bei euch dann ähnlich ist oder ob Apple das mittlerweile wieder anders macht.
Klar, kann ich machen!
Gruß
Gruß
Zitat von @jackdaniel:
Oh, magst du später noch antworten falls euer Händler das macht? Wir haben es mit unserem Versucht - aber er meinte nach ein paar Monaten, dass das Programm dazu nicht mehr so wirklich supported wird, und er irgendwie nicht an so eine Reseller ID kam bzw. es sehr lang gedauert hat.
Wäre mal interessiert ob das bei euch dann ähnlich ist oder ob Apple das mittlerweile wieder anders macht.
Oh, magst du später noch antworten falls euer Händler das macht? Wir haben es mit unserem Versucht - aber er meinte nach ein paar Monaten, dass das Programm dazu nicht mehr so wirklich supported wird, und er irgendwie nicht an so eine Reseller ID kam bzw. es sehr lang gedauert hat.
Wäre mal interessiert ob das bei euch dann ähnlich ist oder ob Apple das mittlerweile wieder anders macht.
Hi,
ich habe drei Händlern Zugriff auf unseren ABM gegeben: einem offiziellen Apple-Händler und zwei Systemhäusern - das war eigentlich kein Hack, sofern der Händler durch Apple autorisiert und dazu bereit ist. Das ist alles im offiziellen ABM-Benutzerhandbuch beschrieben:
support.apple.com/de-de/guide/apple-business-manager/axmef1c4749 ...
Vielleicht ist dein Händler kein autorisierter Apple-Händler?
Falls man Geräte hat, die nicht von einem Händler schon beim Kauf hinzugefügt wurden bzw. eben auf dem freien Markt besorgt wurden, können sie auch über den Apple Configurator hinzugefügt werden. Seit einiger Zeit geht das sehr gut mit der Apple Configurator-App auf einem iPhone.
support.apple.com/de-de/guide/apple-configurator/apd97373af1e/io ...
Bei wenigen Geräten ist das auch schnell erledigt: Configurator starten, mit ABM-Admin anmelden, MDM-Serverzuweisung konfigurieren, das neue iPhone bis zum WLAN konfigurieren, beide Geräte annähern - es wird auf dem neuen Gerät eine "Datenwolke" angezeigt, diese mit dem Apple Configurator scannen. Nach einen Quittungston sind die Geräte im ABM registriert und werden dann nach Intune synchronisiert.
Zitat von @FabiNie:
Hintergrund:
Wir möchten den Aufwand für die User vor Ort minimieren und möglichst viel automatisieren. Die User sollen sich idealerweise nur noch mit ihren Azure AD-Zugangsdaten anmelden und danach soll das Gerät voll konfiguriert sein.
Hintergrund:
Wir möchten den Aufwand für die User vor Ort minimieren und möglichst viel automatisieren. Die User sollen sich idealerweise nur noch mit ihren Azure AD-Zugangsdaten anmelden und danach soll das Gerät voll konfiguriert sein.
Das wäre auch mein Ziel, leider bin auch ich noch nicht ganz zufrieden. Erreicht habe ich Folgendes:
- Apple Accounts werden automatisch provisioniert
- iPhones und iPads sind im ABM registriert, werden automatisch nach Intune synchronisiert und dort mit einem Registrierungsprofil versehen
- Der Setup-Assistent mit moderner Authentifizierung sperrt den Homescreen - User müssen sich mit ihren MS365-Anmeldeinformationen (=gleichzeitig Apple Account) anmelden (die Geräte können z. B. bei einem Verlust/Diebstahl nicht standardmäßig eingerichtet werden)
- Nach der Anmeldung wird das Gerät konfiguriert
- Der Setup-Assistent zeigt nur noch eine Seite an
- Das Unternehmensportal wird automatisch installiert
- Apps und iOS werden laufend automatisch aktualisiert
- App Store kann zwar geöffnet und durchsucht, Apps müssen aber über Intune zugewiesen werden (Installation entweder automatisch oder über manuell das Unternehmensportal)
Eigentlich werden auch die weiteren Apps automatisch installiert - allerdings musste ich die Geräte aufgrund spezieller Anforderungen unterschiedlich konfigurieren, daher werden die jeweils benötigten Apps erst nach Anmeldung am Unternehmensportal und Auswahl der benötigten Kategorie installiert.
Aber so ganz "Zero-Touch" ist das alles leider auch noch nicht: Zumindest am Unternehmensportal muss sich der Benutzer trotz SSO-Einrichtung nochmals komplett authentifizieren. Bei anderen muss er wenigstens seinen UPN eintragen (mindestens das hätte ich auch gern automatisiert). Es gibt Empfehlungen seitens MS, dass man eigentlich als erstes Teams starten und einrichten sollte (weil es angeblich die modernste Authentifizierung hat), aber so funktioniert es auch. Außerdem gibt es noch einige weitere Einstellungen - wie z. B. die Umstellung des Standardbrowsers auf Edge (iOS-Einstellung) oder die Anpassung der Teams-Navigationsleiste (InApp-Konfiguration) - die ich auch gern automatisieren würde.
Vielleicht könnten wir uns hier gemeinsam unterstützen und zusammen zu einer Zero-Touch-Lösung mit dem ABM in Verbindung mit Intune kommen (vom Apple-Support und anderen Dienstleistern werde ich immer auf JAMF verwiesen)?
